安全技术 九大入侵检测系统风险及对策

  • 时间:
  • 浏览:0
  • 来源:5分PK10官网-5分彩平台_5分快3网投平台





作者: 论坛架构设计 zdnet网络安全

CNETNews.com.cn

60 8-01-19 13:36:49

关键词: 防止方案 入侵 系统安全 安全技术

内联网入侵检测系统(以下简称“IDS系统”)都都还都可以及时发现但会 内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效防止,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充架构设计 挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题 、提出对策,以供其他同学 参考。

  事件1、Windows 60 0/XP RPC服务远程拒绝服务攻击

  漏洞发生于Windows系统的DCE-RPC堆栈实现中,远程攻击者不还都可以 连接TCP 135端口,发送畸形数据,可愿因着关闭RPC服务,关闭RPC服务不还都可以 引起系统停止对新的RPC请求进行响应,产生拒绝服务。

  [对策]

  1、临时防止土法子:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制组织组织结构不可信任主机的连接。

  2、彻底防止土法子:打安全补丁。

  事件2、Windows系统下MSBLAST(冲击波)蠕虫传播

  感染蠕虫的计算机试图扫描感染网络上的但会 主机,消耗主机本身的资源及几滴 网络时延,造成网络访问能力急剧下降。

  [对策]

  1、下载完补丁后断开网络连接再安装补丁。

  2、清除蠕虫病毒。

  事件3、Windows系统下Sasser(震荡波)蠕虫传播

  蠕虫攻击会在系统上留下后门并将会愿因着Win 60 0/XP操作系统重启,蠕虫传播时将会愿因着被感染主机系统性能严重下降以及被感染网络时延被几滴 占用。

  [对策]

  1、首先断开计算机网络。

  2、但会 用专杀工具查杀毒。

  3、最后打系统补丁

  事件4、TELNET服务用户认证失败

  TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。将会出显用户名或口令无效等情况,TELNET服务器会使认证失败。将会登录用户名为超级用户,则更应引起重视,检查访问来源算不算合法。将会短时间内几滴 出显TELNET认证失败响应,则说明主机将会在遭受暴力猜测攻击。

  [对策]

  1、检查访问来源的IP、认证用户名及口令算不算符合安全策略。

  2、密切关注FTP客户端几滴 失败认证的来源地址的活动,将会人太好有必要,不还都可以 暂时禁止此客户端源IP地址的访问。

  事件5、TELNET服务用户弱口令认证

  攻击者将会利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也将会结合TELNET服务器的本地但会 漏洞获取主机的控制权。

  [对策]

  1、提醒或强制相关的TELNET服务用户设置复杂性的口令。

  2、设置安全策略,定期强制用户更改个人的口令。

  事件6、Microsoft SQL 客户端SA用户默认空口令连接

  Microsoft SQL数据库默认安装时发生sa用户密码为空的问题 ,远程攻击者将会利用你但会 漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的土法子,远程攻击者利用空口令登录到SQL服务器后,不还都可以 利用MS-SQL的但会 转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完整控制。

  [对策]

  1、系统的安全模式尽量使用“Windows NT only”模式,本来不还都可以 信任的计算机都还都可以连上数据库。

  2、为sa账号设置有另有俩个 强壮的密码

  3、不使用TCP/IP网络协议,改用但会 网络协议。

  4、将会使用TCP/IP网络协议,最好将其默认端口1433改为但会 端口,本来攻击者用扫描器就不容易扫到。

  事件7、POP3服务暴力猜测口令攻击

  POP3服务是常见网络邮件收取协议。

  发现几滴 的POP3登录失败事件,攻击者将会正在尝试猜测有效的POP3服务用户名和口令,将会成功,攻击者将会利用POP3服务本身漏洞或结合但会 服务相关的漏洞进一步侵害系统,也将会读取用户的邮件,造成敏感信息泄露。

  [对策]

  密切留意攻击来源的进一步活动,将会人太好有必要阻塞其对服务器的连接访问。

  事件8、POP3服务接收可疑病毒邮件

  当前通过邮件传播的病毒、蠕虫日益流行,其中但会 邮件病毒通过发送暗含可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ,暗含哪此后缀文件名附件的邮件通常算不算伪装成普通邮件的病毒邮件。

  邮件病毒感染了主机时候 通常会向邮件客户端软件中保存的但会 用户邮件地址发送相同的病毒邮件以扩大传染面。

  此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很将会会感染本身邮件病毒,不还都可以 立即防止。

  [对策]

  1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。

  2、在邮件服务器上安装病毒邮件过滤软件,在用户接收时候 就杀除之。

  事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击

  Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

  LSASS DCE/RPC末端导出的Microsoft活动目录服务发生有另有俩个 缓冲区溢出,远程攻击者不还都可以 利用你但会 漏洞以SYSTEM权限在系统上执行任意指令。

  [对策]

  1、临时防止土法子:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

  2、打系统补丁、升级。