当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 入侵检测系统高风险事件及其处置对策

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 入侵检测系统高风险事件及其处置对策


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 49 ::
收藏到网摘: n/a

内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。

事件1 Windows 2000/XP RPC服务远程拒绝服务攻击

漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。

[对策]

1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。

2、彻底解决办法:打安全补丁。

事件2 Windows系统下MSBLAST(冲击波)蠕虫传播

感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。

[对策]

1、下载完补丁后断开网络连接再安装补丁。

2、清除蠕虫病毒。

事件3 Windows系统下Sasser(震荡波)蠕虫传播

蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

[对策]

1、首先断开计算机网络。

2、然后用专杀工具查杀毒。

3、最后打系统补丁。

事件4 TELNET服务暴力猜测用户口令

TELNET服务是常见远程登录仿真服务,用户可以使用TELNET远程登录系统,执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令,如果成功,攻击者可以登录到系统执行各种命令甚至完全控制系统。

[对策]

密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。

事件5 TELNET服务用户认证失败

TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。

[对策]

1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。