当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 入侵检测系统高风险事件及其处置对策

安全基础
正常关机后光电鼠标仍发光怎么解决
金山安全反病毒专家教你认识和安装系统补丁
微软IE团队成员揭秘中国网银不兼容非IE浏览器的原因
防火墙端口扫描和路径追踪设置防黑客入侵
压缩包里的压缩文件加上缩略图的方法
拒绝修改exe文件关联随EXE程序启动的木马
保护硬盘隐私数据防止黑客窃取的操作小方法
开机按F1故障怎么解决(新手学电脑)
实用技巧:自定义软件安装的默认路径
快速打开控制面板中的某一项目
避免网购被骗 揭秘网络钓鱼的9种骗术
删不掉文件的原因和辅助删除的软件工具
隐藏的系统克隆帐户全了解
剖析DDOS攻击的原理 提供解决方法
360安全卫士完美帮你系统打补丁
桌面多出几个IE图标有的不能删除怎么办
加载*dll出错,系统找不到指定的模块
如何揪出并根除Windows系统启动项
菜鸟防止黑客攻击的10个系统设置方法
新手学电脑:宽带拨号的设置方法

安全基础 中的 入侵检测系统高风险事件及其处置对策


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 64 ::
收藏到网摘: n/a

内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。

事件1 Windows 2000/XP RPC服务远程拒绝服务攻击

漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。

[对策]

1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。

2、彻底解决办法:打安全补丁。

事件2 Windows系统下MSBLAST(冲击波)蠕虫传播

感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。

[对策]

1、下载完补丁后断开网络连接再安装补丁。

2、清除蠕虫病毒。

事件3 Windows系统下Sasser(震荡波)蠕虫传播

蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

[对策]

1、首先断开计算机网络。

2、然后用专杀工具查杀毒。

3、最后打系统补丁。

事件4 TELNET服务暴力猜测用户口令

TELNET服务是常见远程登录仿真服务,用户可以使用TELNET远程登录系统,执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令,如果成功,攻击者可以登录到系统执行各种命令甚至完全控制系统。

[对策]

密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。

事件5 TELNET服务用户认证失败

TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。

[对策]

1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。