攻防有道：十大入侵检测系统风险及对策

内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用，下面笔者根据安全监控高风险事件来分析问题、提出对策，以供大家参考。

　　事件1、Windows 2000/XP RPC服务远程拒绝服务攻击

　　漏洞存在于Windows系统的DCE-RPC堆栈实现中，远程攻击者可以连接TCP 135端口，发送畸形数据，可导致关闭RPC服务，关闭RPC服务可以引起系统停止对新的RPC请求进行响应，产生拒绝服务。

　　[对策]

　　1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制，限制外部不可信任主机的连接。

　　2、彻底解决办法:打安全补丁。

　　事件2、Windows系统下MSBLAST(冲击波)蠕虫传播

　　感染蠕虫的计算机试图扫描感染网络上的其他主机，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　[对策]

　　1、下载完补丁后断开网络连接再安装补丁。

　　2、清除蠕虫病毒。

　　事件3、Windows系统下Sasser(震荡波)蠕虫传播

　　蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

　　[对策]

　　1、首先断开计算机网络。

　　2、然后用专杀工具查杀毒。

　　3、最后打系统补丁

事件4、TELNET服务用户认证失败

　　TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下，合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况，TELNET服务器会使认证失败。如果登录用户名为超级用户，则更应引起重视，检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应，则说明主机可能在遭受暴力猜测攻击。

　　[对策]

　　1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

　　2、密切关注FTP客户端大量失败认证的来源地址的活动，如果觉得有必要，可以暂时禁止此客户端源IP地址的访问。

　　事件5、TELNET服务用户弱口令认证

　　攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问，也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。

　　[对策]

　　1、提醒或强制相关的TELNET服务用户设置复杂的口令。

　　2、设置安全策略，定期强制用户更改自己的口令。

　　事件6、Microsoft SQL 客户端SA用户默认空口令连接

　　Microsoft SQL数据库默认安装时存在sa用户密码为空的问题，远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式，远程攻击者利用空口令登录到SQL服务器后，可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令，从而取得主机的完全控制。

[1] [2] 下一页