以下是小编为大家准备的教你正确判断系统入侵事件的严重程度(共含3篇),希望对大家有帮助。同时,但愿您也能像本文投稿人“北泽早甜”一样,积极向本站投稿分享好文章。
不同的系统入侵事件,以及入侵事件的严重程度,其处理方式是不相同的,因此,在对系统入侵事件进行处理之前,在系统入侵事件识别之后,还必需进行一个必要的步骤,就是对当前识别的系统入侵事件进行分类。
这样做的目的就是对系统入侵事件做出严重程度的判断,以便决定下一步采取什么样的应对措施。例如,如果攻击事件是涉及到服务器中的一些机密数据,这肯定是非常严重的攻击事件,就应当立即断开受到攻击的服务器的网络连接,并将其隔离,以防止事态进一步的恶化及影响网络中其它重要主机。
一般来说,我们可以通过确认系统入侵事件发展到了什么地步,以及造成了什么样的后果来进行分类,这样就可以将系统入侵事件分为以下5个类别:
(1)、试探性入侵事件
(2)、一般性入侵事件
(3)、控制系统的入侵事件
(4)、拒绝服务事件
(5)、得到机密数据的入侵事件
对网络中的主机进行试探性扫描,都可以认为是试探性质的事件,这些都是攻击者为了确认网络中是否有可以被攻击的主机,而进行的最基本的工作。
当攻击者确认了要攻击的目标后,他就会进一步地对攻击目标进行更加详细,更加有目的的扫描,这时,所使用的扫描方式就会更加先进和不可识别性,例如半连接式扫描及FIN方式扫描等,这种扫描完成后,就可以找到一些是否可以利用的漏洞信息,由于现在的一些整合性防火墙和IDS也能够识别这些方式的扫描,因此,如果在日志文件中找到了与此相应的记录,就表明攻击已经发展到了一般性事件的地步了。
当攻击者得到可以利用的漏洞信息后,他就会利用各种手段对攻击目标进行渗透,这时,如果你没有及时发现,渗透的成功性是非常大的,网络中已经存在有太多的这类渗透工具,使用这些工具进行渗透工作是轻而易举的事
在渗透成功后,攻击者就会想法提高自己在攻击目标系统中的权限,并安装后门,以便能随心所欲地控制已经渗透了的目标,此时,就已经发展到了控制系统的地步。
到这里,如果你还没有发现攻击行为,那么,你所保护的机密资料将有可能被攻击者完全得到,事态的严重性就可想而知了。
攻击者在控制了攻击目标后,有时也不一定能够得到机密数据,由此而产生一些报复性行为,例如进行一些DOS或DDOS攻击等,让其他正常用户也不能够访问。或者,攻击者控制系统的目的,就是为了对其它系统进行DOS或DDOS攻击,
因此,我们必需通过相应的工具(如IDS/IPS),以及对相应的日志文件(如防火墙日志)进行分析,来迅速对上述5种系统入侵事件进行判断,以便及时决定采取什么样的应对方法来进行处理,以防止事态向更加严重的程度发展,并由此尽量减小损失,恢复网络系统正常运行。
这也是为什么在此节之前,雪源梅香会用一个比较长的章节来描述如何去识别系统入侵事件的关键原因。因为只有在一开始就使用了相应的安全工具,例如IDS/IPS或防火墙等,才有可能帮助我们识别系统入侵事件,并对入侵事件的严重程度进行正确的判断。
另外,在对系统入侵事件的严重程度做出正确的判断之后,还可以将入侵事件的证据收集起来,以便通过这些证据来找到攻击者,并将其绳之以法。当然,这个步骤并不是必要的,但是,通过法律手段来保护我们,雪源梅香认为这今后我们必需不断加强的有效手段之一。
至于如何收集,这要视你所要收集的证据的多少及大小,以及收集的速度要求来定。如果只收集少量的数据,你可以通过简单的复制方法将这些数据保存到另外一些安全的存储媒介当中;如果要收集的数据数量多且体积大,而且要求在极少的时间来完成,你就可以通过一些专业的软件来进行收集。对于这些收集的数据保存到什么样的存储媒介之中,也得根据所要收集的数据要求来定的,还得看你现在所拥有的存储媒介有哪些,一般保存到光盘或硬盘当中为好。
具体收集哪些数据,你可以将可以为攻击事件提供证据的数据全部都收集起来,也可以只收集其中最重要的部分,下面是一些应该收集的数据列表:
(1)、操作系统事件日志
(2)、操作系统审计日志
(3)、网络应用程序日志
(4)、防火墙日志
(5)、入侵检测(IDS)日志
(6)、受损系统及软件镜像
要了解是,上述这些数据都是依赖我们在上一节中所做的系统入侵事件识别工作。因此,如果你还没有做这样的工作,请在比特网上找到上一篇文章,然后按其中提到的方法做好准备工作。
在进行这一步之前,如果你的首要任务是将网络或系统恢复正常,为了防止在恢复系统备份时将这些证据文件丢失,或者你只是想为这些攻击留个纪念,你可以先使用一些系统镜像软件将整个系统做一个镜像保存后,再进行恢复工作。
收集的数据不仅是作为指证攻击者的证据,而且,在事件响应完成后,还应将它们统计建档,并上报给相关领导及其它合作机构,例如安全软件提供商,合作伙伴,以及当地的法律机构,同时也可以作为事后分析学习之用。
事件1 Windows /XP RPC服务远程拒绝服务攻击
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。
[对策]
1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。
2、彻底解决办法:打安全补丁。
事件2 Windows系统下MSBLAST(冲击波)蠕虫传播
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
[对策]
1、下载完补丁后断开网络连接再安装补丁。
2、清除蠕虫病毒。
事件3 Windows系统下Sasser(震荡波)蠕虫传播
蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
[对策]
1、首先断开计算机网络。
2、然后用专杀工具查杀毒。
3、最后打系统补丁。
事件5 TELNET服务用户认证失败
TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。
[对策]
1、检查访问来源的IP、认证用户名及口令是否符合安全策略。
2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。
事件6 TELNET服务用户弱口令认证
攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。
[对策]
1、提醒或强制相关的TELNET服务用户设置复杂的口令,
2、设置安全策略,定期强制用户更改自己的口令。
事件7 Microsoft SQL 客户端SA用户默认空口令连接
Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。
[对策]
1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。
2、为sa账号设置一个强壮的密码;
3、不使用TCP/IP网络协议,改用其他网络协议。
4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。
事件8 POP3服务暴力猜测口令攻击
POP3服务是常见网络邮件收取协议。
发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。
[对策]
密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
事件9 POP3服务接收可疑病毒邮件
当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。
邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。
此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。
[对策]
1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。
2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。
事件10 Microsoft Windows LSA服务远程缓冲区溢出攻击
Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。
LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。
[对策]
1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。
2、打系统补丁、升级。
下面介绍在没有入侵检测系统的时候如何发现 入侵, 入侵的特征信息一般来自以下四个方面,如果 入侵了系统,可以在以下的四个方面找到入侵的踪迹。
入侵的手段有多种,而计算机被入侵之后相应的症状特征也是不同的。 入侵大致有两种目的,一种是以窃取资料情报及他人的隐私为目的,这类攻击对于被入侵的计算机系统的影响并没有明显的特征,往往要经过一段时间以后才可能被人发觉。另外一类攻击是以破坏计算机系统的功能为目的,被入侵的计算机系统往往会出现莫名其妙的故障,这类攻击的特征是比较明显的。
1. 系统和网络日志文件
经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵过系统。通过查看日志文件,就能够发现成功的入侵或入侵企图。
日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含了登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。所谓不正常的或不期望的行为就是指重复登录失败、登录到不期望的位置以及非授权的访问企图等等。日志文件也是 入侵留下信息最多的地方,因此要经常检查自己的日志文件,及时发现可疑的行为记录。
2. 目录和文件中的不正常的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据的文件经常是 修破坏的目标。如果目录和文件中发生了不期望的改变(包括修改、创建和改或删除),特别是那些正常情况下限制访问的,那么很可能就是一种入侵产生的指示和信号。
经常替换、访问权的系统文件,同时为了隐藏在系统中活动痕迹,都会尽力去替换系统程序或修改系统日志文件。这就要求我们要熟悉自己的文件系统,注意检查系统目录文件或者重要数据目录文件的变动情况。最好自己能有相关的记录,这样如果有什么改动发生,就可以据此来推断系统有没有被入侵过。
3. 程序执行中的不期望行为
网络系统上运行的程序一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器等,
每个在系统上执行的程序一般由一到多个进程来实现,每个进程运行在具有不同权限的环境中,这种一个进程的执行行为由它运行时执行的操作来表现,操作的方式不同,所利用的系统资源也就不同。操作包括数据计算、文件传输及网络间的通讯等等。
当一个进程出现了不期望的行为就可能表明 正在入侵你的系统。 可能会将程序或服务的运行分解从而导致它失败,或者是使之违背用户或管理员意图运行。有时候系统变得不稳定或莫名其妙地死机,或者处理速度降低等等。只要我们能够留心是很容易发现这类疑点的。当然了,有很多其他因素会导致这种现象,所以具体问题要具体分析。
4. 物理形式的入侵信息
这包括两个方面的内容,一是未授权的网络硬件连接;二是对物理资源的未授权访问。
通常情况下, 会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。这些设备或者软件就成为 入侵的后门, 可以从这里随意进出网络。
这种入侵一般可以找到可疑的网络设备连接,另外, 也有可能利用网络设备的电磁泄漏来窃取信息或者入侵系统,这种设备就可能不是和系统设备直接地物理连接了。
另外, 还可以寻找网上由用户加上去的“不安全”设备,然后利用这些设备访问网络。例如,用户在家里可能安装 Modem 以便于远程访问办公室的计算机,而这时如果 正利用自动识别工具来查找连接到电话线上的 Modem。恰巧此时有一个拨号访问的数据通过自动识别工具,那么 就可以找到这个Modem,进而可利用这个后门来访问办公室所在内部网,这样就越过了办公室内部网络的防火墙。接下来 就这种可以进行捕获网络数据流、偷取信息、攻击系统等活动了。这种入侵的起因突破点在于网络设备的非正常的使用,对于以上介绍的远程攻击实例,我们可以在自己的电话清单中查找到可疑的连接。
