安全指南用IPS追踪入侵者篇

　　一，IPS入侵防御系统察觉内网漏洞的原理：

　　IPS入侵防御系统一般都是放置在内网与外网的连接处，所以说他会监听所有内外网通讯数据包，由于网络攻击都是建立在数据通讯传输基础上的，因此通过分析数据包的协议层信息可以了解到该数据包的传输目的，通过比对特征码就可以定位该数据包是否属于攻击数据包或漏洞数据包了。当发现有问题数据包通过IPS后可以快速丢弃该数据包，从而减少了内网设备被攻击的可能，当然通过分析问题数据包的源IP地址与目的IP地址我们还可以清晰的知道到底是哪台计算机或网络设备出现了问题以及到底是谁在发动攻击。

　　IPS入侵防御系统自动智能的过滤有问题攻击数据包和我们平时使用的杀毒软件有类似之处，在查毒杀毒过程中通过比对病毒库中的特征码来发现病毒，当发现感染病毒的文件后直接删除或隔离。

　　不过IPS入侵防御系统也有一个致命的弱点，那就是由于他是连接外网与内网的设备，在功能上也只能够针对外网的攻击进行防御和保护。如果攻击者本身就在内网并且直接向内网设备进行攻击而不通过IPS传输数据的话就比较麻烦了，这种情况IPS将无法发现问题主机。不过由于现在病毒都在向蠕虫特性上发展，传播也主要以广播形式，所以IPS设备还是能够利用收到的广播数据包，组播数据包来分析，从而发现内网有问题主机。
二，用IPS追踪问题主机：

　　日常网络管理过程中因为一台计算机感染病毒或存在系统漏洞又或者服务器被黑客攻击安装了后门而造成企业业务损失网络崩溃的事情比比皆是。下面我们就来看看如何通过IPS入侵防御系统来追踪问题主机，通过分析数据包特征编码定位漏洞。

　　第一步：首先我们通过管理地址访问IPS，IPS会将自己监控到的异常以日志的形式保存，所以我们直接分析日志信息即可。在首页或者EVENTS选项中选择block log(阻止日志)。

　　第二步：在阻止日志(Block log)中我们可以看到所有被BLOCK阻止的有问题数据包，显示信息也非常详细，包括日志序号，丢弃的时间，问题严重程度，丢弃原因，使用的协议，端口以及数据包的源地址与目的地址等信息。当然这里笔者要提一句的是我们不必针对所有BLOCK日志记录都进行分析，IPS入侵防御系统为我们将这些被丢弃数据包的严重程度进行了分级，从低到高依次为“Low，Minor，Major，Critical”，就笔者经验来说我们只需要关注Critical严重级的记录信息即可。

　　第三步：同时我们可以修改页面显示数量，最多支持每页显示600个丢弃数据包记录信息。通过分析笔者发现在2008年9月6日凌晨有一个Critical级别的记录，通过标题我们知道该漏洞是基于telnet协议的，攻击者IP为210.168.242.186，被攻击者是58.129.59.0。

　　小提示：

　　可能有的读者会产生疑问——为什么被攻击者是58.129.59.0呢?这个不是一个标准的IP地址啊!实际上这种记录表明攻击者是采取的广播形式的攻击，针对58.129.59.0这个网段进行了基于telnet协议的攻击。

　　第四步：我们通过点severity列对各个丢弃数据包的严重级别进行排序，一般都是从高到低来排列。在filter name过滤名称处我们可以进一步详细查看具体内容。

　　第五步：在过滤名称具体信息处我们可以了解到该漏洞的产生以及具体实施过程，通过des cription描述我们了解到这个基于telnet协议的攻击实际上可能造成攻击者使用任意用户包括root帐户来绕过telnet密码验证。这是非常不安全的，要知道日常开启telnet功能的设备基本都是路由交换设备，所以如果他们被入侵者成功攻击的话，企业内网很容易被崩溃，如果再利用路由交换设备的sniffer功能来监听客户端数据包的话，那么一些企业隐私和珍贵资料很可能被窃取。
　　第六步：了解到被攻击的IP段以及漏洞利用协议是telnet后我们就可以因地制宜解决问题了，通过在路由交换设备上切换管理协议，将telnet转换为更加安全的SSH协议即可，由于篇幅关系笔者就不在这里阐述具体的操作和设置了，感兴趣的读者可以参考之前的文章。当然如果你想进一步了解该漏洞的相关信息可以通过下面的说明连接来查看。

　　第七步：我们反复之前的操作对所有严重级别危害的记录进行分析，从而步步为营的解决了企业内网的所有安全隐患。
　　第八步：拥有IPS可以让我们的内网更加安全，很多时候我们会发现即使客户端有漏洞，IPS也可以为我们阻挡攻击数据包，这就好比在本机安装了防火墙一样，虽然本机系统补丁没有安装存在漏洞，防火墙也可以不断的过滤掉攻击数据包。

　　通过IPS入侵防御系统笔者依次解决了以下几个内网安全隐患——

　　(1)地址相同的攻击(数据包源地址与目的地址相同)

　　通过这个方法可以确定该地址的主机感染了病毒，病毒伪造数据包进行传输，从而造成数据包源地址与目的地址相同。针对该机器查杀病毒解决问题。
　　(2)Web Browser Heap Buffer Overflow (General) 问题：

　　这主要由客户端上安装了危险IE浏览器插件造成的，定位感染主机和插件类别后卸载即可。

　　(3)RealPlayer ActiveX Buffer Overflow：

　　RealPlayer ActiveX插件执行缢出漏洞。

　　(4)PHP File Include Exploit：

　　利用PHP页面的漏洞进行攻击，通过分析数据包发现了存在PHP漏洞的主机，修改PHP页面信息解除漏洞问题。

　　(5) IIS %255c Double Encoded \ in URI：

　　攻击者利用IIS的unicode信息进行攻击，加强IIS页面安全后解决此问题。

　　当然我们的IPS入侵防御系统在统计漏洞上更加智能，我们可以通过搜索功能来快速定位所有的严重级别的漏洞。在首页点block log旁边的查看标志，接下来选择要搜索的日期段以及severity严重级别即可，当然我们还可以更加细化针对某个漏洞进行搜索。

　　点搜索search按钮后我们会发现要找的信息都罗列出来了，这样我们就可以更好的快速解决企业内网安全问题。

二，用IPS追踪问题主机：

　　日常网络管理过程中因为一台计算机感染病毒或存在系统漏洞又或者服务器被黑客攻击安装了后门而造成企业业务损失网络崩溃的事情比比皆是。下面我们就来看看如何通过IPS入侵防御系统来追踪问题主机，通过分析数据包特征编码定位漏洞。

　　第一步：首先我们通过管理地址访问IPS，IPS会将自己监控到的异常以日志的形式保存，所以我们直接分析日志信息即可。在首页或者EVENTS选项中选择block log(阻止日志)。

　　第二步：在阻止日志(Block log)中我们可以看到所有被BLOCK阻止的有问题数据包，显示信息也非常详细，包括日志序号，丢弃的时间，问题严重程度，丢弃原因，使用的协议，端口以及数据包的源地址与目的地址等信息。当然这里笔者要提一句的是我们不必针对所有BLOCK日志记录都进行分析，IPS入侵防御系统为我们将这些被丢弃数据包的严重程度进行了分级，从低到高依次为“Low，Minor，Major，Critical”，就笔者经验来说我们只需要关注Critical严重级的记录信息即可。

　　第三步：同时我们可以修改页面显示数量，最多支持每页显示600个丢弃数据包记录信息。通过分析笔者发现在2008年9月6日凌晨有一个Critical级别的记录，通过标题我们知道该漏洞是基于telnet协议的，攻击者IP为210.168.242.186，被攻击者是58.129.59.0。

　　小提示：

　　可能有的读者会产生疑问——为什么被攻击者是58.129.59.0呢?这个不是一个标准的IP地址啊!实际上这种记录表明攻击者是采取的广播形式的攻击，针对58.129.59.0这个网段进行了基于telnet协议的攻击。

　　第四步：我们通过点severity列对各个丢弃数据包的严重级别进行排序，一般都是从高到低来排列。在filter name过滤名称处我们可以进一步详细查看具体内容。

　　第五步：在过滤名称具体信息处我们可以了解到该漏洞的产生以及具体实施过程，通过des cription描述我们了解到这个基于telnet协议的攻击实际上可能造成攻击者使用任意用户包括root帐户来绕过telnet密码验证。这是非常不安全的，要知道日常开启telnet功能的设备基本都是路由交换设备，所以如果他们被入侵者成功攻击的话，企业内网很容易被崩溃，如果再利用路由交换设备的sniffer功能来监听客户端数据包的话，那么一些企业隐私和珍贵资料很可能被窃取。
　　第六步：了解到被攻击的IP段以及漏洞利用协议是telnet后我们就可以因地制宜解决问题了，通过在路由交换设备上切换管理协议，将telnet转换为更加安全的SSH协议即可，由于篇幅关系笔者就不在这里阐述具体的操作和设置了，感兴趣的读者可以参考之前的文章。当然如果你想进一步了解该漏洞的相关信息可以通过下面的说明连接来查看。

　　第七步：我们反复之前的操作对所有严重级别危害的记录进行分析，从而步步为营的解决了企业内网的所有安全隐患。

　　第八步：拥有IPS可以让我们的内网更加安全，很多时候我们会发现即使客户端有漏洞，IPS也可以为我们阻挡攻击数据包，这就好比在本机安装了防火墙一样，虽然本机系统补丁没有安装存在漏洞，防火墙也可以不断的过滤掉攻击数据包。

　　通过IPS入侵防御系统笔者依次解决了以下几个内网安全隐患——

　　(1)地址相同的攻击(数据包源地址与目的地址相同)

　　通过这个方法可以确定该地址的主机感染了病毒，病毒伪造数据包进行传输，从而造成数据包源地址与目的地址相同。针对该机器查杀病毒解决问题。

　　(2)Web Browser Heap Buffer Overflow (General) 问题：

　　这主要由客户端上安装了危险IE浏览器插件造成的，定位感染主机和插件类别后卸载即可。

　　(3)RealPlayer ActiveX Buffer Overflow：

　　RealPlayer ActiveX插件执行缢出漏洞。

　　(4)PHP File Include Exploit：

　　利用PHP页面的漏洞进行攻击，通过分析数据包发现了存在PHP漏洞的主机，修改PHP页面信息解除漏洞问题。

　　(5) IIS %255c Double Encoded \ in URI：

　　攻击者利用IIS的unicode信息进行攻击，加强IIS页面安全后解决此问题。

　　当然我们的IPS入侵防御系统在统计漏洞上更加智能，我们可以通过搜索功能来快速定位所有的严重级别的漏洞。在首页点block log旁边的查看标志，接下来选择要搜索的日期段以及severity严重级别即可，当然我们还可以更加细化针对某个漏洞进行搜索。
　　点搜索search按钮后我们会发现要找的信息都罗列出来了，这样我们就可以更好的快速解决企业内网安全问题，希望对有需要的朋友有所帮助。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点