网站首页
维修网点
QQ专家在线
电脑保修
工具软件
在线查毒
电脑问题搜索
官方论坛
站点地图
友情链接
XML
RSS 2.0
联盟点:
北京
上海
深圳
广州
南京
杭州
成都
西安
厦门
武汉
重庆
天津
更多城市
加入收藏夹
设为主页
认识电脑
电脑优化
电脑保养
故障症状
学习维修
维修资料
病毒门诊
数据恢复
使用技巧
电脑常识
笔记本
安全技术
系统漏洞
专题导读:
操作系统
Windows Vista系统故障
Windows Xp系统故障
Windows 2003系统故障
Windows 2000系统故障
Windows 98系统故障
软件使用
网络配置
网络攻击
病毒
木马
主板
CPU
内存
硬盘
键盘
显卡
声卡
鼠标
显示器
音箱
刻录机
光驱、光盘
电源、UPS
网络设备
扫描仪
打印机
其它硬件
服务器
游戏平台
手机/MP3
相机/摄像头
USB
无线应用教程
软件漏洞
硬件漏洞
您的位置:
网站首页
>>
安全技术
>>
攻防之道九大入侵检测系统风险及对策
攻防之道九大入侵检测系统风险及对策
发布日期: 2008-6-19 10:33:11 查看数:
内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。
事件1、Windows2000/XPRPC服务远程拒绝服务攻击
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。
[对策]
1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP135端口进行限制,限制外部不可信任主机的连接。
2、彻底解决办法:打安全补丁。
事件2、Windows系统下MSBLAST(冲击波)蠕虫传播
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
[对策]
1、下载完补丁后断开网络连接再安装补丁。
2、清除蠕虫病毒。
事件3、Windows系统下Sasser(震荡波)蠕虫传播
蠕虫攻击会在系统上留下后门并可能导致Win2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
[对策]
1、首先断开计算机网络。
2、然后用专杀工具查杀毒。
3、最后打系统补丁
事件4、TELNET服务用户认证失败
TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。
[对策]
1、检查访问来源的IP、认证用户名及口令是否符合安全策略。
2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。
事件5、TELNET服务用户弱口令认证
攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。
[对策]
1、提醒或强制相关的TELNET服务用户设置复杂的口令。
2、设置安全策略,定期强制用户更改自己的口令。
事件6、MicrosoftSQL客户端SA用户默认空口令连接
MicrosoftSQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。
[对策]
1、系统的安全模式尽量使用“WindowsNTonly”模式,这样只有信任的计算机才能连上数据库。
2、为sa账号设置一个强壮的密码;
3、不使用TCP/IP网络协议,改用其他网络协议。
4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。
事件7、POP3服务暴力猜测口令攻击
POP3服务是常见网络邮件收取协议。
发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。
[对策]
密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
事件8、POP3服务接收可疑病毒邮件
当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。
邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。
此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。
[对策]
1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。
2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。
事件9、MicrosoftWindowsLSA服务远程缓冲区溢出攻击
MicrosoftWindowsLSA是本地安全授权服务(LSASRV.DLL)。
LSASSDCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。
[对策]
1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。
2、打系统补丁、升级。
上下页导航
上一页:
VISTA的电源选项技巧
下一页:
系统崩溃后如何启动的引导攻略
【打印】
字体
【大】
【中】
【小】
【关闭】
热点主题
让你的无线路由更加安全,设置登陆密码图解。[DLINK设置篇]
如何隐藏自己的ip地址
实战:ARP攻击原理及解决方法
远程终端安全及其安全防范技术研究
网吧频繁掉线(ARP)与解决方法
系统安全:将木马拒之门外 设置电脑防止黑客入侵
Windows中如何删除cmd.exe
什么是wmi
揭密黑客网络入侵的十四种实用方法
修改远程终端服务端口3389的方法
如何查看自己机器已经开放的端口
打造安全的Windows XP 操作系统
关于新一代的DDoS攻击方法
ADSL防御黑客进攻的方法
局域网攻击原理与防御
如何关闭端口防止病毒与黑客入侵
协议欺骗攻击技术常见种类简析及防范
黑客攻击行为特征分析 反攻击技术综合性分析报告
黑客常用攻击手段揭秘及其预防措施
液晶面板鉴别四个方面
最新主题
腾讯QQ密保卡的安全性分析
Ghost有漏洞 镜像恢复需小心陷阱
我的电脑是否被木马侵占为“肉鸡”
Windows系统用户摆脱黑客攻击方法介绍
Vista系统工作站安全防护有高招
分析入侵检测系统漏洞 认识黑客入侵手法
教你Firefox浏览器安全设置技巧
电脑安全防护7种武器
提高网银安全系数五招确保网银安全
保障用户无线网络连接安全
教你简单方法查找黑客老巢
完全解析Windows系统权限
被入侵系统的恢复指南
无线网络安全问题
一起由ARP攻击导致的网络故障
Windows安全配置的几条规则
卡巴斯基防火墙软件的设置技巧
从零开始为电脑系统做漏洞自检
网络资源推荐
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 电脑维修知识网 最佳分辨率 1024 X 768
Copyright © Http://www.PcHiHi.com/ All rights reserved.
![让你的无线路由更加安全,设置登陆密码图解。[DLINK设置篇]](/Images/arrow_list.gif){kind=icon}