問題描述

某用戶反應(yīng)：根據(jù)IPS上報(bào)的日志發(fā)現(xiàn)，每周某網(wǎng)站服務(wù)器都會(huì)上報(bào)，由內(nèi)到外發(fā)起的Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出（APSB11-24）攻擊，數(shù)量非常多。用戶不能確定是否存在問題。我們知道Adobe Acrobat和Reader及更早版本的Windows和Macintosh版，在實(shí)現(xiàn)上存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可利用此漏洞執(zhí)行任意代碼，屬于應(yīng)用程序漏洞。

分析結(jié)論

經(jīng)過上述分析，我們認(rèn)為該行為是正常的下載PDF文件的行為。由于該P(yáng)DF文件編碼中，可能含有和該攻擊特征值相同的字段，所以IPS會(huì)誤報(bào)為（APSB11-24）Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出攻擊，并且對(duì)其進(jìn)行了阻斷。被阻斷后客戶端因某種原因繼續(xù)請(qǐng)求該文件，所以IPS對(duì)該攻擊的上報(bào)次數(shù)非常多。

建議用戶向IPS設(shè)備廠家核實(shí)該警報(bào)的特征庫，是否有更新的特征庫。如果有更新對(duì)IPS進(jìn)行升級(jí)；修改IPS策略，把阻斷行為改為警告。由于該漏洞是應(yīng)用程序漏洞，即使請(qǐng)求該鏈接，也只是普通的文件下載，不會(huì)對(duì)服務(wù)器造成影響。

分析價(jià)值

網(wǎng)絡(luò)分析技術(shù)對(duì)常規(guī)網(wǎng)絡(luò)管理手段是一個(gè)很好的補(bǔ)充。可以深入分析IPS等安全設(shè)備的告警信息，并能提供數(shù)據(jù)包級(jí)的分析依據(jù)。

分析過程

我們對(duì)IPS上報(bào)該問題最嚴(yán)重的主機(jī)（183.16.212.65）進(jìn)行數(shù)據(jù)采集及詳細(xì)分析。如圖1所示，我們發(fā)現(xiàn)該IP的訪問時(shí)段比較集中，主要發(fā)生在夜間和凌晨。我們下載數(shù)據(jù)包對(duì)其進(jìn)行精細(xì)分析。

圖1 數(shù)據(jù)采集及分析

查看TCP會(huì)話視圖發(fā)現(xiàn)，183.16.212.65與內(nèi)部服務(wù)器通訊的TCP會(huì)話，全部是由183.16.212.65發(fā)起連接，訪問服務(wù)器的80端口。所以IPS上報(bào)的由內(nèi)到外的攻擊是屬于誤報(bào)。

通過查看HTTP請(qǐng)求日志發(fā)現(xiàn)，183.16.212.65主機(jī)請(qǐng)求的全部是http://www.XXXXX.com/xxxxx 137.pdf。 而 且，在 每 個(gè)TCP會(huì)話中，我們都能夠看到很多TTL值與正常通訊數(shù)據(jù)包存在差異的RST（重置）數(shù)據(jù)包。說明在數(shù)據(jù)傳輸?shù)倪^程中，該鏈接被IPS阻斷掉了。而在1318秒之后，客戶端又會(huì)繼續(xù)請(qǐng)求該鏈接，該過程會(huì)重復(fù)多次。

由于該漏洞是針對(duì)于Adobe的應(yīng)用程序的漏洞，所以對(duì)內(nèi)部服務(wù)器的影響不大。為了排除內(nèi)部網(wǎng)站服務(wù)器被惡意控制的可能性，我們?cè)賮矸治霰徽?qǐng)求的文件是否正常。我們下載了該文件，并且對(duì)其進(jìn)行病毒查殺，并未發(fā)現(xiàn)任何異常。

我們又下載了幾個(gè)上報(bào)該問題IP的數(shù)據(jù)包分析，發(fā)現(xiàn)其他IP多是對(duì)該網(wǎng)站的爬站行為。請(qǐng)求到http://www.XXXXX.com/xxxxx 137.pdf鏈接時(shí)發(fā)生報(bào)警。（如圖2所示，Google對(duì)該網(wǎng)站爬站）

圖2 TCP會(huì)話視圖

為了驗(yàn)證IPS的上報(bào)準(zhǔn)確性，我們下載該文件，查看IPS的處理行為。

我們從互聯(lián)網(wǎng)上下載該P(yáng)DF文件，看到IPS上報(bào)由內(nèi)到外的（APSB11-24）Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出攻擊，目的地址為1.203.32.11（本機(jī)IP地址），見上兩圖。而我們的操作，僅僅是從外網(wǎng)正常的下載了正常的文件。所以證明該項(xiàng)警報(bào)為誤報(bào)。