亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        通過網(wǎng)絡(luò)分析驗(yàn)證IPS設(shè)備攻擊誤報(bào)

        2017-11-08 07:29:16
        網(wǎng)絡(luò)安全和信息化 2017年10期
        關(guān)鍵詞:分析

        問題描述

        某用戶反應(yīng):根據(jù)IPS上報(bào)的日志發(fā)現(xiàn),每周某網(wǎng)站服務(wù)器都會(huì)上報(bào),由內(nèi)到外發(fā)起的Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出(APSB11-24)攻擊,數(shù)量非常多。用戶不能確定是否存在問題。我們知道Adobe Acrobat和Reader及更早版本的Windows和Macintosh版,在實(shí)現(xiàn)上存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可利用此漏洞執(zhí)行任意代碼,屬于應(yīng)用程序漏洞。

        分析結(jié)論

        經(jīng)過上述分析,我們認(rèn)為該行為是正常的下載PDF文件的行為。由于該P(yáng)DF文件編碼中,可能含有和該攻擊特征值相同的字段,所以IPS會(huì)誤報(bào)為(APSB11-24)Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出攻擊,并且對(duì)其進(jìn)行了阻斷。被阻斷后客戶端因某種原因繼續(xù)請(qǐng)求該文件,所以IPS對(duì)該攻擊的上報(bào)次數(shù)非常多。

        建議用戶向IPS設(shè)備廠家核實(shí)該警報(bào)的特征庫,是否有更新的特征庫。如果有更新對(duì)IPS進(jìn)行升級(jí);修改IPS策略,把阻斷行為改為警告。由于該漏洞是應(yīng)用程序漏洞,即使請(qǐng)求該鏈接,也只是普通的文件下載,不會(huì)對(duì)服務(wù)器造成影響。

        分析價(jià)值

        網(wǎng)絡(luò)分析技術(shù)對(duì)常規(guī)網(wǎng)絡(luò)管理手段是一個(gè)很好的補(bǔ)充。可以深入分析IPS等安全設(shè)備的告警信息,并能提供數(shù)據(jù)包級(jí)的分析依據(jù)。

        分析過程

        我們對(duì)IPS上報(bào)該問題最嚴(yán)重的主機(jī)(183.16.212.65)進(jìn)行數(shù)據(jù)采集及詳細(xì)分析。如圖1所示,我們發(fā)現(xiàn)該IP的訪問時(shí)段比較集中,主要發(fā)生在夜間和凌晨。我們下載數(shù)據(jù)包對(duì)其進(jìn)行精細(xì)分析。

        圖1 數(shù)據(jù)采集及分析

        查看TCP會(huì)話視圖發(fā)現(xiàn),183.16.212.65與內(nèi)部服務(wù)器通訊的TCP會(huì)話,全部是由183.16.212.65發(fā)起連接,訪問服務(wù)器的80端口。所以IPS上報(bào)的由內(nèi)到外的攻擊是屬于誤報(bào)。

        通過查看HTTP請(qǐng)求日志發(fā)現(xiàn),183.16.212.65主機(jī)請(qǐng)求的全部是http://www.XXXXX.com/xxxxx 137.pdf。 而 且,在 每 個(gè)TCP會(huì)話中,我們都能夠看到很多TTL值與正常通訊數(shù)據(jù)包存在差異的RST(重置)數(shù)據(jù)包。說明在數(shù)據(jù)傳輸?shù)倪^程中,該鏈接被IPS阻斷掉了。而在1318秒之后,客戶端又會(huì)繼續(xù)請(qǐng)求該鏈接,該過程會(huì)重復(fù)多次。

        由于該漏洞是針對(duì)于Adobe的應(yīng)用程序的漏洞,所以對(duì)內(nèi)部服務(wù)器的影響不大。為了排除內(nèi)部網(wǎng)站服務(wù)器被惡意控制的可能性,我們?cè)賮矸治霰徽?qǐng)求的文件是否正常。我們下載了該文件,并且對(duì)其進(jìn)行病毒查殺,并未發(fā)現(xiàn)任何異常。

        我們又下載了幾個(gè)上報(bào)該問題IP的數(shù)據(jù)包分析,發(fā)現(xiàn)其他IP多是對(duì)該網(wǎng)站的爬站行為。請(qǐng)求到http://www.XXXXX.com/xxxxx 137.pdf鏈接時(shí)發(fā)生報(bào)警。(如圖2所示,Google對(duì)該網(wǎng)站爬站)

        圖2 TCP會(huì)話視圖

        為了驗(yàn)證IPS的上報(bào)準(zhǔn)確性,我們下載該文件,查看IPS的處理行為。

        我們從互聯(lián)網(wǎng)上下載該P(yáng)DF文件,看到IPS上報(bào)由內(nèi)到外的(APSB11-24)Adobe Acrobat/Reader BMP處理遠(yuǎn)程棧緩沖區(qū)溢出攻擊,目的地址為1.203.32.11(本機(jī)IP地址),見上兩圖。而我們的操作,僅僅是從外網(wǎng)正常的下載了正常的文件。所以證明該項(xiàng)警報(bào)為誤報(bào)。

        猜你喜歡
        分析
        禽大腸桿菌病的分析、診斷和防治
        隱蔽失效適航要求符合性驗(yàn)證分析
        電力系統(tǒng)不平衡分析
        電子制作(2018年18期)2018-11-14 01:48:24
        電力系統(tǒng)及其自動(dòng)化發(fā)展趨勢(shì)分析
        經(jīng)濟(jì)危機(jī)下的均衡與非均衡分析
        對(duì)計(jì)劃生育必要性以及其貫徹實(shí)施的分析
        GB/T 7714-2015 與GB/T 7714-2005對(duì)比分析
        出版與印刷(2016年3期)2016-02-02 01:20:11
        網(wǎng)購中不良現(xiàn)象分析與應(yīng)對(duì)
        中西醫(yī)結(jié)合治療抑郁癥100例分析
        偽造有價(jià)證券罪立法比較分析
        久久婷婷色香五月综合激激情| 亚洲欧美日韩国产综合一区二区| 久久综合网天天 | 精选二区在线观看视频| 国产成人自拍视频播放| 手机福利视频| 精品国产三级a在线观看| 精品国产日韩无 影视| 国产美腿丝袜一区二区| 看全色黄大色黄大片 视频| 精品人妻无码一区二区色欲产成人| 久久与欧美视频| 狼人精品剧情av在线观看| 国产欧美亚洲精品第一页| 色先锋资源久久综合5566| 久久久久亚洲AV无码去区首| 亚洲国产精品av麻豆网站| 欧美xxxx做受欧美| 免费啪啪视频一区| 中文字幕精品永久在线| 日本区一区二区三视频| 真多人做人爱视频高清免费| 亚洲AV无码一区二区三区ba| 国内国外日产一区二区| 亚洲av无码成h在线观看| 中文字幕无码不卡一区二区三区 | 蜜桃一区二区三区在线看| 日本人妻高清免费v片| 国产精品爽爽ⅴa在线观看| 欧美老妇与禽交| 精品国产亚洲av成人一区| 国产精品久久免费中文字幕| 鲁鲁鲁爽爽爽在线视频观看| 乱人伦中文字幕在线不卡网站| 字幕网中文字幕精品一区| 色综合久久中文娱乐网| 中字幕久久久人妻熟女| 日韩人妻中文字幕一区二区| 久久精品熟女亚洲av麻| 天堂а√在线中文在线新版| 精品综合久久久久久99|