联合挑战第九期 “快速定位入侵攻击” 礼品多多！

renxiao2003

四、切实关注安全漏洞信息，及时使用各种补丁修复工具，提升系统安全性

　　系统漏洞在正式公布前，通常会被黑客利用很长时间，这就是通常说的0day攻击，这样的攻击也越来越常见。漏洞涉及windows 操作系统文件和其它应用软件，但风险最大的仍是windows 系统漏洞。应用软件漏洞的利用会受到较多的环境制约，通常风险相对较低。

　　最近广泛引起人们关注的是flash player漏洞，攻击者可利用这个漏洞运行任意指定的代码。

　　解决方案：

　　能用windows update的，一定要用，让windows进行自动更新。看到右下角windows update正在工作的图标，别给阻止了。

　　部分盗版用户不能正常使用windows update或microsoft update的，建议使用第三方漏洞修复工具，比如金山清理专家的漏洞扫描修复模块。

　　五、安装使用杀毒软件，并经常检查是否工作正常，是否可以进行病毒特征的更新

　　不要把安全问题只交给杀毒软件来负责，安全是系统工程，杀毒软件只是其中的一环。总是先有病毒，才会有杀毒软件更新。在很多情况下，安装杀毒软件之后，还是会中各种各样的病毒。但这不能说明杀毒软件不必要，相反，杀毒软件是非常重要的，如果没有杀毒软件，你的系统可能会更糟。

　　越来越多的病毒为了入侵你的系统，首先会尝试将杀毒软件废掉。破坏杀毒软件的功能，可能比杀毒软件对付病毒还要容易。因为破坏者的目标很明确，就是市面最 流行的软件，针对这几种安全软件做手脚是很容易的。并且，病毒制造者不象杀毒软件那样，必须考虑每个更新带来的兼容性问题，攻击者只关注木马需要完成的任 务，其它后果，病毒制造者是不用花很多功夫去考虑的。

　　木马病毒制造者是这样痛恨杀毒软件，以至于目前有相当多的木马入侵后，首先会去破坏杀毒软件，只要破坏者愿意，有针对性的破坏杀毒软件总是可以做到的，用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏，何况杀毒软件。

　　我们还可以把杀毒软件的工作状态，当作另一种检验工具：只要观察到杀毒软件突然不工作了，你首先应该考虑是不是被木马给破坏了。

　　解决办法：

　　安装一款适合自己的杀毒软件，并且在有效期内注意经常检查其功能，比如能不能正常启动，能不能正常升级等等。

renxiao2003

以降低攻击的威胁。 Internet 入口布置高性能平安设备。

内网机器访问互联网速度较慢。经过了解，1 ．故障描述客户反映公网 WEB 服务器无法访问。得知网络入口带宽为 20Mbp 同时用户和服务器共享 20M 网络带宽，服务器 IP 地址为 4.79.142.202 具体网络拓扑如下：

2 ．软件部署

对服务器所接端口配置端口镜像， 1 首先根据网络拓扑选取交换机作为抓包点。将科来网络通讯分析系统 2010 接到镜像端口上。

2 启动科来网络通讯分析系统 2010 网络适配器 ” 窗口中选择抓包网卡。

设定网络带宽为 20Mbp 3 网络档案 ” 窗口新建 “ 服务器攻击分析 ” 网络档案。

选取所有 “ 分析模块 ” 4 分析方案 ” 窗口中新建 “ 服务器攻击分析 ” 分析方案。

诊断里，点击 “ 下一步 ” 按钮。选择所有诊断事件，点击 “ 完成 ”

服务器攻击分析 ” 分析方案， 5 选择 “ 服务器攻击分析 ” 网络档案。点击开始按钮开始分析。

3 ．数据分析

停止抓包， 1 抓取一段时间的数据包后。开始分析。

而数据包大小主要为 <=64 字节， 2 首先从图表功能可以看到服务器带宽占用接近 2.4MB/ 流量最大的主机为 4.xxx.142.202 流量最大的协议为 HTTP 协议。此处可以看出数据包大小分布不正常。

正常情况两者比例接近 1:1 因此我怀疑服务器存在问题。 3 概要视图中我发现 “ TCP 同步发送 ” 和 “ TCP 结束连接发送 ” 数量相差较大。

接收数据包为 96869 发送数据包为 0 TCP 会话视图中可以看到存在大量的公网地址与服务器的 80 端口通信连接， 4 进入 “ IP 端点视图 ” 可以看到服务器 4.xxx.142.202 其 TCP 会话数达到 1002 个。并且每个连接的流量为 64B 如下图：

如下图： 打开一个连接的数据包我可以看到数据包为 TCP 同步包。

数据包视图中可以看到所有的数据包均为 TCP 同步包，定位服务器 IP 后。且频率较高，因此我怀疑服务器遭受了 DDOS 攻击。

4 ．分析结果

看到服务器 TCP 连接数量较多，通过对服务器的分析。通过对连接的数据包解码发现，数据包均为 TCP 握手的第一步的数据包，同时数据包的多来源于公网，因此我有理由怀疑服务器 4.xxx.142.202 遭受了 DDOS 攻击。

解决方法：

1

建议更换服务器公网 IP

枫影谁用了

参加了。

dexter_yccs

入侵检测时效性怎么样呢

tigerajs

回复 1# send_linux


    参与一下

chenyx

参加了

0vk0

入侵检测


入侵检测的定位：我觉得最主要从还是从系统的不同环节收集信息，找出可疑入侵者的痕迹

在linux下，用lastb查找最近未成功登陆，而又大量尝试登陆的信息。

其次，入侵很大部分是要找到防火墙的漏洞，绕过防火墙进行攻击，这样就更需要我们去主动

检查防火墙的漏洞，仔细查看防火墙设置是否正确，完善。

当然，完全依赖防火墙是远远不够的，常规性的异常检测也是非常有必要的，大多数的正常

行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。比如CPU使用率、

内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是：若入侵者

了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避

检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检

测到入侵行为时，破坏早已经发生了。

kns1024wh

回复 1# send_linux


    已经参与
ChinaUnix  
95.3%
ITPUB  
2.3%
IXPUB   
2.3%

实际上这个应该是一个反向问题 ，就是如何消除服务器的访问记录

baopbird2005

参与了