如何通过网络分析验证ips设备攻击 -10bet十博欢迎您
每个用户都希望安全问题能自动预警,无论是ids还是ips,每天都会有无数的警报,那么多的警报,哪些是正确的,有没有误报,有没有漏报,这个成了新的问题。
14.1 问题描述
某网站用户根据ips上报的日志发现:每周该网站服务器都会上报由内到外发起的adobe acrobat/reader bmp处理远程栈缓冲区溢出(apsb11-24)攻击,数量非常多。用户不能确定业务系统是否存在问题。
我们知道adobe acrobat(10.1)和reader(10.0.1)及更早版本的windows和macintosh版软件,存在远程代码执行漏洞。远程攻击者可利用此漏洞执行任意代码,属于应用程序漏洞。
14.2 分析过程
我们对ips上报该问题最严重的主机(x.x.212.65)进行数据采集及详细分析,如下图所示。
图 14-1
通过上图我们可以发现该ip的访问时段比较集中,主要发生在夜间和凌晨。我们下载数据包对其进行精细分析,如下图所示。
图 14-2
查看tcp会话视图发现,x.x.212.65与内部服务器通讯的tcp会话,全部是由x.x.212.65发起连接,访问服务器的80端口(如上图)。所以ips上报的由内到外的攻击是属于误报。
图 14-3
通过查看http请求日志发现,x.x.212.65主机请求的内容全部是http://www.xx.com/xx 137.pdf。
图 14-4
在每个tcp会话中,我们都能够看到很多ttl值与正常通讯数据包存在差异的rst(重置)数据包。说明在数据传输的过程中,该链接被ips阻断掉了。而在1318秒之后,客户端又会继续请求该链接,该过程会重复多次。
由于该漏洞是针对于adobe的应用程序的漏洞,所以对内部服务器的影响不大。为了排除内部网站服务器被恶意控制的可能性,我们再来分析被请求的文件是否正常。我们下载了该文件,并且对其进行病毒查杀,并未发现任何异常,如下图所示。
图 14-5
图 14-6
我们又下载了几个上报该问题ip的数据包分析,发现其他ip多是对该网站的爬站行为。请求到http://www.xx.com/xx 137.pdf链接时发生报警,如下图所示。
图 14-7
为了验证ips的上报准确性,我们下载该文件,查看ips的处理行为。
图 14-8
图 14-9
我们从互联网上下载该pdf文件,看到ips上报由内到外的(apsb11-24)adobe acrobat/reader bmp处理远程栈缓冲区溢出攻击,目的地址为x.x.32.11(本机ip地址),见上两图。而我们的操作,仅仅是从外网正常的下载了正常的文件。所以证明该项警报为误报。
14.3 分析结论及建议
经过上述分析,我们认为该行为是正常的下载pdf文件的行为。由于该pdf文件编码中,可能含有和该攻击特征值相同的字段,所以ips会误报为(apsb11-24)adobe acrobat/reader bmp处理远程栈缓冲区溢出攻击,并且对其进行了阻断。被阻断后客户端因某种原因继续请求该文件,所以ips对该攻击的上报次数非常多。
建议用户向ips设备厂家核实该警报的特征库,是否有更新的特征库。如果有更新,对ips进行升级;修改ips策略,把阻断行为改为警告。由于该漏洞是应用程序漏洞,即使请求该链接,也只是普通的文件下载,不会对服务器造成影响。
14.4 价值
网络分析技术可以很好地补充常规网络管理手段。运维人员可以凭此技术,深入分析ips等安全设备的告警信息,并能提供数据包级的分析依据,帮助用户准确的分析、定位安全事件。