CSNA网络分析认证专家实战案例(科来软件)章 (18)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10
图18-4 11
由于该漏洞是针对于Adobe应用程序的漏洞,所以对内部服 务器的影响不大。为了排除内部网站服务器被恶意控制的可能性, 再来分析被请求的文件是否正常。我们下载了该文件,并且对其 进行病毒查杀,并未发现任何异常,见图18-5和18-6。
12
图18-5 13
图18-6 14
我们又下载了几个上报该问题IP的数据包进行分析,发现其 他IP多是对该网站的爬站行为,请求到 “/xxxxx137.pdf”链接时发生报警(如图 18-7所示为Google对该网站爬站)。
4
图18-1 5
通过上图我们可以发现,该IP的访问时段比较集中,主要发 生在夜间和凌晨。我们下载数据包对其进行精细分析,见图18-2。
查看“TCP会话”视图发现,183.16.212.65与内部服务器通 信的TCP会话全部是由183.16.212.65发起连接,并访问服务器的 80端口(如图18-2),所以IPS上报的由内到外的攻击是属于误报。
第18章 通过网络分析验证 IPS设备误报
➢18.1 故障描述 ➢18.2 故障分析 ➢18.3 分析结论及建议
1
18.1 故 障 描 述
有用户反应,根据IPS(Intrusion Prevention System,入 侵预防系统)上报的日志发现,每周某网站服务器都会上报由内 到外发起的Adobe Acrobat/Reader BMP处理远程栈缓冲区溢出 (APSB11-24)攻击,数量非常多,用户不能确定是否存在问题。
6
图18-2 7
通过查看HTTP请求日志发现,183.16.212.65主机请求的全 部是“/ xxxxx137.pdf”,见图18-3。
8Leabharlann 图18-3 9而且在每个TCP会话中我们都能够看到很多TTL值与正常通信 数据包存在差异的RST(重置)数据包,说明在数据传输的过程中 该链接被IPS阻断掉了,而在1318秒之后,客户端又会继续请求 该链接,该过程会重复多次,见图18-4。
20
18.3 分析结论及建议
经过上述分析,我们认为该行为是正常的下载PDF文件的行 为。由于该PDF文件编码中可能含有和该攻击特征值相同的字段, 所以IPS会误报为(APSB11-24)Adobe Acrobat/Reader BMP处理远 程栈缓冲区溢出攻击,并且对其进行了阻断,被阻断后客户端因 某种原因继续请求该文件,所以IPS对该攻击的上报次数非常多。
2
我们知道Adobe Acrobat(10.1)和Reader(10.0.1)及更早版 本的Windows和Macintosh 版,在实现上存在远程代码执行漏洞, 远程攻击者可利用此漏洞执行任意代码,属于应用程序漏洞。
3
18.2 故 障 分 析
我们对IPS上报该问题最严重主机(IP:183.16.212.65)的流 量进行详细分析,如图18-1所示。
15
图18-7 16
为了验证IPS上报的准确性,我们下载该文件,查看IPS的处 理行为,如图18-8和图18-9所示。
17
图18-8 18
图18-9 19
我们从互联网上下载该PDF文件,看到IPS上报由内到外的 (APSB11-24)Adobe Acrobat/Reader BMP处理远程栈缓冲区溢出 攻击,目的地址为1.203.32.11(本机IP地址),而我们的操作仅 仅是从外网正常地下载了正常的文件,所以证明该项警报为误报。
21
建议向IPS设备厂家核实该警报是否有更新的特征库,如果 有就对IPS进行升级。也可以修改IPS策略,把阻断行为改为警告。 由于该漏洞是应用程序漏洞,即使请求该链接也只是普通的文件 下载,不会对服务器造成影响。
22
感谢
23
谢谢,精品课件
资料搜集
24
相关文档
最新文档