充分利用你的IDS

    2005年7月的一天，我们接到公司的一个客户的电话，声称网络速度突然变慢，可能遭受了蠕虫攻击，我和同事迅速赶到现场，因为这个客户曾购买了我们的IDS设备，而且一直在使用，所以我们的第一想法，就是到IDS上去看看日志情况。可是很显然：客户对于安全问题的重视不够，管理员根本不知道IDS用于维护的IP地址、帐号和密码信息，管理员的机器上虽然安装了IDS的管理软件，但从来没用过，当然期间，因为客户公司搬家，原来的维护人员离开了这个部门，但并没有把与安全相关的IDS的登记信息交接给新的管理员。于是我们只能通过串口线连接到IDS设备上，竟然使用我们出厂默认配置的口令，登录到IDS的命令行管理模式下，获得了IP地址，客户的管理员没有修改出厂的默认配置，这也是不重视安全的一个重要体现。当我们通过管理员主机上的管理软件连接到IDS设备上，清楚地看到IDS正在不停地发出两个严重的报警：“RPC DCOM 缓冲溢出攻击企图2”和“NETBIOS SMB-DS DCERPC LSASS 震荡波蠕虫病毒(Worm.Sasser)”

    攻击源有十多台主机，被攻击对象比较随机，看来管理员判断为蠕虫感染还是比较准确的。我们将所有攻击源（怀疑是蠕虫病毒的传播源）的IP记录下来，管理员显然在执行网管工作方面比执行安全工作更为优秀，他很快就定位了这些IP地址的使用人，所在的物理位置，并带领我们去一一检查。

    在这些可疑主机上，我们发现都已经安装了防病毒程序了，但是并没有发现对“冲击波蠕虫和震荡波蠕虫”查杀的日志，可是为什么IDS还有大量的“DCOM RPC缓冲区溢出攻击”的报警呢。此时我们发现正在检查的主机上有一个可疑的服务“Externtelecom”，以LocalSystem身份加载，自动启动，描述为“Extern telecom Service”，对应文件为C:WINNTextel.exe, 随后禁用网卡，禁用该服务，但无法手动停止。

     查看网络连接状态非常可疑，产生有大量连接，并且这些非正常连接均由Externtelecom服务的extel.exe,产生，由此可证明此文件为病毒体，后经研究发现：这是一种集IRC后门、蠕虫功能于一体最新的病毒程序，通过网络共享和操作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播。病毒尝试通过弱密码登陆目标系统，在感染的电脑上打开后门接收指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞；还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS（拒绝服务）攻击等。同时病病毒使用高度隐藏技术，用户中招后很难察觉，最终沦为网络僵尸，被黑客完全操纵。

    而IDS的报警“RPC DCOM 缓冲溢出攻击企图2”也是非常正确的，不过非常可惜的是：这些报警并没有引起管理员的马上注意。虽然病毒不是冲击波和震荡波，但利用的漏洞却和这两种蠕虫病毒利用的漏洞一样，这就是IDS和防病毒产品最大的区别，防病毒产品只能根据蠕虫病毒文件的特征体来辨别病毒，而IDS却是通过协议解析等手段对蠕虫的异常网络行为进行检测，发现蠕虫的网络活动。

    用木马Netbus举例来说，Netbus木马有两个应用程序patch.exe和netbus.exe，其中patch.exe是木马程序，通常被黑客种植在他所控制的主机系统中，当程序运行后，会默认打开12345端口；而netbus是远程管理程序，通常在黑客的主机系统上运行，去连接被黑主机系统的12345端口，从而完全控制被黑主机。防病毒软件一旦发现硬盘上有patch.exe和netbus.exe程序，不管这些程序是否在运行中，马上就会进行报警并查杀；而IDS是在netbus程序运行后，并连接被黑主机的12345端口时，才开始报警的。

    当然“震荡波”蠕虫病毒也是如此，最初震荡波蠕虫是生成avserve.exe病毒文件，防病毒软件只要检测到这个病毒文件内的特征体，马上进行报警和查杀，如果蠕虫制造者改变了病毒文件的特征体，当前的防病毒产品就不能马上检查出来；而IDS是在这个程序去探测其他主机是否存在LSASS缓冲区溢出漏洞时、或者是这个程序利用其他主机的LSASS缓冲区溢出漏洞向其发送数据包时，开始进行报警，与蠕虫病毒文件的特征体无关；因此“震荡波”只是利用LSASS缓冲区溢出漏洞的一种表现形式，更大更隐蔽的威胁其实是利用该漏洞的各种攻击和入侵行为，因为利用该漏洞可以远程获取对方主机的LocalSystem最高权限，以至于可以完全控制对方主机的所有一切，而且很难进行发现和追查。杀毒软件则只能检测和查杀病毒，对于攻击和入侵行为无能为力。这正是IDS能够检测一些未知的蠕虫病毒的重要原因。

    而我们不得不反思的是：如果在IDS刚刚报警时，就去解决安全问题，其安全损失就可以降低到非常小的范围内。所以管理员千万不要忽视IDS的作用，象维护其他服务器设备一样来维护它吧，登记其IP地址、管理员帐号、物理位置等，并将供应商出厂的默认配置帐号进行修改，充分地利用你的IDS设备，将会有效提升网络维护工作的效率。

过程一：启用“攻击检测”

过程二：应用安全策略

 过程三：经常看看实时告警或者攻击检测日志，那里有非常重要的信息