《CSNA網絡分析認證專家實戰(zhàn)案例》課件-第18章

第18章通過網絡分析驗證IPS設備誤報18.1故障描述 18.2故障分析 18.3分析結論及建議

有用戶反應，根據IPS(IntrusionPreventionSystem，入侵預防系統)上報的日志發(fā)現，每周某網站服務器都會上報由內到外發(fā)起的AdobeAcrobat/ReaderBMP處理遠程棧緩沖區(qū)溢出(APSB11-24)攻擊，數量非常多，用戶不能確定是否存在問題。18.1故障描述我們知道AdobeAcrobat(10.1)和Reader(10.0.1)及更早版本的Windows和Macintosh版，在實現上存在遠程代碼執(zhí)行漏洞，遠程攻擊者可利用此漏洞執(zhí)行任意代碼，屬于應用程序漏洞。

我們對IPS上報該問題最嚴重主機(IP：5)的流量進行詳細分析，如圖18-1所示。18.2故障分析

圖18-1通過上圖我們可以發(fā)現，該IP的訪問時段比較集中，主要發(fā)生在夜間和凌晨。我們下載數據包對其進行精細分析，見圖18-2。

查看“TCP會話”視圖發(fā)現，5與內部服務器通信的TCP會話全部是由5發(fā)起連接，并訪問服務器的80端口(如圖18-2)，所以IPS上報的由內到外的攻擊是屬于誤報。

圖18-2通過查看HTTP請求日志發(fā)現，5主機請求的全部是“/xxxxx137.pdf”，見圖18-3。

圖18-3而且在每個TCP會話中我們都能夠看到很多TTL值與正常通信數據包存在差異的RST(重置)數據包，說明在數據傳輸的過程中該鏈接被IPS阻斷掉了，而在1318秒之后，客戶端又會繼續(xù)請求該鏈接，該過程會重復多次，見圖18-4。

圖18-4由于該漏洞是針對于Adobe應用程序的漏洞，所以對內部服務器的影響不大。為了排除內部網站服務器被惡意控制的可能性，再來分析被請求的文件是否正常。我們下載了該文件，并且對其進行病毒查殺，并未發(fā)現任何異常，見圖18-5和18-6。

圖18-5

圖18-6我們又下載了幾個上報該問題IP的數據包進行分析，發(fā)現其他IP多是對該網站的爬站行為，請求到“/xxxxx137.pdf”鏈接時發(fā)生報警(如圖18-7所示為Google對該網站爬站)。

圖18-7為了驗證IPS上報的準確性，我們下載該文件，查看IPS的處理行為，如圖18-8和圖18-9所示。

圖18-8

圖18-9我們從互聯網上下載該PDF文件，看到IPS上報由內到外的(APSB11-24)AdobeAcrobat/ReaderBMP處理遠程棧緩沖區(qū)溢出攻擊，目的地址為1(本機IP地址)，而我們的操作僅僅是從外網正常地下載了正常的文件，所以證明該項警報為誤報。

經過上述分析，我們認為該行為是正常的下載PDF文件的行為。由于該PDF文件編碼中可能含有和該攻擊特征值相同的字段，所以IPS會誤報為(APSB11-24)AdobeAcrobat/ReaderBMP處理遠程棧緩沖區(qū)溢出攻擊，并且對其進行了阻斷，被阻斷后客戶端因某種原因繼續(xù)請求該文件，所以IPS對該攻擊的上報次數非常多。18.3分析結論及建議建議向IPS設備廠家核實該警報是否有更新的特征庫，如