[TIPS]Short Tech Tips about Security in EST
信息来源:邪恶八进制 中国这里发一些简短的网络安全技巧和经验 经过邪恶八进制的整理.....
欢迎大家一起加入我们的TIPS建设计划:)
请不要灌水... 新IDS上的误检测
我最近配置了一台“事先打好包”的Snort入侵检测系统,Snort报告了大量的端口扫描击。
有趣的是,全部攻击都是内部IP地址对外部的。我知道我们的职员没有运行端口扫描。您知道是什么原因造成了误检测,如何消除吗?(我知道是Portscan2预处理程序产生了这些报告。)
这里有一些信息:
ID #450-(1-27365)
< Signature > (spp_portscan2) Portscan detected from 10.2.4.11: 8 targets 8 ports in 11
seconds 2004-08-10 09:46:08
< SourceAddress > 10.2.4.11:1497
< Dest.Address > 216.73.85.29:80
< Layer 4Proto > TCP
可能有的机器上运行了特洛伊木马,但是我根据你提供的信息,提出一个更好的解释。
目的地址结尾处的:80是指TCP的80端口,它通常用于http(网页浏览)。目的地址指向[url]http://216.73.85.29[/url]显示它是来自DoubleClick公司的广告。所以实际情况可能是许多用户在浏览包含广告的网页。这样就产生了大量对这些站点的请求,广告客户为了了解谁在看广告,搜集这些链接。这甚至会发生在基于http的电子邮件上,不只是在浏览器上。新的XP SP2防火墙默认会阻止http电子邮件中这类问题的发生(至少在Outlook Express中可以,我没有试过其他软件)。
我需要仔细检查你的日志来验证是的确如此还是存在更严重的攻击行为。如果我的判断是对的,那么你需要制订规则过滤这种类型的误检测。也许你不应该检测到80端口的连接,尽管这样做可能会遗漏一些信息。 删除WinPcap库对恶意使用扫描软件的影响
微软已经决定将WinPcap库从带SP2的XP系统中删除,恶意使用扫描软件的影响是什么?
WinPcap库是一个标准接口,使以太网设备可以作为网络分析器使用。微软把它从SP2中删除,是出于安全考虑。这阻止了攻击者利用系统的小漏洞,将WinPcap用于嗅探网络。
现在,当然,恶意攻击者仍然可以安装WinPcap库,任何用户如果想要也可以自己安装。但是这的确给那些组建网络用于传播垃圾邮件以及其他恶劣行径的人制造了一点麻烦。
页:
[1]