抓包验证IPS误报.pdfVIP

通过网络分析验证 IPS 设备误报 用户反应：根据 IPS 上报的日志发现，每周某网站服务器都会上报由内到 外发起的Adobe Acrobat/Reader BMP 处理远程栈缓冲区溢出 （APSB11-24 ） 攻击 ，数量非常多。用户不能确定是否存在问题。 我们知道 Adobe Acrobat(10.1)和 Reader(10.0.1) 及更早版本的 Windows 和 Macintosh 版，在实现上存在远程代码执行漏洞，远程攻击者可利用此漏洞 执行任意代码 ，属于应用程序漏洞。 我们对 IPS 上报该问题最严重主机（5 ）的进行详细分析： 通过上图我们可以发现该 IP 的访问时段比较集中，主要发生在夜间和凌晨。 我们下载数据包对其进行精细分析。 通过网络分析验证 IPS 设备误报 Rabbit Internet 地址向该网站发起连接 查看 TCP 会话视图发现，5 与内部服务器通讯的 TCP 会话， 全部是由 5 发起连接，访问服务器的 80 端口，所以 IPS 上报的由 内到外的攻击是属于误报。 通过网络分析验证 IPS 设备误报 Rabbit 通过查看 HTTP 请求日志发现，5 主机请求的全部是 http://www.XXXXX.com/xxxxx 137.pdf。 而且在每个 TCP 会话中我们都能够看到很多的 RST （重置）数据包，说明 在数据传输的过程中该链接被 IPS 阻断掉了，而在 1318 秒之后，客户端又会继 续请求该链接，该过程会重复多次。 由于该漏洞是针对于Adobe 的应用程序的漏洞，所以对内部服务器的影响 不大，为了排除内部网站服务器被恶意控制的可能性，我们再来分析被请求的文 件是否正常，我们下载了该文件，并且对其进行病毒查杀，并未发现任何异常。 通过网络分析验证 IPS 设备误报 Rabbit 我们又下载了几个上报该问题 IP 的数据包分析，发现其他 IP 多是对该网站 的爬站行为，请求到http://www.XXXXX.com/xxxxx 137.pdf 链接时发生报警。（如 下图，Google 对该网站爬站） 为了验证 IPS 的上报准确性，我们下载该文件，查看 IPS 的处理行为。 通过网络分析验证 IPS 设备误报 Rabbit 我们可以看到 IPS 上报由内到外的 （APSB11-24 ）Adobe Acrobat/Reader BMP 处理远程栈缓冲区溢出攻击 ，目的地址为1 （本机IP 地址）。而 我们的操作仅仅是从外网正常的下载了正常的文件，所以证明该项警报为误报。 结论： 经过上述分析，我们认为该行为是正常的下载 PDF 文件的行为，由于该 PDF 文件编码中可能含有和该攻击特征值相同的字段，所以 IPS 会误报为 （APSB11-24 ）Adobe Acrobat/Reader BMP 处理远程栈缓冲区溢出攻击 ，并且 对其进行了阻断，被阻断后客户端因某种原因继续请求该文件，所以 IPS 对该 攻击的上报次数非常多。 建议： 向 IPS 设备厂家核实该警报的特征库，是否有更新的特征库，如果有更新 对 IPS 进行升级； 修改 IPS 策略，把阻断行为改为警告。由于该漏洞是应用程序漏洞，即使 通过网络分析验证 IPS 设备误报 Rabbit 请求该链接也只是普通的文件下载，不会对服务器造成影响。