通過網絡分析驗證IPS設備攻擊誤報

問題描述

某用戶反應：根據IPS上報的日志發現，每周某網站服務器都會上報，由內到外發起的Adobe Acrobat/Reader BMP處理遠程棧緩沖區溢出（APSB11-24）攻擊，數量非常多。用戶不能確定是否存在問題。我們知道Adobe Acrobat和Reader及更早版本的Windows和Macintosh版，在實現上存在遠程代碼執行漏洞。遠程攻擊者可利用此漏洞執行任意代碼，屬于應用程序漏洞。

分析結論

經過上述分析，我們認為該行為是正常的下載PDF文件的行為。由于該PDF文件編碼中，可能含有和該攻擊特征值相同的字段，所以IPS會誤報為（APSB11-24）Adobe Acrobat/Reader BMP處理遠程棧緩沖區溢出攻擊，并且對其進行了阻斷。被阻斷后客戶端因某種原因繼續請求該文件，所以IPS對該攻擊的上報次數非常多。

建議用戶向IPS設備廠家核實該警報的特征庫，是否有更新的特征庫。如果有更新對IPS進行升級；修改IPS策略，把阻斷行為改為警告。由于該漏洞是應用程序漏洞，即使請求該鏈接，也只是普通的文件下載，不會對服務器造成影響。

分析價值

網絡分析技術對常規網絡管理手段是一個很好的補充。可以深入分析IPS等安全設備的告警信息，并能提供數據包級的分析依據。

分析過程

我們對IPS上報該問題最嚴重的主機（183.16.212.65）進行數據采集及詳細分析。如圖1所示，我們發現該IP的訪問時段比較集中，主要發生在夜間和凌晨。我們下載數據包對其進行精細分析。

圖1 數據采集及分析

查看TCP會話視圖發現，183.16.212.65與內部服務器通訊的TCP會話，全部是由183.16.212.65發起連接，訪問服務器的80端口。所以IPS上報的由內到外的攻擊是屬于誤報。

通過查看HTTP請求日志發現，183.16.212.65主機請求的全部是http://www.XXXXX.com/xxxxx 137.pdf。 而 且，在 每 個TCP會話中，我們都能夠看到很多TTL值與正常通訊數據包存在差異的RST（重置）數據包。說明在數據傳輸的過程中，該鏈接被IPS阻斷掉了。而在1318秒之后，客戶端又會繼續請求該鏈接，該過程會重復多次。

由于該漏洞是針對于Adobe的應用程序的漏洞，所以對內部服務器的影響不大。為了排除內部網站服務器被惡意控制的可能性，我們再來分析被請求的文件是否正常。我們下載了該文件，并且對其進行病毒查殺，并未發現任何異常。

我們又下載了幾個上報該問題IP的數據包分析，發現其他IP多是對該網站的爬站行為。請求到http://www.XXXXX.com/xxxxx 137.pdf鏈接時發生報警。（如圖2所示，Google對該網站爬站）

圖2 TCP會話視圖

為了驗證IPS的上報準確性，我們下載該文件，查看IPS的處理行為。

我們從互聯網上下載該PDF文件，看到IPS上報由內到外的（APSB11-24）Adobe Acrobat/Reader BMP處理遠程棧緩沖區溢出攻擊，目的地址為1.203.32.11（本機IP地址），見上兩圖。而我們的操作，僅僅是從外網正常的下載了正常的文件。所以證明該項警報為誤報。