某日一早,多人反映单位里的网络访问出了问题,服务器时好时坏,几乎无法正常访问。于是火速进入机房,对服务器进行检查,发现系统运行正常,网线接触也没发现问题,但在此服务器上ping外网不通。根据经验,决定先停掉apache,过了一会之后,网络恢复正常。重新开启apache,很快此服务器的网络访问又中断。极度疑问之中,想到会不会IPS等安全设备干的。于是登陆IPS设备检查,果然发现IPS在不断提示此务器有异常攻击行为,并阻断了此服务器的网络通讯!经过检查,发现此阻断行为仅与特定的一个安全规则有关,这个规则就是CVE-2015-3145--cURL/libcURL远程拒绝服务漏洞。
IPS关于此漏洞的描述比较简单:
cURL/libcURL是命令行传输文件工具,支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP。cURL及libcurl 7.31.0-7.41.0版本,sanitize_cookie_path函数没有正确计算索引,远程攻击者通过包含双引号的cookie路径,利用此漏洞可造成拒绝服务。
于是马上百度继续寻找与此漏洞相关的信息,但所有的信息几乎都和IPS设备提供的信息一致,没有更多的东西可以参考。根据此漏洞的描述,我猜测,IPS的检测依据应当是http报文中的set cookie字段的path参数,如果path参数中只有双引号,则可能导致IPS拦截。但反复分析了其所拦截的所有报文,并没有发现异常现象。很是奇怪。只好联系此设备厂家咨询。根据厂家有求,将相关报文发送给了厂家技术人员,厂家技术人员在两天之后才给了回复,承认IPS关于此条规则的判断太笼统,从而导致误判,稍后会给出修复。
至此问题算是告一段落了。但这也使我想到,所谓掌握网络安全大门的IPS设备,在安全检测上如果不能做到准确可靠,将会给客户带了极大的困惑。虽说安全检测会有误报不可避免,但由于设计上的不够细致,使本来可以避免的失误,却没有避免,这就是人的问题了。
IPS、WAF等安全设备价格一般都相当昂贵,如果对安全的检测太机械死板,甚至连规则的匹配都设计的相当粗陋,实在太不应该了。不但可能无法保证安全,反而可能会成为安全的累赘。
AlphaGo的利害大家都领略过了,现在大家都在炒作人工智能。作为安全领域的专家们,安全智能机器人迫切需要你们的开发和应用。别只满足于现有的安全检则手段,它们已经落后了,无法满足于现在越来越复杂的网络应用。否则就只能成为摆设。
|
聚享站 | 培训学校管理系统 | 惊觉社区 | 杭州同城分类信息 | |
 这视界浙ICP备17017888号 |
