普通用户该如何处理网络设备的IDS警报？

大约每周一次，我都能在r/Ubiquiti子论坛看到类似的帖子。Ubiquiti生产的网络设备带有"IDS/IPS"功能。我本人使用过一些旧款Ubiquiti设备，因此对这款产品很熟悉。

当用户启用此功能时，就会收到如这位Reddit用户发布的警报：

这就是Ubiquiti提供的全部信息。

该用户担心他们的系统可能正在尝试入侵互联网上的其他计算机。

以下是我对处理此类警报的建议：

这类警报对大多数用户几乎毫无价值

关键在于尝试理解可能触发警报的原因。此时的CVE编号等信息并不重要。

这里提供一种理解当前状况的方法：

1. 访问
   https://rules.emergingthreats.net/open/suricata-7.0.3/rules/
2. 下载以警报首部分命名的文件（本例中为EXPLOIT）
   https://rules.emergingthreats.net/open/suricata-7.0.3/rules/emerging-exploit.rules
3. 找到触发的规则（这可能需要一些排查工作）。我最终执行了以下命令：

1

grep -i possible emerging-exploit.rules | grep -i log4j | grep -i obfuscation | grep -i udp | grep -i outbound

找到的规则如下：

1

alert udp $HOME_NET any -> any any (msg:"ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (Outbound) (CVE-2021-44228)"; content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100; fast_pattern; reference:cve,2021-44228; classtype:attempted-admin; sid:2034805; rev:3; metadata:attack_target Server, created_at 2021_12_18, cve CVE_2021_44228, deployment Perimeter, deployment Internal, signature_severity Major, tag Exploit, updated_at 2023_06_05, mitre_tactic_id TA0001, mitre_tactic_name Initial_Access, mitre_technique_id T1190, mitre_technique_name Exploit_Public_Facing_Application;)

您可以忽略其中90%的内容。关键信息在这里：

1

content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100

以及这里：

1

udp $HOME_NET any -> any any

现在，您需要评估：在您的家庭网络中，出现任何UDP流量（从家庭网络到任意目的地，使用任意端口）包含以下字符串的可能性有多大？

• 字符串24 7b
• 随后在100字节内出现字符串24 7b 3a 3a

我猜测在随机正常流量中出现这种情况的可能性相当高。

因此，在没有其他证据的情况下，我认为您可以忽略此警报。

如果您希望未来能更好地理解此类情况，请随时查阅我撰写的所有关于网络安全监控的资料。祝您好运！

问题的根源

这正是我自1998年以来一直推广网络安全监控，并将我的第一本书副标题定为"超越入侵检测"的原因。单纯的网络入侵检测，如果没有支持数据，甚至没有规则解释，几乎毫无价值。

值得庆幸的是，本例中的供应商至少使用了开放规则集，使得这种初步探索成为可能。