普通用户如何处理网络设备中的IDS警报

大约每周一次，我都能在r/Ubiquiti子版块看到类似的帖子。Ubiquiti生产的网络设备带有"IDS/IPS"功能。我拥有一些较旧的Ubiquiti设备，因此对产品很熟悉。

当你启用此功能时，会收到像这位Reddit用户发布的警报：

这就是Ubiquiti提供的全部信息。这位Reddit用户担心他们的系统可能正在尝试攻击互联网上的某人。

以下是我对如何处理这些警报的回答。

这是另一个例子，说明这类警报对大多数用户来说几乎毫无价值。

关键在于尝试理解什么可能导致警报触发。此时，CVE等内容都无关紧要。

这里有一种方法可以大致了解发生了什么。

访问 https://rules.emergingthreats.net/open/suricata-7.0.3/rules/

下载以警报第一部分命名的文件。这里就是EXPLOIT。 https://rules.emergingthreats.net/open/suricata-7.0.3/rules/emerging-exploit.rules

找到触发的规则。这可能需要一些挖掘。以下是我最终的做法。

1

grep -i possible emerging-exploit.rules | grep -i log4j | grep -i obfuscation | grep -i udp | grep -i outbound

就是这个。

1

alert udp $HOME_NET any -> any any (msg:"ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (Outbound) (CVE-2021-44228)"; content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100; fast_pattern; reference:cve,2021-44228; classtype:attempted-admin; sid:2034805; rev:3; metadata:attack_target Server, created_at 2021_12_18, cve CVE_2021_44228, deployment Perimeter, deployment Internal, signature_severity Major, tag Exploit, updated_at 2023_06_05, mitre_tactic_id TA0001, mitre_tactic_name Initial_Access, mitre_technique_id T1190, mitre_technique_name Exploit_Public-Facing_Application;)

你可以忽略其中的90%。关键在这里：

1

content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100

还有这里：

1

udp $HOME_NET any -> any any

现在，你必须猜测你的家庭网络到任何地方、任何端口的UDP流量中包含这个字符串

1

24 7b

后跟这个字符串

1

24 7b 3a 3a

在接下来的100字节内的可能性有多大？

我猜测在随机的正常流量中这种情况很可能发生。

因此，在没有其他证据的情况下，我认为你可以忽略这个警报。

如果你希望将来更好地理解这种情况，请随时查看我写的任何关于网络安全监控的内容。祝你好运！

这个问题就是我自1998年以来一直推广网络安全监控，并将我的第一本书副标题定为"超越入侵检测"的原因。网络入侵检测本身，没有支持数据，甚至没有规则解释，几乎毫无价值。

幸运的是，在这种情况下，供应商至少使用了开放的规则集，使得这种微弱的探索成为可能。