普通用户该如何处理网络设备发出的IDS警报？

每周我都会在r/Ubiquiti子论坛看到类似的帖子。Ubiquiti生产的网络设备带有"IDS/IPS"功能。我自己也使用过一些旧款Ubiquiti设备，所以对这个产品很熟悉。

当启用这个功能时，你会收到像这位Reddit用户发布的警报：

![Ubiquiti提供的警报截图]

这位用户担心他们的系统可能正在尝试攻击互联网上的某个人。

以下是我对如何处理这类警报的建议：

== 这个例子再次证明，这类警报对大多数用户几乎毫无价值。

关键是要理解什么可能触发了这个警报。此时CVE编号等信息都无关紧要。

这里有一个方法可以帮助你初步了解发生了什么：

访问 https://rules.emergingthreats.net/open/suricata-7.0.3/rules/
下载与警报第一部分同名的文件（本例中是EXPLOIT） https://rules.emergingthreats.net/open/suricata-7.0.3/rules/emerging-exploit.rules
找到触发的规则。这可能需要一些搜索。我最终使用了以下命令：

1

grep -i possible emerging-exploit.rules | grep -i log4j | grep -i obfuscation | grep -i udp | grep -i outbound

找到的规则如下：

1

alert udp $HOME_NET any -> any any (msg:"ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (Outbound) (CVE-2021-44228)"; content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100; fast_pattern; reference:cve,2021-44228; classtype:attempted-admin; sid:2034805; rev:3; metadata:attack_target Server, created_at 2021_12_18, cve CVE_2021_44228, deployment Perimeter, deployment Internal, signature_severity Major, tag Exploit, updated_at 2023_06_05, mitre_tactic_id TA0001, mitre_tactic_name Initial_Access, mitre_technique_id T1190, mitre_technique_name Exploit_Public_Facing_Application;)

你可以忽略其中90%的内容。关键信息在这里：

1

content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100

和这里：

1

udp $HOME_NET any -> any any

现在，你需要评估这种情况发生的可能性：你的家庭网络中是否有任何UDP流量（任意端口）会包含字符串24 7b，并且在接下来的100字节内还包含24 7b 3a 3a？

我猜测在正常的随机流量中，这种情况是有可能发生的。

因此，在没有其他证据的情况下，我认为你可以忽略这个警报。

如果你想在未来更好地理解这类警报，欢迎查阅我关于网络安全监控的任何著作。祝你好运！

== 这个问题正是为什么我从1998年就开始推广网络安全监控，并给我的第一本书加上了副标题"超越入侵检测"。单纯的网络入侵检测，如果没有支持数据和规则解释，几乎毫无价值。

值得庆幸的是，至少这个厂商使用了开放的规则集，使得这种有限的探索成为可能。