演示：思科IPS在线模式下Inline Interface Mode的响应行为(区别各个防御行为）

sdsk

演示：思科IPS在线模式下Inline Interface Mode的响应行为

演示目标：科IPS在线模式下InlineInterface Mode的响应行为。
演示环境：仍然使用图5.16所示的网络环境。

演示背景：在VLAN3的主机192.168.4.2上发起对主机192.168.4.1的漏洞扫描进行，确定该主机的安全漏洞，为入侵行为做准备，但是现在主机192.168.4.2对主机192.168.4.1的扫描流量要经过在线模式的IPS才能到达目标主机，此时IPS就能检测到扫描流量，但是默认情况下IPS对只对该进行进行报警，并不执行其它的其它行为，此时，需要调整相关的signature，使用阻止并过滤扫描进行为，然而思科的IPS可以提供的防御行为有很多种，那么在这个案例中，会帮助大家去理解每一种防御行为，然后测试典型的防御行为。
演示工具：X-Scan扫描器，思科的IPS系统。


演示步骤：
第一步：在192.168.4.2上使用X-scan对192.168.4.1进行漏洞扫描，图5.33所示为指定需要扫描的主机的IP地址范围，在这里是主机192.168.4.1，然后开始执行扫描如下图5.34所示，可以扫描出192.168.4.1开放的端口和漏洞。



第二步：现在到思科IPS系统上查看事件，如下图5.35所示，IPS报告了一个TCP端口扫描的事件，安全等级是Low（低）,事实上也是，扫描是为攻击或者入侵做准备的黑客行为，也是一个非法行为的开始。但是这并不意味着真正的攻击或者入侵开始了，所以它的安全报警级别是低,就即便是这样，我们也不能让客户如愿以偿的进行“快乐扫描”，所以现在我们要分析TCP端口扫描事件的详细内容，请选中该事件，然后点击Details按钮。

得到如下图5.36所示的详细信息，可以看到触发该报警的SigID是3002，它指示着一个基于TCP SYN的扫描，并显示了攻击者和目标的IP地址，以及触发了目标那些端口。

第三步：现在开始做防御工作，因为触发SigID3002（TCP SYN扫描）默认的行为是报警，而此时，管理员认为这种单纯的报警行为是不足以达到阻止黑客扫描的目标，所以需要修改SigID3002的Actions选项，使其阻止黑客的扫描行为，首先如图5.37所示，通过SigID找到3002的signature的位置，然后单击Actions出现如图5.38所示的对话框，请选择Deny attacker Inline，该选项的意义是：触发signature的源主机的所有流量将被deny，不管是它访问别人或者别人访问该主机的流量都全部deny。然后点击OK，最后将配置应用，如下图5.39所示。


注意：如图5.38所示的Actions选项中有很多种防御行为的选择，这将在演示过程的最后环节来详细描述每一种行为的作用和意义！

第四步：现在主机192.168.4.2 ping一次192.168.4.1，如图5.40所示，能成功ping通，因为现在主机192.168.4.2并没有做出违规事件，此时在主机192.168.4.2上再次使用X-scan扫描主机192.168.4.1，结果如图5.41所示，什么内容也扫描不出来，因为主机192.168.4.2到192.168.4.1的所有扫描流量都被处于在线模式下的IPS拒绝了，此时，除了扫描流量被拒绝以外，主机192.168.4.2到任何主机的任何流量都会被拒绝，可以在主机192.168.4.2上再ping一次192.168.4.1结果如下图5.42所示，通信失败。

此时，可以通地monitoringDeniedAttackers，可以看到如图5.43所示的黑名单，明显可看出主机192.168.4.2被放入的黑名单中，所以它不能与任何主机通信。如果要让主机192.168.4.2恢复通信能力，必须点击Clear list将其从被拒绝名单中清除，现在将其清除，让主机恢复通信能力，当完成清除后，再到主机192.168.4.2上ping 192.168.4.1,如图5.44所示，恢复通信能力。


当触发signature时，在Actions中有很多的防御行为，如下图5.45所示，现在我们逐个来分析这些不同防御行为的功能与差异，具体如下所述：

üDeny attacker inline:[url=]触发signature[/url]的源主机的所有流量将被deny，不管是它访问别人或者别人访问该主机的流量都通通deny。
üDeny attacker service pair inline: 触发signature的源主机去往目标特点端口号的流量全部被deny，匹配相同的源和目标的端口号。比如有一个attacker在telnet交换机S1时，执行了恶意代码，触发了signature的Deny attacker service pair inline，那么此时，这个attacker再去往telnet S2、S3、或者Rx都会被拒绝，因为你在执telnet行为时违规，那么就在所有目标端口是23的流量中拒绝你。但是attacker可以与该或者其它主机进行非23号端口的通信，比如ping等。
üDeny attacker Victim Pair inline:触发Signature的源主机(attacker)和目标主机Victim（受害者）之间的流量被deny，但是与其它通信点之间的流量可以正常进行。
üDeny connection inline:只针对TCP会话生效，触发Signature的源主机(attacker)的当前会话被deny,如果attacker重新发起连接，只要新的连接不再触发signature（不违规），那么新连接将被接受。
üDeny [url=]packet[/url] inline:只要是当前触发signature的包都会被拒绝。比如：有一台主机A去ping另一台主机B，此时你为signature2000和2004配置了action为Deny packet inline，那么，此时所有的ICMP包将被deny，而且是来一个就deny一个，但是主机A可以正常的访问主机B或者其它目标主机的其它服务。
üLog Attacker packet:只要是当前触发signature的源主机(attacker)的包全部被记录下来，可以在IP logging里面去查看并下载分析。
üLog Pair packet：只要是当前触发signature的源主机(attacker)和目标主机Victim（受害者）之间的包全部被记录下来，可以在IPlogging里面去查看并下载分析。
üLog Victim packet：只要是当前触发signature的Victim（受害者）的包全部被记录下来，可以在IP logging里面去查看并下载分析。
üProduce Alert: 产生报警，这是默认选项。
üProduce Verbose Alert:产生冗余报警，它包括触发signature的捕获分析。
üRequest Block connection:该选项在IPS与其它设备做联动时有效，比如：在某台路由器或者防火墙上完成Blocking时会使用到，Block connection指示添加扩展访问控制列表。
üRequest Block Host:该选项在IPS与其它设备做联动时有效，比如：在某台路由器或者防火墙上完成Blocking时会使用到，Block host指示添加标准访问控制列表。
üRequest SNMP Trap:向SNMP网管中心发送报警。
üReset TCP connection:针对TCP生效，将当前触发signature的TCP会话reset。

第五步：现在来模拟一个针对微软IIS的Unicode攻击，然后当攻击流量被IPS检测后，偿试使用Deny attackerservice pair inline的方式来进行入侵防御，并区别它去上一步中使用Deny attacker inline进行防御的差异。首先需要建设模拟Unicode攻击的环境，在VLAN3的服务器192.168.4.1上配置DNS、Web服务，关于这二项服务的部署由于不属于本课程的讨论范围，所以在这里不作过多描述，如果学生建设上述二项服务有困难，那么请教师部署上面描述的二项服务，并确保Vlan3的客户机192.168.4.2可以成功的DNS、Web服务，为后面安全违规入侵检测与防御做好准备工作。

第六步：如下图5.46所示，在Web客户机的IE中输入http://www.jinpei.com/..%c0%af..这样一个URL。其中“..%c0%af..”就是针对微软IIS的Unicode攻击的特征码。

注意：在此处只是直接通过在IE中输入“..%c0%af..”特征码来模拟针对微软IIS的Unicode攻击，当然也可以使用“%c1%1c”来模拟，关于Unicode攻击的原理不是本课程描述的重点，所以大家可以去查看更新的资料，而在这里不作过多描述。


第七步：此时回到IDM主机上来查看IPS检测Unicode攻击的效果，如下图5.47所示，显示了一个等级为高危的Unicode攻击的报警，可以选中该报警，点击Details..查详细信息如下图5.48所示，在详细信息中明确指示出了攻击的源主机和被攻击的主机，以及触发的SigID为5114，触发特征“..%c0%af..”等信息。


此时，在如下图5.49所示的环境中定位SigID5114，触发该SigID的行为只是报警，可以通过单击Actions按钮出现如下图5.50所示改变行为是Deny attacker service pair inline。然后再到Web客户机的IE中输入一次http://www.jinpei.com/..%c0%af..使其违规流量再次触发SigID5114。此时，攻击主机发起的会话被列入拒绝名单，如下图5.51所示。然后在IP Logging会记录下这个会话，以及会话开始的时间，如下图5.52所示。




提问：当完成上述行为后，此时到Web客户机的IE中输入一次http://www.jinpei.com进行正常的访问，或者访问别的目标Web服务器，能成功吗？但进行其它非Web流量类的通信可以吗，比如ICMP通信？
回答：不能成功进行任何Web访问，如下图5.53所示；但是可以进行其它非Web流量的通信，比如ICMP，如下图5.54所示，因为Deny attacker service pair inline的行为是触发signature的源主机去往目标特点端口号的流量全部被deny，匹配相同的源和目标的端口号。

zhangsanfeng88

比我有才的都没我帅，比我帅的都没我有才！

tyxiayu

只要不下流，我们就是主流!

yanghongjun

走，MM，咱们化蝶去……

gznz12345

我抢、我抢、我抢沙发~

杨叔叔

宁可胖的精致，也不瘦的雷同。

坏气十足

如果回忆像钢铁般坚硬那么我是该微笑还是哭泣,如果钢铁记忆般腐蚀那这里是幻城,还是废墟.