【IDP】IDP识别异常，即将IM类特征码误判，造成其它类特征的数据包网络联机被阻止

发布时间：2013-11-19

点击量：2705

1、故障现象
概述

网络拓扑图
1. 本网络拓朴由IPS将内网与外网隔离。RG-IDP Server通过一Switch，与IPS的MGMT端口联机。
2. 所有关于Instant messaging及P2P特征的[攻击后反应]已调整成[丢弃]、[中断来源端]、[中断目的端]。
3. [应用/流量辨识管理]已调整为[管理模式]。
4. 位于LAN端的用户计算机，无法使用实时通信(IM)软件，可以正常到位于Internet的网站下载文件。

故障现象
IDP设备本应阻止（丢弃）所有IM类特征的数据包联机，同时其它类特征的数据包可正常网络联机，但由于误判却造成其它类特征的数据包网络联机被阻止。
1.用户在LAN端计算机(10.1.1.10)通过IE浏览器访问Internet的网站(a.b.c.d)下载fp1.dat文件时，会出现以下错误界面：

fp1.dat下载出错页面
2.此问题可经由重复操作，重现问题。
3.要求要能正常下载fp1.dat文件。

2、故障可能原因
（1）Signature的错误；

3.故障处理流程

4.故障处理步骤：

步骤1.检查特征码和核心程序是否最新
若用户的特征码、核心程序没有更新到最新版本，可能是旧的特征码/核心程序造成误判。所以建议升级到最新版本特征码；
本例中，用户的特征码和核心程序均已更新到最新版本。

步骤2.检查是否是特征码造成误判
一、确认是否是特征码造成误判
将[应用/流量辨识管理]调整为[监测模式]、同步到设备
请用户重新下载fp1.dat
此时用户可顺利下载 fp1.dat，这代表IPS设备的特征码误判造成用户无法正常下载文件。

二、确认是否是IM特征码造成误判
将IM类特征码的[攻击后反应]调整为[允许]、[监控]、[事件记录]
将[应用/流量辨识管理]调整为[管理模式]、同步到设备
请用户重新下载fp1.dat
此时用户可顺利下载 fp1.dat，这代表IM类的特征码误判造成用户无法正常下载文件。

三、观察与网站(a.b.c.d)联机所触发的特征
1)将[应用/流量辨识管理]调整为[管理模式]、同步到设备
2)到[监控] >[实时监控]界面
3)[监控类别]调整为[应用程序]
4)开启[编辑过滤设定]窗口
5)在[单一地址]字段，输入网站的地址(此例为：a.b.c.d)，此时在实时监控界面将仅会显示与a.b.c.d 联机的事件
6)在[类别]字段，选择[Instant messaging]，此时在实时监控界面将仅会显示IM类的事件

7)若此时实时监控界面显示众多不同IP联机到网站a.b.c.d的事件，可利用实时监测界面的[快速筛选]功能，进一步过滤10.1.1.10的IP

8)请用户关闭所有IM类的应用程序，重新下载 fp1.dat (用户仍无法下载fp1.dat)
9)此例显示触发了 IM MSN-Simp Lite communicate via TCP-1 的特征，而且攻击后反应为[丢弃]。此代表IM MSN-Simp Lite communicate via TCP-1可能造成误判。
、

四、确认特定特征码是否造成误判
1)将IM MSN-Simp Lite communicate via TCP-1特征码的[攻击后反应]调整为[允许]、[监控]、[事件记录]
2)用户可顺利下载 fp1.dat。可确认IM MSN-Simp Lite communicate via TCP-1特征码造成误判。

步骤3：调整误判特征码攻击后的反应
临时的规避方案有两种，一种，直接调整该特征码的“攻击后反应”，将其调整为允许；另一种，通过设置保护范围与反应，将指定地址排除；
一、暂时调整误判特征码的[攻击后反应]
将IM MSN-Simp Lite communicate via TCP-1特征码的[攻击后反应]调整为[允许]、[监控]、[事件记录]，将可避免此误判发生。但此作法有可能无法有效阻挡用户使用MSN-Simp Lite的应用程序。

二、设置[保护范围与反应]排除触发特征的外部网站IP
可通过设置[保护范围与反应]的方式，解决此误判问题。
1、确认触发IM MSN-Simp Lite communicate via TCP-1特征时，数据包的方向
此例，触发IM MSN-Simp Lite communicate via TCP-1特征码时，其方向显示如下图，可得到以下结论：
[1]数据包方向为：由WAN到LAN。
[2]因为数据包方向是：由WAN到LAN，代表当触发此特征时，a.b.c.d地址为[来源主机]的地址。

2、确认IM MSN-Simp Lite communicate via TCP-1特征的攻击后反应，已调整为[丢弃]、[中断来源]、[中断目的]

3、为IM MSN-Simp Lite communicate via TCP-1特征码设定[保护范围与反应]，排除 a.b.c.d 地址
[1]为a.b.c.d新建一[IP对象]，并输入a.b.c.d的IP地址。

[2]创建一条[保护范围与反应]，设置如下：

[3]将IM MSN-Simp Lite communicate Bypass a.b.c.d的[保护范围与反应]应用到IM MSN-Simp Lite communicate via TCP-1特征

在完成上述设置后，用户将可顺利到a.b.c.d下载fp1.dat。虽然会触发IM MSN-Simp Lite communicate via TCP-1特征码，但是由于为a.b.c.d设定了[保护范围与反应]，让来源主机为a.b.c.d数据包允许通过，因此用户可顺利下载文件。

步骤4：抓取特征报文提交后台
[1] 将[应用/流量辨识管理]调整为[监测模式]
[2] 在10.1.1.10计算机执行Wireshark，准备撷取数据包
[3] 在Wireshark创建Capture Filter (抓取过滤器)，使得Wireshark只能抓取与a.b.c.d联机的数据包。

Wireshark配置界面
[4] 开始在Wireshark撷取数据包。
[5] 请用户重新下载fp1.dat
[6] 停止撷取数据包。并将所撷取的数据包存档。

提交后台信息汇总：
请将以下信息回报研发：
[1]误判流程说明。(说明发生误判的情况及操作步骤)
[2]设备基本数据：

[3]通过Wireshark所记录的数据包内容。

步骤5：收集信息后，请联系4008111000协助处理
如果经以上4个步骤排查后故障无法解决，请将根据步骤1-3检查配置打包压缩，同时准备好IDP管理服务器的远程方式后联系4008-111000协助处理。
需要收集的信息：
[1]误判应用特征库码实施监控截图；
[2]应用特征反应配置截图；
[3]设备基本数据信息：