教你追蹤網(wǎng)絡(luò)攻擊讓 無處可逃 -電腦資料

電腦資料 時(shí)間:2019-01-01 我要投稿
【m.clearvueentertainment.com - 電腦資料】

    網(wǎng)絡(luò)是個(gè)大舞臺(tái),這個(gè)舞臺(tái)中不光有安全人員也有 份子所組成,

教你追蹤網(wǎng)絡(luò)攻擊讓 無處可逃

。對(duì)于一些重要的部門,一旦網(wǎng)絡(luò)遭到攻擊,如何追蹤網(wǎng)絡(luò)攻擊,追查到攻擊者并將其繩之以法,是十分必要的。下面的文章分本地追蹤和網(wǎng)絡(luò)追蹤兩部份。

   本地追蹤方法

   追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭。它有兩個(gè)方面意義:一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機(jī)名;二是指確定攻擊者的身份。網(wǎng)絡(luò)攻擊者在實(shí)施攻擊之時(shí)或之后,必然會(huì)留下一些蛛絲馬跡,如登錄的紀(jì)錄,文件權(quán)限的改變等虛擬證據(jù),如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)。

   在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問題是:IP地址是一個(gè)虛擬地址而不是一個(gè)物理地址,IP地址很容易被偽造,大部分網(wǎng)絡(luò)攻擊者采用IP地址欺騙技術(shù)。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此,必須采用一些方法,識(shí)破攻擊者的欺騙,找到攻擊源的真正IP地址。

   netstat命令----實(shí)時(shí)查看攻擊者

   使用netstat命令可以獲得所有聯(lián)接被測(cè)主機(jī)的網(wǎng)絡(luò)用戶的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netstat”命令。

   使用“netstat”命令的缺點(diǎn)是只能顯示當(dāng)前的連接,如果使用“netstat”命令時(shí)攻擊者沒有聯(lián)接,則無法發(fā)現(xiàn)攻擊者的蹤跡。為此,可以使用Scheduler建立一個(gè)日程安排,安排系統(tǒng)每隔一定的時(shí)間使用一次“netstat”命令,并使用netstat>>textfile格式把每次檢查時(shí)得到的數(shù)據(jù)寫入一個(gè)文本文件中,以便需要追蹤網(wǎng)絡(luò)攻擊時(shí)使用。

   日志數(shù)據(jù)--最詳細(xì)的攻擊記錄

   系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的用戶登錄信息。在追蹤網(wǎng)絡(luò)攻擊時(shí),這些數(shù)據(jù)是最直接的、有效的證據(jù),

電腦資料

教你追蹤網(wǎng)絡(luò)攻擊讓 無處可逃》(http://m.clearvueentertainment.com)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善,網(wǎng)絡(luò)攻擊者也常會(huì)把自己的活動(dòng)從系統(tǒng)日志中刪除。因此,需要采取補(bǔ)救措施,以保證日志數(shù)據(jù)的完整性。

   Unix和Linux的日志

   Unix和Linux的日志文件較詳細(xì)的記錄了用戶的各種活動(dòng),如登錄的ID的用戶名、用戶IP地址、端口號(hào)、登錄和退出時(shí)間、每個(gè)ID最近一次登錄時(shí)間、登錄的終端、執(zhí)行的命令,用戶ID的賬號(hào)信息等。通過這些信息可以提供ttyname(終端號(hào))和源地址,是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)。

   大部分網(wǎng)絡(luò)攻擊者會(huì)把自己的活動(dòng)記錄從日記中刪去,而且UOP和基于X Windows的活動(dòng)往往不被記錄,給追蹤者帶來困難。為了解決這個(gè)問題,可以在系統(tǒng)中運(yùn)行wrapper工具,這個(gè)工具記錄用戶的服務(wù)請(qǐng)求和所有的活動(dòng),且不易被網(wǎng)絡(luò)攻擊者發(fā)覺,可以有效的防止網(wǎng)絡(luò)攻擊者消除其活動(dòng)紀(jì)錄。

   Windows NT和Windows 2000的日志

   日志,而與安全相關(guān)的數(shù)據(jù)包含在安全日志中。安全日志記錄了登錄用戶的相關(guān)信息。安全日志中的數(shù)據(jù)是由配置所決定的。因此,應(yīng)該根據(jù)安全需要合理進(jìn)行配置,以便獲得保證系統(tǒng)安全所必需的數(shù)據(jù)。

   但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個(gè)問題,可以安裝一個(gè)第三方的能夠完整記錄審計(jì)數(shù)據(jù)的工具。

   防火墻日志

   作為網(wǎng)絡(luò)系統(tǒng)中的“堡壘主機(jī)”,防火墻被網(wǎng)絡(luò)攻擊者攻陷的可能性要小得多。因此,相對(duì)而言防火墻日志數(shù)據(jù)不太容易被修改,它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息。

   但是,防火墻也不是不可能被攻破的,它的日志也可能被刪除和修改。攻擊者也可向防火墻發(fā)動(dòng)拒絕服務(wù)攻擊,使防火墻癱瘓或至少降低其速度使其難以對(duì)事件做出及時(shí)響應(yīng),從而破壞防火墻日志的完整性。因此,在使用防火墻日志之前,應(yīng)該運(yùn)行專用工具檢查防火墻日志的完整性,以防得到不完整的數(shù)據(jù),貽誤追蹤時(shí)機(jī)。

最新文章