當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

簡(jiǎn)單4招教你輕松追蹤到黑客老巢

http://m.yibo1263.com　2008-4-22 13:41:17 　來(lái)源:金山軟件　編輯:葉子

　　網(wǎng)絡(luò)安全是一個(gè)綜合的、復(fù)雜的工程，任何網(wǎng)絡(luò)安全措施都不能保證萬(wàn)無(wú)一失。因此，對(duì)于一些重要的部門(mén)，一旦網(wǎng)絡(luò)遭到攻擊，如何追蹤網(wǎng)絡(luò)攻擊，追查到攻擊者并將其繩之以法，是十分必要的。

　　追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭。它有兩個(gè)方面意義：一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機(jī)名；二是指確定攻擊者的身份。網(wǎng)絡(luò)攻擊者在實(shí)施攻擊之時(shí)或之后，必然會(huì)留下一些蛛絲馬跡，如登錄的紀(jì)錄，文件權(quán)限的改變等虛擬證據(jù)，如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)。

　　在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問(wèn)題是：IP地址是一個(gè)虛擬地址而不是一個(gè)物理地址，IP地址很容易被偽造，大部分網(wǎng)絡(luò)攻擊者采用IP地址欺騙技術(shù)。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此，必須采用一些方法，識(shí)破攻擊者的欺騙，找到攻擊源的真正IP地址。

　　一、netstat命令——實(shí)時(shí)察看文擊者

　　使用netstat命令可以獲得所有聯(lián)接被測(cè)主機(jī)的網(wǎng)絡(luò)用戶(hù)的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netstat”命令。

　　使用“netstat”命令的缺點(diǎn)是只能顯示當(dāng)前的連接，如果使用“netstat”命令時(shí)攻擊者沒(méi)有聯(lián)接，則無(wú)法發(fā)現(xiàn)攻擊者的蹤跡。為此，可以使用Scheduler建立一個(gè)日程安排，安排系統(tǒng)每隔一定的時(shí)間使用一次“netstat”命令，并使用netstat〉〉textfile格式把每次檢查時(shí)得到的數(shù)據(jù)寫(xiě)入一個(gè)文本文件中，以便需要追蹤網(wǎng)絡(luò)攻擊時(shí)使用。

　　二、日志數(shù)據(jù)——最詳細(xì)的攻擊記錄

　　系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的用戶(hù)登錄信息。在追蹤網(wǎng)絡(luò)攻擊時(shí)，這些數(shù)據(jù)是最直接的、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善，網(wǎng)絡(luò)攻擊者也常會(huì)把自己的活動(dòng)從系統(tǒng)日志中刪除。因此，需要采取補(bǔ)救措施，以保證日志數(shù)據(jù)的完整性。

　　Unix和Linux的日志

　　Unix和Linux的日志文件較詳細(xì)的記錄了用戶(hù)的各種活動(dòng)，如登錄的ID的用戶(hù)名、用戶(hù)IP地址、端口號(hào)、登錄和退出時(shí)間、每個(gè)ID最近一次登錄時(shí)間、登錄的終端、執(zhí)行的命令，用戶(hù)ID的賬號(hào)信息等。通過(guò)這些信息可以提供ttyname（終端號(hào)）和源地址，是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)。

　　大部分網(wǎng)絡(luò)攻擊者會(huì)把自己的活動(dòng)記錄從日記中刪去，而且UOP和基于X Windows的活動(dòng)往往不被記錄，給追蹤者帶來(lái)困難。為了解決這個(gè)問(wèn)題，可以在系統(tǒng)中運(yùn)行wrapper工具，這個(gè)工具記錄用戶(hù)的服務(wù)請(qǐng)求和所有的活動(dòng)，且不易被網(wǎng)絡(luò)攻擊者發(fā)覺(jué)，可以有效的防止網(wǎng)絡(luò)攻擊者消除其活動(dòng)紀(jì)錄。

　　Windows NT和Windows 2000的日志

　　Windows NT和Windows 2000有系統(tǒng)日志、安全日志和應(yīng)用程序日志等三個(gè)日志，而與安全相關(guān)的數(shù)據(jù)包含在安全日志中。安全日志記錄了登錄用戶(hù)的相關(guān)信息。安全日志中的數(shù)據(jù)是由配置所決定的。因此，應(yīng)該根據(jù)安全需要合理進(jìn)行配置，以便獲得保證系統(tǒng)安全所必需的數(shù)據(jù)。

　　但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不記錄事件的源，不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個(gè)問(wèn)題，可以安裝一個(gè)第三方的能夠完整記錄審計(jì)數(shù)據(jù)的工具。

　　防火墻日志

　　作為網(wǎng)絡(luò)系統(tǒng)中的“堡壘主機(jī)”，防火墻被網(wǎng)絡(luò)攻擊者攻陷的可能性要小得多。因此，相對(duì)而言防火墻日志數(shù)據(jù)不太容易被修改，它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息。

　　但是，防火墻也不是不可能被攻破的，它的日志也可能被刪除和修改。攻擊者也可向防火墻發(fā)動(dòng)拒絕服務(wù)攻擊，使防火墻癱瘓或至少降低其速度使其難以對(duì)事件做出及時(shí)響應(yīng)，從而破壞防火墻日志的完整性。因此，在使用防火墻日志之前，應(yīng)該運(yùn)行專(zhuān)用工具檢查防火墻日志的完整性，以防得到不完整的數(shù)據(jù)，貽誤追蹤時(shí)機(jī)。
三、原始數(shù)據(jù)包——比較可靠的分析方法

　　由于系統(tǒng)主機(jī)都有被攻陷的可能，因此利用系統(tǒng)日志獲取攻擊者的信息有時(shí)就不可靠了。所以，捕獲原始數(shù)據(jù)包并對(duì)其數(shù)據(jù)進(jìn)行分析，是確定攻擊源的另一個(gè)重要的、比較可靠的方法。

　　包頭數(shù)據(jù)分析

　　表1是一個(gè)原始數(shù)據(jù)包的IP包頭數(shù)據(jù)。表中的第一行是最有用的數(shù)字。第一行的最后8位代表源地址。本例中的地址是0xd2、0×1d、0×84、0×96，對(duì)應(yīng)的IP地址是210。45。132。150。通過(guò)分析原始數(shù)據(jù)包的包頭數(shù)據(jù)，可以獲得較為可靠的網(wǎng)絡(luò)攻擊者的IP地址，因?yàn)檫@些數(shù)據(jù)不會(huì)被刪除或修改。但是，這種方法也不是完美無(wú)缺的，如果攻擊者對(duì)其數(shù)據(jù)包進(jìn)行加密，對(duì)收集到的數(shù)據(jù)包的分析就沒(méi)有什么用處了。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·日本研究者發(fā)現(xiàn)一分鐘攻破WPA技術(shù)

·黑客攻防：網(wǎng)站常見(jiàn)后門(mén)總結(jié)

·拒絕黑客巧設(shè)網(wǎng)站目錄與數(shù)據(jù)庫(kù)權(quán)限

·防止網(wǎng)絡(luò)服務(wù)器被黑的安全技巧

·實(shí)例演示IPC$ 135弱口令入侵技巧

·網(wǎng)絡(luò)行為分析與拒絕服務(wù)攻擊分析

·為您揭露攻擊者最陰險(xiǎn)的七大黑技

·教你找到電腦中隱藏的入侵的黑手

·硬件入侵檢測(cè)系統(tǒng)完全導(dǎo)購(gòu)

·從入侵實(shí)例看視頻服務(wù)器安全部署

·計(jì)算機(jī)網(wǎng)絡(luò)攻擊常見(jiàn)手法及防范

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费