網路安全是乙個綜合的、複雜的工程,任何網路安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網路遭到攻擊,如何追蹤網路攻擊,追查到攻擊者並將其繩之以法,是十分必要的。
追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現ip位址、mac位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登入的紀錄,檔案許可權的改變等虛擬證據,如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。
在追蹤網路攻擊中另一需要考慮的問題是:ip位址是乙個虛擬位址而不是乙個實體地址,ip位址很容易被偽造,大部分網路攻擊者採用ip位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以ip位址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正ip位址。
★ netstat命令----實時察看文擊者
使用netstat命令可以獲得所有聯接被測主機的網路使用者的ip位址。windows系列、unix系列、linux等常用網路作業系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連線,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用scheduler建立乙個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格式把每次檢查時得到的資料寫入乙個文字檔案中,以便需要追蹤網路攻擊時使用。
★ 日誌資料--最詳細的攻擊記錄
系統的日誌資料提供了詳細的使用者登入資訊。在追蹤網路攻擊時,這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善,網路攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌資料的完整性。
unix和linux的日誌
unix和linux的日誌檔案較詳細的記錄了使用者的各種活動,如登入的id的使用者名稱、使用者ip位址、埠號、登入和退出時間、每個id最近一次登入時間、登入的終端、執行的命令,使用者id的賬號資訊等。通過這些資訊可以提供ttyname(終端號)和源位址,是追蹤網路攻擊的最重要的資料。
windows nt和windows 2000的日誌
windows nt和windows 2000有系統日誌、安全日誌和應用程式日誌等三個日誌,而與安全相關的資料報含在安全日誌中。安全日誌記錄了登入使用者的相關資訊。安全日誌中的資料是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的資料。
但是,windows nt和windows 2000的安全日誌存在重大缺陷,它不記錄事件的源,不可能根據安全日誌中的資料追蹤攻擊者的源位址。為了解決這個問題,可以安裝乙個第三方的能夠完整記錄審計資料的工具。
防火牆日誌
作為網路系統中的「堡壘主機」,防火牆被網路攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌資料不太容易被修改,它的日誌資料提供最理想的攻擊源的源位址資訊。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該執行專用工具檢查防火牆日誌的完整性,以防得到不完整的資料,貽誤追蹤時機。
如何防範ipc 入侵
1禁止空連線進行列舉 此操作並不能阻止空連線的建立 首先執行regedit,找到如下組建 hkey local machine system currentcontrolset control lsa 把restrictanonymous dword的鍵值改為 00000001 如果設定為2的話,有...
如何跟蹤郵件閱讀
應用場景 郵件營銷,郵件,想知道到底有多少人點開了郵件。往郵件裡插入一張自己伺服器上的,當使用者開啟時,會向我們的伺服器傳送請求,這時就可以獲取對方的ip了。即使用 上網,也可用http的http x forwarded for欄位獲取真實的ip位址。我們可以根據不同的郵件生成不同的url,這樣就能...
如何跟蹤除錯Software product?
場景 product安裝在某一pc 假定 vm 2927 發生某些異常情況,但沒有崩潰,沒有dump檔案 同時,類似的scenario在其他pc不能重現,那麼如何進行跟蹤除錯?解決方案 利用pdb檔案,直接在vm 2927上除錯。步驟 1.將product對應的原始碼source複製到vm 2927...