追捕技術讓黑客無處可逃

網路是個大舞台，這個舞台中不光有安全人員也有黑客份子所組成。芳擊與防守自然就成了兩者之間相互論辯的話題。對於一些重要的部門，一旦網路遭到攻擊，如何追蹤網路攻擊，追查到攻擊者並將其繩之以法，是十分必要的。下面的文章分本地追蹤和網路追蹤兩部份。

本地追蹤方法

追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現ip位址、mac位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後，必然會留下一些蛛絲馬跡，如登入的紀錄，檔案許可權的改變等虛擬證據，如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。

在追蹤網路攻擊中另一需要考慮的問題是:ip位址是乙個虛擬位址而不是乙個實體地址，ip位址很容易被偽造，大部分網路攻擊者採用ip位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以ip位址為基礎去發現攻擊者變得更加困難。因此，必須採用一些方法，識破攻擊者的欺騙，找到攻擊源的真正ip位址。

netstat命令----實時察看文擊者

使用netstat命令可以獲得所有聯接被測主機的網路使用者的ip位址。windows系列、unix系列、linux等常用網路作業系統都可以使用「netstat」命令。

使用「netstat」命令的缺點是只能顯示當前的連線，如果使用「netstat」命令時攻擊者沒有聯接，則無法發現攻擊者的蹤跡。為此，可以使用scheduler建立乙個日程安排，安排系統每隔一定的時間使用一次「netstat」命令，並使用netstat>>textfile格式把每次檢查時得到的資料寫入乙個文字檔案中，以便需要追蹤網路攻擊時使用。

日誌資料--最詳細的攻擊記錄

系統的日誌資料提供了詳細的使用者登入資訊。在追蹤網路攻擊時，這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善，網路攻擊者也常會把自己的活動從系統日誌中刪除。因此，需要採取補救措施，以保證日誌資料的完整性。

unix和linux的日誌

unix和linux的日誌檔案較詳細的記錄了使用者的各種活動，如登入的id的使用者名稱、使用者ip位址、埠號、登入和退出時間、每個id最近一次登入時間、登入的終端、執行的命令，使用者id的賬號資訊等。通過這些資訊可以提供ttyname(終端號)和源位址，是追蹤網路攻擊的最重要的資料。

大部分網路攻擊者會把自己的活動記錄從日記中刪去，而且uop和基於xwindows的活動往往不被記錄，給追蹤者帶來困難。為了解決這個問題，可以在系統中執行wrapper工具，這個工具記錄使用者的服務請求和所有的活動，且不易被網路攻擊者發覺，可以有效的防止網路攻擊者消除其活動紀錄。

windows nt和windows 2000的日誌

windowsnt和windows2000有系統日誌、安全日誌和應用程式日誌等三個日誌，而與安全相關的資料報含在安全日誌中。安全日誌記錄了登入使用者的相關資訊。安全日誌中的資料是由配置所決定的。因此，應該根據安全需要合理進行配置，以便獲得保證系統安全所必需的資料。

但是，windowsnt和windows2000的安全日誌存在重大缺陷，它不記錄事件的源，不可能根據安全日誌中的資料追蹤攻擊者的源位址。為了解決這個問題，可以安裝乙個第三方的能夠完整記錄審計資料的工具。

防火牆日誌

作為網路系統中的「堡壘主機」，防火牆被網路攻擊者攻陷的可能性要小得多。因此，相對而言防火牆日誌資料不太容易被修改，它的日誌資料提供最理想的攻擊源的源位址資訊。

但是，防火牆也不是不可能被攻破的，它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊，使防火牆癱瘓或至少降低其速度使其難以對事件做出及時響應，從而破壞防火牆日誌的完整性。因此，在使用防火牆日誌之前，應該執行專用工具檢查防火牆日誌的完整性，以防得到不完整的資料，貽誤追蹤時機。

網路入侵追蹤方法

入侵者的追蹤(intrudertracing)在區域網路上可能你聽過所謂「廣播模式」的資料傳送方法，此種方法不指定收信站，只要和此網路鏈結的所有網路裝置皆為收信物件。

入侵者的追蹤(intrudertracing)在區域網路上可能你聽過所謂「廣播模式」的資料傳送方法，此種方法不指定收信站，只要和此網路鏈結的所有網路裝置皆為收信物件。但是這僅僅在區域網路上能夠實行,因為區域網路上的機器不多(和internet比起來)。如果象是internet上有數千萬的主機,本就不可能實施資料廣播(至於ipmulticast算是一種限定式廣播restrictedbroadcast,唯有被指定的機器會收到,internet上其他電腦還是不會收到)。假設internet上可以實施非限定廣播，那隨便乙個人發出廣播訊息，全世界的電腦皆受其影響，豈不世界大亂?因此,任何區域網路內的路由器或是類似網路裝置都不會將自己區域網路內的廣播訊息轉送出去。萬一在wanport收到廣播訊息，也不會轉進自己的lanport中。而既然網路皆有發信站與收信站，用以標示資訊傳送者與資訊接收者，除非對方使用一些特殊的封包封裝方式或是使用防火牆對外連線，那麼只要有人和你的主機進行通訊(寄信或是telnet、ftp過來都算)你就應該會知道對方的位址，如果對方用了防火牆來和你通訊，你最少也能夠知道防火牆的位置。也正因為只要有人和你連線，你就能知道對方的位址，那麼要不要知道對方位置只是要做不做的問題而已。如果對方是透過一台unix主機和你連線，則你更可以透過ident查到是誰和你連線的。在實行tcp/ip通訊協定的電腦上,通常可以用netstat指令來看到目前連線的狀況。(各位朋友可以在win95、novell以及unix試試看(註一)，在下面的連線狀況中，netstat指令是在win95上實行的，以看到目前自己機器(localaddress處)的telnetport有一台主機workstation.variox.int由遠端(foreignaddress處)連線進來並且配到1029號tcpport.而ccunix1主機也以ftpport連到workstation.variox.int去。所有的連線狀況看得一清二楚。(如a、b)

a.在unix主機(ccunix1.variox.int)看netstat

b.另一端在windows95(workstation.variox.int)看netstat,

當然，如果你想要把網路連線紀錄給記錄下來，你可以用cron table定時去跑：

netstat>>filename，但是unix系統早已考慮到這乙個需求，因此在系統中有乙個專職記錄系統事件的daemon:syslogd，應該有很多朋友都知道在unix系統的/var/adm下面有兩個系統紀錄檔案：syslog與messages，乙個是一般系統的紀錄，乙個是核心的紀錄。但是這兩個檔案是從哪邊來的，又要如何設定呢?

系統的紀錄基本上都是由syslogd (systemkernellogdaemon)來產生，而syslogd的控制是由/etc/syslog.conf來做的。syslog.conf以兩個欄位來決定要記錄哪些東西，以及記錄到哪邊去。乙個最標準的syslog.conf，第一欄寫「在什麼情況下」以及「什麼程度」。然後用tab鍵跳下一欄繼續寫「符合條件以後要做什麼」。這個syslog.conf檔案的作者很誠實，告訴你只能用tab來作各欄位之間的分隔(雖然看來好像他也不知道為什麼)。第一欄包含了何種情況與程度，中間小數點分隔。另外，星號就代表了某一細項中的所有選項。詳細的設定方式如下：

1.在什麼情況：各種不同的情況以下面的字串來決定。

auth 關於系統安全與使用者認證方面

cron 關於系統自動排程執行(crontable)方面

daemon 關於背景執行程式方面

kern 關於系統核心方面

lpr 關於印表機方面

mail 關於電子郵件方面

news 關於新聞討論區方面

syslog 關於系統紀錄本身方面

user 關於使用者方面

uucp 關於unix互拷(uucp)方面

上面是大部份的unix系統都會有的情況，而有些unix系統可能會再分出不同的專案出來。

2.什麼程度才記錄：

下面是各種不同的系統狀況程度，依照輕重緩急排列。

none 不要記錄這一項

debug 程式或系統本身除錯訊息

info 一般性資訊

notice 提醒注意性

err 發生錯誤

warning 警告性

crit 較嚴重的警告

alert 再嚴重一點的警告

emerg 已經非常嚴重了

追捕技術讓黑客無處可逃

讓「內鬼」無處可逃！ AdAudit Plus

隱藏檔案的方法，讓別人無處可找

「生物黑客」未來可植入大腦「阿凡達」將無處不在

追捕技術 讓黑客無處可逃

讓「內鬼」無處可逃！ AdAudit Plus

隱藏檔案的方法，讓別人無處可找

「生物黑客」未來可植入大腦 「阿凡達」將無處不在

相關推薦

追捕技術讓黑客無處可逃

「生物黑客」未來可植入大腦「阿凡達」將無處不在