網路安全是乙個綜合的、複雜的工程,任何網路安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網路遭到攻擊,如何追蹤網路攻擊,追查到攻擊者並將其繩之以法,是十分必要的。
追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現ip位址、mac位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登入的紀錄,檔案許可權的改變等虛擬證據,如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。
在追蹤網路攻擊中另一需要考慮的問題是:ip位址是乙個虛擬位址而不是乙個實體地址,ip位址很容易被偽造,大部分網路攻擊者採用ip位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以ip位址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正ip位址。
★netstat命令----實時察看文擊者
使用netstat命令可以獲得所有聯接被測主機的網路使用者的ip位址。windows系列、unix系列、linux等常用網路作業系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連線,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用scheduler建立乙個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格式把每次檢查時得到的資料寫入乙個文字檔案中,以便需要追蹤網路攻擊時使用。
★日誌資料--最詳細的攻擊記錄
系統的日誌資料提供了詳細的使用者登入資訊。在追蹤網路攻擊時,這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善,網路攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌資料的完整性。
unix和linux的日誌
unix和linux的日誌檔案較詳細的記錄了使用者的各種活動,如登入的id的使用者名稱、使用者ip位址、埠號、登入和退出時間、每個id最近一次登入時間、登入的終端、執行的命令,使用者id的賬號資訊等。通過這些資訊可以提供ttyname(終端號)和源位址,是追蹤網路攻擊的最重要的資料。
windows nt和windows 2000的日誌
windows nt和windows 2000有系統日誌、安全日誌和應用程式日誌等三個日誌,而與安全相關的資料報含在安全日誌中。安全日誌記錄了登入使用者的相關資訊。安全日誌中的資料是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的資料。
但是,windows nt和windows 2000的安全日誌存在重大缺陷,它不記錄事件的源,不可能根據安全日誌中的資料追蹤攻擊者的源位址。為了解決這個問題,可以安裝乙個第三方的能夠完整記錄審計資料的工具。
防火牆日誌
作為網路系統中的「堡壘主機」,防火牆被網路攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌資料不太容易被修改,它的日誌資料提供最理想的攻擊源的源位址資訊。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該執行專用工具檢查防火牆日誌的完整性,以防得到不完整的資料,貽誤追蹤時機。
★原始資料報----比較可靠的分析方法
由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的資訊有時就不可靠了。所以,捕獲原始資料報並對其資料進行分析,是確定攻擊源的另乙個重要的、比較可靠的方法。
包頭資料分析
表1是乙個原始資料報的ip包頭資料。表中的第一行是最有用的數字。第一行的最後8位代表源位址。本例中的位址是0xd2、0x1d、0x84、0x96,對應的ip位址是210.45.132.150。通過分析原始資料報的包頭資料,可以獲得較為可靠的網路攻擊者的ip位址,因為這些資料不會被刪除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其資料報進行加密,對收集到的資料報的分析就沒有什麼用處了。
表1 乙個ip包頭資料
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
捕獲資料報
在乙個交換網路環境下捕獲資料報比較困難,這主要是因為集線器和交換機在資料交換中本質的不同。集線器採用的是廣播式傳輸,它不支援連線,而是把包傳送到除源埠外的所有埠,與集線器相連的所有機器都可以捕獲到通過它的資料報。而交換機支援端到端的連線,當乙個資料報到達時交換機為它建立乙個暫時的連線,資料報通過這個連線傳到目的埠。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的資料報,可以用下面方法解決:
(1)把交換機的乙個「spanning port」(生成埠)配置成象乙個集線器一樣,通過這個埠的資料報不再與目的主機建立連線,而是廣播式地傳送給與此埠相連的所有機器。設定乙個包捕獲主機,便可以捕獲到通過「spaning port」的資料報。但是,在同一時刻,交換機只能由乙個埠被設定成「spanning port」,因此,不能同時捕獲多台主機的資料報。
(2)在交換機之間,或路由器和交換機之間安裝乙個集線器。通過集線器的資料報便可以**獲主機捕獲。
在用捕獲資料報獲取攻擊者的源位址的方法中,有兩個問題需要注意:一是保證包捕獲主機由足夠的儲存空間,因為如果在捕獲資料報時網路吞吐量很大的話,硬碟很快會被填滿;二是在分析資料報時,可編制一段小程式自動分析,手工分析這麼多的資料是不可能的。
★搜尋引擎----也許會有外的驚喜
利用搜尋引擎獲得網路攻擊者的源位址,從理論上講沒有什麼根據,但是它往往會收到意想不到的效果,給追蹤工作帶來意外驚喜。黑客們在internet
上往往有他們自己的虛擬社群,他們在那兒討論網路攻擊技術方法,同時炫耀自己的戰果。因此,在那裡經常會暴露他們攻擊源的資訊甚至他們的身份。
由於不能保證網路中貼子源位址的真實性,所以,不加分析的使用可能會牽連到無辜的使用者。然而,當與其方法結合起來使用時,使用搜尋引擎還是非常有用的。
python unittest簡單方法
下面一步步的展示如何使用unittest來測試。1 匯入unitttest模組 import unittest2 定義乙個被測試函式 def add a,b return a b3 建立乙個unittest.testcase子類 class demotest unittest.testcase pa...
C Access資料庫增刪查改的簡單方法
這篇文章主要介紹了c access資料庫增刪查改的簡單方法,有需要的朋友可以參考一下 引用集 using system.data.oledb static string exepath system.environment.currentdirectory 本程式所在路徑 建立連線物件 oledbc...
Rails簡單方法使用記錄
h 方法使用 h 方法用於防止所需輸出的字元與瀏覽器顯示混淆,自動轉義 html條目,如 email ann bill 所輸出的內容為 email ann bill 加上h 後,email ann bill 所輸出內容為 email ann bill 這樣可以避免一些潛在的安全問題以及頁面被搞亂的現...