如何追蹤黑客的網(wǎng)絡(luò)攻擊
2015-11-13 16:35:05
來源:
[導(dǎo)讀] 網(wǎng)絡(luò)是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網(wǎng)絡(luò)遭到攻擊,如何追蹤網(wǎng)絡(luò)攻擊,追查到攻擊者
網(wǎng)絡(luò)是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網(wǎng)絡(luò)遭到攻擊,如何追蹤網(wǎng)絡(luò)攻擊,追查到攻擊者并將其繩之以法,是十分必要的。下面的文章分本地追蹤和網(wǎng)絡(luò)追蹤兩部份。
一、本地追蹤方法
追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭。它有兩個方面意義:一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機(jī)名;二是指確定攻擊者的身份。網(wǎng)絡(luò)攻擊者在實施 攻擊之時或之后,必然會留下一些蛛絲馬跡,如登錄的紀(jì)錄, 文件權(quán)限的改變等虛擬證據(jù),如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)。
在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址,IP地址很容易被偽造,大部分網(wǎng)絡(luò)攻擊者采用IP地址欺騙技術(shù)。這 樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此,必須采用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP地址。
二、netstat命令----實時查看攻擊者
使用netstat命令可以獲得所有聯(lián)接被測主機(jī)的網(wǎng)絡(luò)用戶的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netstat”命令。
使用“netstat”命令的缺點是只能顯示當(dāng)前的連接,如果使用“netstat”命令時攻擊者沒有聯(lián)接,則無法發(fā)現(xiàn)攻擊者的蹤跡。為此,可以使用 Scheduler建立一個日程安排,安排系統(tǒng)每隔一定的時間使用一次“netstat”命令,并使用netstat>>textfile格 式把每次檢查時得到的數(shù)據(jù)寫入一個文本文件中,以便需要追蹤網(wǎng)絡(luò)攻擊時使用。
三、日志數(shù)據(jù)--最詳細(xì)的攻擊記錄
系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的用戶登錄信息。在追蹤網(wǎng)絡(luò)攻擊時,這些數(shù)據(jù)是最直接的、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善,網(wǎng)絡(luò)攻擊者也常會把自己的活動從系統(tǒng)日志中刪除。因此,需要采取補(bǔ)救措施,以保證日志數(shù)據(jù)的完整性。
四、Unix和Linux的日志
Unix和Linux的日志文件較詳細(xì)的記錄了用戶的各種活動,如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄時 間、登錄的終端、執(zhí)行的命令,用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址,是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)。
大部分網(wǎng)絡(luò)攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基于X Windows的活動往往不被記錄,給追蹤者帶來困難。為了解決這個問題,可以在系統(tǒng)中運行wrapper工具,這個工具記錄
