如何追蹤黑客的網絡攻擊
2015-11-13 16:35:05
來源:
[導讀] 網絡是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網絡遭到攻擊,如何追蹤網絡攻擊,追查到攻擊者
大部分網絡攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基于X Windows的活動往往不被記錄,給追蹤者帶來困難。為了解決這個問題,可以在系統中運行wrapper工具,這個工具記錄用戶的服務請求和所有的活 動,且不易被網絡攻擊者發覺,可以有效的防止網絡攻擊者消除其活動紀錄。
五、Windows NT和Windows 2000的日志
Windows NT和Windows 2000有系統日志、安全日志和應用程序日志等三個日志,而與安全相關的數據包含在安全日志中。安全日志記錄了登錄用戶的相關信息。安全日志中的數據是由 配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的數據。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據安全日志中的數據追蹤攻擊者的源地址。為了解決這個問題,可以安裝一個第三方的能夠完整記錄審計數據的工具。
防火墻日志
作為網絡系統中的“堡壘主機”,防火墻被網絡攻擊者攻陷的可能性要小得多。因此,相對而言防火墻日志數據不太容易被修改,它的日志數據提供最理想的攻擊源的源地址信息。
但是,防火墻也不是不可能被攻破的,它的日志也可能被刪除和修改。攻擊者也可向防火墻發動拒絕服務攻擊,使防火墻癱瘓或至少降低其速度使其難以對事件做出及時響應,從而破壞防火墻日志的完整性。因此,在使用防火墻日志之前,應該運行專用工具檢查防火墻日志的完整性,以防得到不完整的數據,貽誤追蹤時機。
六、網絡入侵追蹤方法
入侵者的追蹤(Intruder Tracing)在區域網路上可能你聽過所謂「廣播模式」的資料發送方法,此種方法不指定收信站,只要和此網路連結的所有網路設備皆為收信對象。
入侵者的追蹤(Intruder Tracing)在區域網路上可能你聽過所謂「廣播模式」的資料發送方法,此種方法不指定收信站,只要和此網路連結的所有網路設備皆為收信對象。但是這僅 僅在區域網路上能夠實行,因為區域網路上的機器不多(和Internet比起來 )。如果象是Internet上有數千萬的主機,本就不可能實施資料廣播(至于IP Multicast算是一種限定式廣播Restricted Broadcast,唯有被指定的機器會收到, Internet上其他電腦還是不會收到)。假設Internet上可以實施非限定廣播,那隨便一個人發出廣播訊息,全世界的電腦皆受其影響,豈不世界大 亂?因此,任何區域網路內的路由器或是類似網路設備都不會將自己區域網路內的廣播訊息轉送
