如何追蹤黑客的網絡攻擊
2015-11-13 16:35:05
來源:
[導讀] 網絡是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網絡遭到攻擊,如何追蹤網絡攻擊,追查到攻擊者
系統的紀錄基本上都是由syslogd (System Kernel LogDaemon)來產生,而syslogd的控制是由/etc/syslog.conf來做的。syslog.conf以兩個欄位來決定要記錄哪些東 西,以及記錄到哪邊去。一個最標準的syslog.conf,第一欄寫「在什么情況下」以及「什么程度」。然后用TAB鍵跳下一欄繼續寫「符合條件以后要 做什么」。這個syslog.conf檔案的作者很誠實,告訴你只能用TAB來作各欄位之間的分隔(雖然看來好像他也不知道為什么)。第一欄包含了何種情 況與程度,中間小數點分隔。另外,星號就代表了某一細項中的所有選項。詳細的設定方式如下:
1.在什么情況:各種不同的情況以下面的字串來決定。 auth 關于系統安全與使用者認證方面 cron 關于系統自動排程執行(CronTable)方面 daemon 關于背景執行程式方面kern 關于系統核心方面 lpr 關于印表機方面 mail 關于電子郵件方面 news 關于新聞討論區方面 syslog 關于系統紀錄本身方面 user 關于使用者方面
uucp 關于UNIX互拷(UUCP)方面
上面是大部份的UNIX系統都會有的情況,而有些UNIX系統可能會再分出不同的項目出來。
2.什么程度才記錄:
下面是各種不同的系統狀況程度,依照輕重緩急排列。 none 不要記錄這一項debug 程式或系統本身除錯訊息 info 一般性資訊 notice 提醒注意性 err 發生錯誤 warning 警告性 crit 較嚴重的警告 alert 再嚴重一點的警告 emerg 已經非常嚴重了
同樣地,各種UNIX系統可能會有不同的程度表示方式。有些系統是不另外區分crit與alert的差別,也有的系統會有更多種類的程度變化。在記錄 時,syslogd 會自動將你所設定程度以及其上的都一并記錄下來。例如你要系統去記錄 info等級的事件則notice、err.warning、crit、alert、emerg等在info等級以上的也會一并被記錄下來。把上面所寫的 1、2項以小數點組合起來就是完整的「要記錄哪些東西」的寫法。例如mail.info表示關于電子郵件傳送系統的一般性訊息。auth.emerg就是 關于系統安全方面相當嚴重的訊息。lpr.none表示不要記錄關于列表機的訊息(通常用在有多個紀錄條件時組合使用)。另外有三種特殊的符號可供應用:
1.星號(*)
星號代表某一細項中所有項目。例如mail.*表示只要有關mail的,不管什么程度都要記錄下來。而*.info會把所有程度為info的事件給記錄下來。
2.等號(=)
等號表示只記錄目前這一等級,其上的等級不要記錄。例如剛剛的例子,平常寫下info等級時,也會把位于info等級上面的notice、 err.warning、crit、alert、emerg等其他等級也記錄下來。但若你
