如何追蹤黑客的網絡攻擊
2015-11-13 16:35:05
來源:
[導讀] 網絡是個大舞臺��,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門���,一旦網絡遭到攻擊,如何追蹤網絡攻擊��,追查到攻擊者
入侵者的追蹤(Intruder Tracing)在區域網路上可能你聽過所謂「廣播模式」的資料發送方法�,此種方法不指定收信站,只要和此網路連結的所有網路設備皆為收信對象��。但是這僅 僅在區域網路上能夠實行,因為區域網路上的機器不多(和Internet比起來 )�。如果象是Internet上有數千萬的主機,本就不可能實施資料廣播(至于IP Multicast算是一種限定式廣播Restricted Broadcast,唯有被指定的機器會收到, Internet上其他電腦還是不會收到)。假設Internet上可以實施非限定廣播���,那隨便一個人發出廣播訊息,全世界的電腦皆受其影響�,豈不世界大 亂?因此,任何區域網路內的路由器或是類似網路設備都不會將自己區域網路內的廣播訊息轉送出去�。萬一在WAN Port收到廣播訊息�����,也不會轉進自己的LAN Port中��。而既然網路皆有發信站與收信站,用以標示信息發送者與信息接收者�,除非對方使用一些特殊的封包封裝方式或是使用防火墻對外連線�����,那么只要有人 和你的主機進行通訊(寄信或是telnet、ftp過來都算) 你就應該會知道對方的位址���,如果對方用了防火墻來和你通訊,你最少也能夠知道防火墻的位置���。也正因為只要有人和你連線,你就能知道對方的位址��,那么要不要 知道對方位置只是要做不做的問題而已���。如果對方是透過一臺UNIX主機和你連線�����,則你更可以透過ident查到是誰和你連線的。在實行TCP/IP通訊協 定的電腦上,通常可以用netstat指令來看到目前連線的狀況。(各位朋友可以在win95、Novell以及UNIX試試看(注一),在下面的連線狀 況中,netstat指令是在win95上實行的,以看到目前自己機器(Local Address處)的telnetport有一臺主機workstation.variox.int 由遠端(Foreign Address處)連線進來并且配到1029號tcp port.而cc unix1主機也以ftpport連到workstation.variox.int去。所有的連線狀況看得一清二楚。(如A����、B)
A.在UNIX主機(ccunix1.variox.int)看netstat
B.另一端在Windows95(workstation.variox.int)看netstat,
當然�,如果你想要把網路連線紀錄給記錄下來�����,你可以用cron table定時去跑: netstat>>filename�,但是UNIX系統早已考慮到這一個需求����,因此在系統中有一個專職記錄系統事件的 Daemon:syslogd,應該有很多朋友都知道在UNIX系統的/var/adm下面有兩個系統紀錄檔案:syslog與messages,一個是 一般系統的紀錄�,一個是核心的紀錄���。但是這兩個檔案是從哪邊來的���,又要如何設定呢?
系統的紀錄基本上都是由syslogd (System Kernel LogDaemon)來產生���,而syslogd的控制是由/etc/syslog.conf來做的����。syslog.conf以兩個欄位來決定要記錄哪些東 西��,以及記錄到哪邊去��。一個最標準的sy
