如何追蹤黑客的網(wǎng)絡(luò)攻擊
2015-11-13 16:35:05
來源:
[導(dǎo)讀] 網(wǎng)絡(luò)是個大舞臺���,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門�����,一旦網(wǎng)絡(luò)遭到攻擊��,如何追蹤網(wǎng)絡(luò)攻擊�,追查到攻擊者
系統(tǒng)的紀(jì)錄基本上都是由syslogd (System Kernel LogDaemon)來產(chǎn)生�,而syslogd的控制是由/etc/syslog.conf來做的。syslog.conf以兩個欄位來決定要記錄哪些東 西�����,以及記錄到哪邊去�����。一個最標(biāo)準(zhǔn)的syslog.conf�����,第一欄寫「在什么情況下」以及「什么程度」����。然后用TAB鍵跳下一欄繼續(xù)寫「符合條件以后要 做什么」�����。這個syslog.conf檔案的作者很誠實,告訴你只能用TAB來作各欄位之間的分隔(雖然看來好像他也不知道為什么)�����。第一欄包含了何種情 況與程度�,中間小數(shù)點分隔。另外����,星號就代表了某一細項中的所有選項����。詳細的設(shè)定方式如下:
1.在什么情況:各種不同的情況以下面的字串來決定����。 auth 關(guān)于系統(tǒng)安全與使用者認(rèn)證方面 cron 關(guān)于系統(tǒng)自動排程執(zhí)行(CronTable)方面 daemon 關(guān)于背景執(zhí)行程式方面kern 關(guān)于系統(tǒng)核心方面 lpr 關(guān)于印表機方面 mail 關(guān)于電子郵件方面 news 關(guān)于新聞討論區(qū)方面 syslog 關(guān)于系統(tǒng)紀(jì)錄本身方面 user 關(guān)于使用者方面
uucp 關(guān)于UNIX互拷(UUCP)方面
上面是大部份的UNIX系統(tǒng)都會有的情況,而有些UNIX系統(tǒng)可能會再分出不同的項目出來。
2.什么程度才記錄:
下面是各種不同的系統(tǒng)狀況程度,依照輕重緩急排列。 none 不要記錄這一項debug 程式或系統(tǒng)本身除錯訊息 info 一般性資訊 notice 提醒注意性 err 發(fā)生錯誤 warning 警告性 crit 較嚴(yán)重的警告 alert 再嚴(yán)重一點的警告 emerg 已經(jīng)非常嚴(yán)重了
同樣地,各種UNIX系統(tǒng)可能會有不同的程度表示方式���。有些系統(tǒng)是不另外區(qū)分crit與alert的差別,也有的系統(tǒng)會有更多種類的程度變化��。在記錄 時����,syslogd 會自動將你所設(shè)定程度以及其上的都一并記錄下來。例如你要系統(tǒng)去記錄 info等級的事件則notice�、err.warning���、crit、alert、emerg等在info等級以上的也會一并被記錄下來。把上面所寫的 1���、2項以小數(shù)點組合起來就是完整的「要記錄哪些東西」的寫法。例如mail.info表示關(guān)于電子郵件傳送系統(tǒng)的一般性訊息。auth.emerg就是 關(guān)于系統(tǒng)安全方面相當(dāng)嚴(yán)重的訊息。lpr.none表示不要記錄關(guān)于列表機的訊息(通常用在有多個紀(jì)錄條件時組合使用)。另外有三種特殊的符號可供應(yīng)用:
1.星號(*)
星號代表某一細項中所有項目。例如mail.*表示只要有關(guān)mail的���,不管什么程度都要記錄下來。而*.info會把所有程度為info的事件給記錄下來。
2.等號(=)
等號表示只記錄目前這一等級���,其上的等級不要記錄。例如剛剛的例子,平常寫下info等級時�����,也會把位于info等級上面的notice���、 err.warning��、crit�����、alert、emerg等其他等級也記錄下來�。但若你
學(xué)校新聞
行業(yè)新聞
問答專區(qū)
相關(guān)文章
