|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)���,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作����,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機(jī)��、存儲資源、數(shù)據(jù)資源�����、信息資源�、知識資源��、專家資源�����、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享���,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 5.檢查網(wǎng)絡(luò)嗅探器 入侵者侵入一個UNIX系統(tǒng)后,為了獲得用戶名和密碼信息�,一般會在系統(tǒng)上安裝一個網(wǎng)絡(luò)監(jiān)視程序��,這種程序就叫作嗅探器或者數(shù)據(jù)包嗅探器。對于NT��,入侵者會使用遠(yuǎn)程管理程序?qū)崿F(xiàn)上述目的�����。 判斷系統(tǒng)是否被安裝了嗅探器���,首先要看當(dāng)前是否有進(jìn)程使你的網(wǎng)絡(luò)接口處于混雜(Promiscuous)模式下�。如果任何網(wǎng)絡(luò)接口處于promiscuous模式下���,就表示可能系統(tǒng)被安裝了網(wǎng)絡(luò)嗅探器��。注意如果你重新啟動了系統(tǒng)或者在單用戶模式下操作,可能無法檢測到Promiscuous模式。使用ifconfig命令就可以知道系統(tǒng)網(wǎng)絡(luò)接口是否處于promoscuous模式下(注意一定使用沒有被侵入者修改的ifconfig): #/path-of-clean-ifconfig/ifconfig -a
有一些工具程序可以幫助你檢測系統(tǒng)內(nèi)的嗅探器程序: cpm(Check Promiscuous Mode)--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
ifstatus--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ neped.c可以從以下地址的到: ftp://apostols.org/AposTolls/snoapshots/neped/neped.c 一定要記住一些合法的網(wǎng)絡(luò)監(jiān)視程序和協(xié)議分析程序也會把網(wǎng)絡(luò)接口設(shè)置為promiscuous模式。檢測到網(wǎng)絡(luò)接口處于promicuous模式下,并不意味著系統(tǒng)中有嗅探器程序正在運(yùn)行。 但是�����,在Phrack雜志的一篇文章:(Phrack Magazine Volume 8,Issue 53 July 8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些針對FreeBSD�、Linux、HP-UX�、IRIX和Solaris系統(tǒng)的模塊�����,可以擦除IFF_PROMISC標(biāo)志位,從而使嗅探器逃過此類工具的檢查�。以此�,即使使用以上的工具�,你沒有發(fā)現(xiàn)嗅探器,也不能保證攻擊者沒有在系統(tǒng)中安裝嗅探器。 現(xiàn)在����,LKM(Loadable Kernel Model,可加載內(nèi)核模塊)的廣泛應(yīng)用����,也增加了檢測難度���。關(guān)于這一方面的檢測請參考使用KSAT檢測可加載內(nèi)核模塊���。 還有一個問題應(yīng)該注意����,嗅探器程序的日志文件的大小會急劇增加�����。使用df程序查看文件系統(tǒng)的某個部分的大小是否太大,也可以發(fā)現(xiàn)嗅探器程序的蛛絲馬跡。建議使用lsof程序發(fā)現(xiàn)嗅探器程序打開的日志文件和訪問訪問報文設(shè)備的程序����。在此,還要注意:使用的df程序也應(yīng)該是干凈的��。 一旦在系統(tǒng)中發(fā)現(xiàn)了網(wǎng)絡(luò)嗅探器程序�����,我們建議你檢查嗅探器程序的輸出文件確定哪些主機(jī)受到攻擊者威脅�。被嗅探器程序捕獲的報文中目的主機(jī)將受到攻擊者的威脅��,不過如果系統(tǒng)的密碼是通過明文傳輸���,或者目標(biāo)主機(jī)和源主機(jī)互相信任�,那么源主機(jī)將受到更大的威脅�。 通常嗅探器程序的日志格式如下: -- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet) 使用如下命令可以從嗅探器程序的日志文件中得到受到威脅的主機(jī)列表: % grep PATH: $sniffer_log_file | awk '{print $4}' |
awk -F( '{print $1}'| sort -u 你可能需要根據(jù)實(shí)際情況對這個命令進(jìn)行一些調(diào)整。一些嗅探器程序會給日志文件加密,增加了檢查的困難。 你應(yīng)該知道不只是在嗅探器程序日志文件中出現(xiàn)的主機(jī)受到攻擊者的威脅����,其它的主機(jī)也可能受到威脅�。 建議你參考http://www.cert.org/advisories/CA-94.01.ongoing.network.monitoring.attacks.html獲得更為詳細(xì)的信息�。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此���,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上�、所用標(biāo)準(zhǔn)上......����,各項技術(shù)都需要適時應(yīng)勢����,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑�����。
| 
