|
網絡技術是從1990年代中期發展起來的新技術�,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機�、存儲資源���、數據資源���、信息資源、知識資源��、專家資源�、大型數據庫、網絡、傳感器等����。 當前的互聯網只限于信息共享�,網絡則被認為是互聯網發展的第三階段�。 你被黑了:第一階段――分析
Lawrence Abrams:在發現和分析階段,第一件要做的事情是凍結筆記本電腦,以使感染不被擴散�����,并且數據和證據不致 被破壞和丟失�����。在事件中��,筆記本是法庭上需要的必要的證據,在分析它硬盤上的任何數據之前,你必須采取正確的步驟�����。
首先立即拔掉網線���,并切斷電腦的電源(不要使用系統內置的關機,而是直接切斷)。然后,使用字節對字節的拷貝工具,比如EnCase(http://www.guidancesoftware.com/)���,FTK Imager(http://www.accessdata.com/ftkuser/imager.htm),
WinHex(http://www.x-ways.net/winhex/index-m.html)或者可以在Helix Linux CD(http://www.e-fense.com/helix/index2.html)上
找到的圖形界面的dd gui,將硬盤上的數據從被感染的筆記本電腦鏡像到備用筆記本電腦上���,F在,你擁有了法庭上承認的筆記本電腦拷貝,將原始的筆記本電腦鎖定�,直到你需要在法庭上出具證據時才能再啟動它����。
一旦數據被轉移到備用筆記本電腦���,下一步就是辨認感染的工作��。在所描述的問題場景中,我所做的第一步是下載從Foundstone
下載Fport(http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm),并且再從http://www.spywareinfo.com/~merijn/下載HijackThis,然后在電腦上運行獲得大概的情況。Fport將給出哪個程序打開了哪個IP端口�,HijackThis則將告訴你有哪些程序在隨著Windows啟動而運行����。然后使用Netstat(http://www.analogx.com/contents/download/network/nsl.htm)��,你能夠看到這臺計算機正在嘗試連接網絡上的其它機器�,并感染它們�����。
Kevin Beaver:這個用戶的電腦很又可能被黑或者感染了某種類型的惡意軟件�����。
Tony Bradley:在所描述的問題中,描述了一些可疑的活動���,但是在場景中只提供了一部分的信息,這很難判斷此活動是惡意攻擊還是只是一些小問題���。
你被黑了:第二階段――立即響應
Lawrence Abrams:使用在分析階段找到的信息,你應該鞏固企業_blank">防火墻的規則����,禁止被感染機器可能訪問的那些端口����,將網絡分為不同的部分����,或者與外部網絡隔離�。
由于AIM(AOL即時聊天工具)還能夠運行,因此病毒很可能會將自己插入聊天信息中����,并希望能夠借助此信息傳播��,當收到消息的人點擊其中的連接時,他們就可能中毒了�����。為減輕這種危險���,你需要馬上在網絡中封掉5190端口(AIM使用的端口)�。并且馬上發一封郵件給所有人,讓他們關閉即時聊天軟件也是合情合理的����,而相對孤立的網絡部分���,沒有被感染的風險�。
如果他們被SDBot/RBot
(_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html)或者其它的惡意后門軟件感染���,你應該立即封禁出站端口6666和6667�����,除去從外部IRC服務器可能執行的命令�。
使用_blank">防火墻日志,你應該能夠確定這些機器是否符合你的過濾要求�,并且為清除其中的巨大威脅做好準備。粗略的使用類似Fport之類的程序掃描對每臺電腦都是必要的��,它對發現感染非常有用����,不過這看起來是一個枯燥的令人畏縮的任務,但它必須執行�����。
Kevin Beaver:在這個階段����,你應該按照你們公司的突發事件反應計劃進行工作,并按照它包含的每一個步驟詳細執行�,最終消滅惡意攻擊��,并從災難中恢復。突發事件響應團隊然后應該確定是否需要求助外部人員��,或者在未來進行此項操作����。
對――嚴重的情況是――你們公司并不存在一個突發事件應急計劃。這樣的話,你應該做的第一件事情不是恐慌,忙的團團轉的將每一臺機器都關閉。如果用戶的工作站上包含有關鍵的信息(比如,個人的�����、機密的或其它敏感信息)����,你至少需要將它的網絡連接斷開,以最小化帶來的損失���。
如果有可能招來外頻顧問或者法律實施進行正式的調查,你所做的就只是簡單的將計算機的電源線拔掉(不要使用系統內置的關機�,而是直接切斷電源)�,這是最好的操作過程���。這樣做的話���,沒有內存����、臨時文件或交換文件被篡改(雖然它們可能在這種暴力關機中被損壞)���,然后使用工具鏡像整個磁盤����,以便能夠進行調查。
Tony Bradley:我所做的第一件事情是確認防病毒軟件現在是否正在運行����。我還需要運行Microsoft Baseline Security Analyzer (MBSA�����,_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者類似的工具檢查所有需要的補丁是否已經安裝。
當連接斷線時,使用ping命令ping Internet網關的地址和主DNS服務器的地址,能夠幫助我們確定機器是否仍然能夠與它們通信����。很又可能是DNS服務器出現或者這臺機器到DNS服務器的連接出現了問題��。
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上���、所用標準上......,各項技術都需要適時應勢,對應發展�����,這正是網絡迅速走向進步的催化劑���。
| 
