|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 入侵者使用的其它工具 以上所列無法包括全部的入侵工具,攻擊者在系統中可能還會留下其它入侵工具。這些工具包括: 系統安全缺陷探測工具 對其它站點發起大規模探測的腳本 發起拒絕服務攻擊的工具 使用被侵入主機計算和網絡資源的程序 入侵工具的輸出 你可能會發現入侵工具程序留下的一些日志文件。在這些文件中可能會包含被牽扯的其它站點,攻擊者利用的安全缺陷,以及其它站點的安全缺陷。 因此,建議你對系統進行徹底的搜索,找出上面列出的工具及其輸出文件。一定要注意:在搜索過程中,要使用沒有被攻擊者修改過的搜索工具拷貝。 搜索主要可以集中于以下方向: 檢查UNIX系統/dev/目錄下意外的ASCII文件。一些特洛伊木馬二進制文件使用的配置文件通常在/dev目錄中。 仔細檢查系統中的隱藏文件和隱藏目錄。如果入侵者在系統中建立一個一個新的帳戶,那么這個新帳戶的起始目錄以及他使用的文件可能是隱藏的。 檢查一些名字非常奇怪的目錄和文件,例如:...(三個點)、..(兩個點)以及空白(在UNIX系統中)。入侵者通常會在這樣的目錄中隱藏文件。對于NT,應該檢查那些名字和一些系統文件名非常接近的目錄和文件。 4.審查系統日志文件 詳細地審查你的系統日志文件,你可以了解系統是如何被侵入的,入侵過程中,攻擊者執行了哪些操作,以及哪些遠程主機訪問了你的主機。通過這些信息,你能夠對入侵有更加清晰的認識。 記住:系統中的任何日志文件都可能被入侵者改動過。 對于UNIX系統,你可能需要查看/etc/syslog.conf文件確定日志信息文件在哪些位置。NT通常使用三個日志文件,記錄所有的NT事件,每個NT事件都會被記錄到其中的一個文件中,你可以使用Event Viewer查看日志文件。其它一些NT應用程序可能會把自己的日志放到其它的地方,例如ISS服務器默認的日志目錄是c:winntsystem32logfiles。 以下是一個通常使用的UNIX系統日志文件列表。由于系統配置的不同可能你的系統中沒有其中的某些文件。 messages messages日志文件保存了大量的信息。可以從這個文件中發現異常信息,檢查入侵過程中發生了哪些事情。 xferlog 如果被侵入系統提供FTP服務,xferlog文件就會記錄下所有的FTP傳輸。這些信息可以幫助你確定入侵者向你的系統上載了哪些工具,以及從系統下載了哪些東西。 utmp 保存當前登錄每個用戶的信息,使用二進制格式。這個文件只能確定當前哪些用戶登錄。使用who命令可以讀出其中的信息。 wtmp 每次用戶成功的登錄、退出以及系統重啟,都會在wtmp文件中留下記錄。這個文件也使用二進制格式,你需要使用工具程序從中獲取有用的信息。last就是一個這樣的工具。它輸出一個表,包括用戶名、登錄時間、發起連接的主機名等信息,詳細用法可以使用man last查詢。檢查在這個文件中記錄的可疑連接,可以幫助你確定牽扯到這起入侵事件的主機,找出系統中的哪些帳戶可能被侵入了。 secure 某些些版本的UNIX系統(例如:RedHat Linux)會將tcp_wrappers信息記錄到secure文件中。如果系統的inetd精靈使用tcp_wrappers,每當有連接請求超出了inetd提供的服務范圍,就會在這個文件中加入一條日志信息。通過檢查這個日志文件,可以發現一些異常服務請求,或者從陌生的主機發起的連接。 審查日志,最基本的一條就是檢查異常現象。 5.檢查網絡嗅探器 入侵者侵入一個UNIX系統后,為了獲得用戶名和密碼信息,一般會在系統上安裝一個網絡監視程序,這種程序就叫作嗅探器或者數據包嗅探器。對于NT,入侵者會使用遠程管理程序實現上述目的。 判斷系統是否被安裝了嗅探器,首先要看當前是否有進程使你的網絡接口處于混雜(Promiscuous)模式下。如果任何網絡接口處于promiscuous模式下,就表示可能系統被安裝了網絡嗅探器。注意如果你重新啟動了系統或者在單用戶模式下操作,可能無法檢測到Promiscuous模式。使用ifconfig命令就可以知道系統網絡接口是否處于promoscuous模式下(注意一定使用沒有被侵入者修改的ifconfig): #/path-of-clean-ifconfig/ifconfig -a 有一些工具程序可以幫助你檢測系統內的嗅探器程序: cpm(Check Promiscuous Mode)--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/ ifstatus--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ neped.c可以從以下地址的到: ftp://apostols.org/AposTolls/snoapshots/neped/neped.c 一定要記住一些合法的網絡監視程序和協議分析程序也會把網絡接口設置為promiscuous模式。檢測到網絡接口處于promicuous模式下,并不意味著系統中有嗅探器程序正在運行。 但是,在Phrack雜志的一篇文章:(Phrack Magazine Volume 8,Issue 53 July 8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些針對FreeBSD、Linux、HP-UX、IRIX和Solaris系統的模塊,可以擦除IFF_PROMISC標志位,從而使嗅探器逃過此類工具的檢查。以此,即使使用以上的工具,你沒有發現嗅探器,也不能保證攻擊者沒有在系統中安裝嗅探器。 現在,LKM(Loadable Kernel Model,可加載內核模塊)的廣泛應用,也增加了檢測難度。關于這一方面的檢測請參考使用KSAT檢測可加載內核模塊。 還有一個問題應該注意,嗅探器程序的日志文件的大小會急劇增加。使用df程序查看文件系統的某個部分的大小是否太大,也可以發現嗅探器程序的蛛絲馬跡。建議使用lsof程序發現嗅探器程序打開的日志文件和訪問訪問報文設備的程序。在此,還要注意:使用的df程序也應該是干凈的。 一旦在系統中發現了網絡嗅探器程序,我們建議你檢查嗅探器程序的輸出文件確定哪些主機受到攻擊者威脅。被嗅探器程序捕獲的報文中目的主機將受到攻擊者的威脅,不過如果系統的密碼是通過明文傳輸,或者目標主機和源主機互相信任,那么源主機將受到更大的威脅。 通常嗅探器程序的日志格式如下: -- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 -- PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet) 使用如下命令可以從嗅探器程序的日志文件中得到受到威脅的主機列表: % grep PATH: $sniffer_log_file | awk '{print $4}' | awk -F( '{print $1}'| sort -u 你可能需要根據實際情況對這個命令進行一些調整。一些嗅探器程序會給日志文件加密,增加了檢查的困難。 你應該知道不只是在嗅探器程序日志文件中出現的主機受到攻擊者的威脅,其它的主機也可能受到威脅。 建議你參http://www.cert.org/advisories/CA-94.01.ongoing.network.monitoring.attacks.html獲得更為詳細的信息。 6.檢查網絡上的其它系統 除了已知被侵入的系統外,你還應該對網絡上所有的系統進行檢查。主要檢查和被侵入主機共享網絡服務(例如:NIX、NFS)或者通過一些機制(例如:hosts.equiv、.rhosts文件,或者kerberos服務器)和被侵入主機相互信任的系統。 建議你使用CERT的入侵檢測檢查列表進行這一步檢查工作。 http://www.cert.org/tech_tips/intruder_detection_checklist.html http://www.cert.org/tech_tips/win_intruder_detection_checklist.html 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
