|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 入侵者使用的其它工具 以上所列無(wú)法包括全部的入侵工具,攻擊者在系統(tǒng)中可能還會(huì)留下其它入侵工具。這些工具包括: 系統(tǒng)安全缺陷探測(cè)工具 對(duì)其它站點(diǎn)發(fā)起大規(guī)模探測(cè)的腳本 發(fā)起拒絕服務(wù)攻擊的工具 使用被侵入主機(jī)計(jì)算和網(wǎng)絡(luò)資源的程序 入侵工具的輸出 你可能會(huì)發(fā)現(xiàn)入侵工具程序留下的一些日志文件。在這些文件中可能會(huì)包含被牽扯的其它站點(diǎn),攻擊者利用的安全缺陷,以及其它站點(diǎn)的安全缺陷。 因此,建議你對(duì)系統(tǒng)進(jìn)行徹底的搜索,找出上面列出的工具及其輸出文件。一定要注意:在搜索過(guò)程中,要使用沒有被攻擊者修改過(guò)的搜索工具拷貝。 搜索主要可以集中于以下方向: 檢查UNIX系統(tǒng)/dev/目錄下意外的ASCII文件。一些特洛伊木馬二進(jìn)制文件使用的配置文件通常在/dev目錄中。 仔細(xì)檢查系統(tǒng)中的隱藏文件和隱藏目錄。如果入侵者在系統(tǒng)中建立一個(gè)一個(gè)新的帳戶,那么這個(gè)新帳戶的起始目錄以及他使用的文件可能是隱藏的。 檢查一些名字非常奇怪的目錄和文件,例如:...(三個(gè)點(diǎn))、..(兩個(gè)點(diǎn))以及空白(在UNIX系統(tǒng)中)。入侵者通常會(huì)在這樣的目錄中隱藏文件。對(duì)于NT,應(yīng)該檢查那些名字和一些系統(tǒng)文件名非常接近的目錄和文件。 4.審查系統(tǒng)日志文件 詳細(xì)地審查你的系統(tǒng)日志文件,你可以了解系統(tǒng)是如何被侵入的,入侵過(guò)程中,攻擊者執(zhí)行了哪些操作,以及哪些遠(yuǎn)程主機(jī)訪問(wèn)了你的主機(jī)。通過(guò)這些信息,你能夠?qū)θ肭钟懈忧逦恼J(rèn)識(shí)。 記住:系統(tǒng)中的任何日志文件都可能被入侵者改動(dòng)過(guò)。 對(duì)于UNIX系統(tǒng),你可能需要查看/etc/syslog.conf文件確定日志信息文件在哪些位置。NT通常使用三個(gè)日志文件,記錄所有的NT事件,每個(gè)NT事件都會(huì)被記錄到其中的一個(gè)文件中,你可以使用Event Viewer查看日志文件。其它一些NT應(yīng)用程序可能會(huì)把自己的日志放到其它的地方,例如ISS服務(wù)器默認(rèn)的日志目錄是c:winntsystem32logfiles。 以下是一個(gè)通常使用的UNIX系統(tǒng)日志文件列表。由于系統(tǒng)配置的不同可能你的系統(tǒng)中沒有其中的某些文件。 messages messages日志文件保存了大量的信息。可以從這個(gè)文件中發(fā)現(xiàn)異常信息,檢查入侵過(guò)程中發(fā)生了哪些事情。 xferlog 如果被侵入系統(tǒng)提供FTP服務(wù),xferlog文件就會(huì)記錄下所有的FTP傳輸。這些信息可以幫助你確定入侵者向你的系統(tǒng)上載了哪些工具,以及從系統(tǒng)下載了哪些東西。 utmp 保存當(dāng)前登錄每個(gè)用戶的信息,使用二進(jìn)制格式。這個(gè)文件只能確定當(dāng)前哪些用戶登錄。使用who命令可以讀出其中的信息。 wtmp 每次用戶成功的登錄、退出以及系統(tǒng)重啟,都會(huì)在wtmp文件中留下記錄。這個(gè)文件也使用二進(jìn)制格式,你需要使用工具程序從中獲取有用的信息。last就是一個(gè)這樣的工具。它輸出一個(gè)表,包括用戶名、登錄時(shí)間、發(fā)起連接的主機(jī)名等信息,詳細(xì)用法可以使用man last查詢。檢查在這個(gè)文件中記錄的可疑連接,可以幫助你確定牽扯到這起入侵事件的主機(jī),找出系統(tǒng)中的哪些帳戶可能被侵入了。 secure 某些些版本的UNIX系統(tǒng)(例如:RedHat Linux)會(huì)將tcp_wrappers信息記錄到secure文件中。如果系統(tǒng)的inetd精靈使用tcp_wrappers,每當(dāng)有連接請(qǐng)求超出了inetd提供的服務(wù)范圍,就會(huì)在這個(gè)文件中加入一條日志信息。通過(guò)檢查這個(gè)日志文件,可以發(fā)現(xiàn)一些異常服務(wù)請(qǐng)求,或者從陌生的主機(jī)發(fā)起的連接。 審查日志,最基本的一條就是檢查異常現(xiàn)象。 5.檢查網(wǎng)絡(luò)嗅探器 入侵者侵入一個(gè)UNIX系統(tǒng)后,為了獲得用戶名和密碼信息,一般會(huì)在系統(tǒng)上安裝一個(gè)網(wǎng)絡(luò)監(jiān)視程序,這種程序就叫作嗅探器或者數(shù)據(jù)包嗅探器。對(duì)于NT,入侵者會(huì)使用遠(yuǎn)程管理程序?qū)崿F(xiàn)上述目的。 判斷系統(tǒng)是否被安裝了嗅探器,首先要看當(dāng)前是否有進(jìn)程使你的網(wǎng)絡(luò)接口處于混雜(Promiscuous)模式下。如果任何網(wǎng)絡(luò)接口處于promiscuous模式下,就表示可能系統(tǒng)被安裝了網(wǎng)絡(luò)嗅探器。注意如果你重新啟動(dòng)了系統(tǒng)或者在單用戶模式下操作,可能無(wú)法檢測(cè)到Promiscuous模式。使用ifconfig命令就可以知道系統(tǒng)網(wǎng)絡(luò)接口是否處于promoscuous模式下(注意一定使用沒有被侵入者修改的ifconfig): #/path-of-clean-ifconfig/ifconfig -a 有一些工具程序可以幫助你檢測(cè)系統(tǒng)內(nèi)的嗅探器程序: cpm(Check Promiscuous Mode)--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/ ifstatus--UNIX可以從以下地址下載: ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ neped.c可以從以下地址的到: ftp://apostols.org/AposTolls/snoapshots/neped/neped.c 一定要記住一些合法的網(wǎng)絡(luò)監(jiān)視程序和協(xié)議分析程序也會(huì)把網(wǎng)絡(luò)接口設(shè)置為promiscuous模式。檢測(cè)到網(wǎng)絡(luò)接口處于promicuous模式下,并不意味著系統(tǒng)中有嗅探器程序正在運(yùn)行。 但是,在Phrack雜志的一篇文章:(Phrack Magazine Volume 8,Issue 53 July 8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些針對(duì)FreeBSD、Linux、HP-UX、IRIX和Solaris系統(tǒng)的模塊,可以擦除IFF_PROMISC標(biāo)志位,從而使嗅探器逃過(guò)此類工具的檢查。以此,即使使用以上的工具,你沒有發(fā)現(xiàn)嗅探器,也不能保證攻擊者沒有在系統(tǒng)中安裝嗅探器。 現(xiàn)在,LKM(Loadable Kernel Model,可加載內(nèi)核模塊)的廣泛應(yīng)用,也增加了檢測(cè)難度。關(guān)于這一方面的檢測(cè)請(qǐng)參考使用KSAT檢測(cè)可加載內(nèi)核模塊。 還有一個(gè)問(wèn)題應(yīng)該注意,嗅探器程序的日志文件的大小會(huì)急劇增加。使用df程序查看文件系統(tǒng)的某個(gè)部分的大小是否太大,也可以發(fā)現(xiàn)嗅探器程序的蛛絲馬跡。建議使用lsof程序發(fā)現(xiàn)嗅探器程序打開的日志文件和訪問(wèn)訪問(wèn)報(bào)文設(shè)備的程序。在此,還要注意:使用的df程序也應(yīng)該是干凈的。 一旦在系統(tǒng)中發(fā)現(xiàn)了網(wǎng)絡(luò)嗅探器程序,我們建議你檢查嗅探器程序的輸出文件確定哪些主機(jī)受到攻擊者威脅。被嗅探器程序捕獲的報(bào)文中目的主機(jī)將受到攻擊者的威脅,不過(guò)如果系統(tǒng)的密碼是通過(guò)明文傳輸,或者目標(biāo)主機(jī)和源主機(jī)互相信任,那么源主機(jī)將受到更大的威脅。 通常嗅探器程序的日志格式如下: -- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 -- PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet) 使用如下命令可以從嗅探器程序的日志文件中得到受到威脅的主機(jī)列表: % grep PATH: $sniffer_log_file | awk '{print $4}' | awk -F( '{print $1}'| sort -u 你可能需要根據(jù)實(shí)際情況對(duì)這個(gè)命令進(jìn)行一些調(diào)整。一些嗅探器程序會(huì)給日志文件加密,增加了檢查的困難。 你應(yīng)該知道不只是在嗅探器程序日志文件中出現(xiàn)的主機(jī)受到攻擊者的威脅,其它的主機(jī)也可能受到威脅。 建議你參http://www.cert.org/advisories/CA-94.01.ongoing.network.monitoring.attacks.html獲得更為詳細(xì)的信息。 6.檢查網(wǎng)絡(luò)上的其它系統(tǒng) 除了已知被侵入的系統(tǒng)外,你還應(yīng)該對(duì)網(wǎng)絡(luò)上所有的系統(tǒng)進(jìn)行檢查。主要檢查和被侵入主機(jī)共享網(wǎng)絡(luò)服務(wù)(例如:NIX、NFS)或者通過(guò)一些機(jī)制(例如:hosts.equiv、.rhosts文件,或者kerberos服務(wù)器)和被侵入主機(jī)相互信任的系統(tǒng)。 建議你使用CERT的入侵檢測(cè)檢查列表進(jìn)行這一步檢查工作。 http://www.cert.org/tech_tips/intruder_detection_checklist.html http://www.cert.org/tech_tips/win_intruder_detection_checklist.html 網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購(gòu)買微軟正版軟件!
本站所有資源全部來(lái)自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
