資源描述:
《追捕技術(shù)讓黑客無(wú)處可逃》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)���。
1、追捕技術(shù)讓黑客無(wú)處可逃上海整形上海整形醫(yī)院上海整形美容醫(yī)院美白針價(jià)格 網(wǎng)絡(luò)是個(gè)大舞臺(tái)���,這個(gè)舞臺(tái)中不光有安全人員也有黑客份子所組成�。攻擊與防守自然就成了兩者之間相互論辯的話題��。對(duì)于一些重要的部門(mén),一旦網(wǎng)絡(luò)遭到攻擊���,如何追蹤網(wǎng)絡(luò)攻擊��,追查到攻擊者并將其繩之以法����,是十分必要的�����?�! ∠旅娴奈恼路直镜刈粉櫤途W(wǎng)絡(luò)追蹤兩部份�。上海整形上海整形醫(yī)院上海整形美容醫(yī)院美白針價(jià)格 本地追蹤方法 追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭?! ∷袃蓚€(gè)方面意義:一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機(jī)名�����;二是指確定攻擊者的身份����。網(wǎng)絡(luò)攻擊者在實(shí)施攻擊之時(shí)或
2���、之后,必然會(huì)留下一些蛛絲馬跡���,如登錄的紀(jì)錄�����,文件權(quán)限的改變等虛擬證據(jù),如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)����。 在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問(wèn)題是:IP地址是一個(gè)虛擬地址而不是一個(gè)物理地址����,IP地址很容易被偽造�,大部分網(wǎng)絡(luò)攻擊者采用IP地址欺騙技術(shù)。這樣追蹤到的攻擊源是不正確的�。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此�����,必須采用一些方法�,識(shí)破攻擊者的欺騙,找到攻擊源的真正IP地址����。 netstat命令----實(shí)時(shí)察看攻擊者上海整形上海整形醫(yī)院上海整形美容醫(yī)院美白針價(jià)格 使用netstat命令可以獲得所有聯(lián)接被
3�、測(cè)主機(jī)的網(wǎng)絡(luò)用戶(hù)的IP地址�����?���! indows系列、Unix系列�����、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netstat”命令����。使用“netstat”命令的缺點(diǎn)是只能顯示當(dāng)前的連接,如果使用“netstat”命令時(shí)攻擊者沒(méi)有聯(lián)接,則無(wú)法發(fā)現(xiàn)攻擊者的蹤跡�����。為此�,可以使用Scheduler建立一個(gè)日程安排����,安排系統(tǒng)每隔一定的時(shí)間使用一次“netstat”命令�����,并使用netstat>>textfile格式把每次檢查時(shí)得到的數(shù)據(jù)寫(xiě)入一個(gè)文本文件中���,以便需要追蹤網(wǎng)絡(luò)攻擊時(shí)使用?! ∪罩緮?shù)據(jù)----最詳細(xì)的攻擊記錄 系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的
4���、用戶(hù)登錄信息����。在追蹤網(wǎng)絡(luò)攻擊時(shí),這些數(shù)據(jù)是最直接的����、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善���,網(wǎng)絡(luò)攻擊者也常會(huì)把自己的活動(dòng)從系統(tǒng)日志中刪除���。因此,需要采取補(bǔ)救措施���,以保證日志數(shù)據(jù)的完整性�。Unix和Linux的日志Unix和Linux的日志文件較詳細(xì)的記錄了用戶(hù)的各種活動(dòng)���,如登錄的ID的用戶(hù)名�����、用戶(hù)IP地址、端口號(hào)����、登錄和退出時(shí)間����、每個(gè)ID最近一次登錄時(shí)間����、登錄的終端���、執(zhí)行的命令,用戶(hù)ID的賬號(hào)信息等�。通過(guò)這些信息可以提供ttyname(終端號(hào))和源地址�����,是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)��。大部分網(wǎng)絡(luò)攻擊者會(huì)把自己的活動(dòng)記錄從日記中刪去���,
5�����、而且UOP和基于XWindows的活動(dòng)往往不被記錄���,給追蹤者帶來(lái)困難。為了解決這個(gè)問(wèn)題��,可以在系統(tǒng)中運(yùn)行wrapper工具��,這個(gè)工具記錄用戶(hù)的服務(wù)請(qǐng)求和所有的活動(dòng)�����,且不易被網(wǎng)絡(luò)攻擊者發(fā)覺(jué)��,可以有效的防止網(wǎng)絡(luò)攻擊者消除其活動(dòng)紀(jì)錄����?��! indowsNT和Windows2000的日志W(wǎng)indowsNT和Windows2000有系統(tǒng)日志、安全日志和應(yīng)用程序日志等三個(gè)日志,而與安全相關(guān)的數(shù)據(jù)包含在安全日志中���。安全日志記錄了登錄用戶(hù)的相關(guān)信息��。安全日志中的數(shù)據(jù)是由配置所決定的。因此���,應(yīng)該根據(jù)安全需要合理進(jìn)行配置,以便獲得保證系統(tǒng)安全所必需的數(shù)
6���、據(jù)����。但是����,WindowsNT和Windows2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個(gè)問(wèn)題����,可以安裝一個(gè)第三方的能夠完整記錄審計(jì)數(shù)據(jù)的工具。上海整形上海整形醫(yī)院上海整形美容醫(yī)院美白針價(jià)格 防火墻日志作為網(wǎng)絡(luò)系統(tǒng)中的“堡壘主機(jī)”����,防火墻被網(wǎng)絡(luò)攻擊者攻陷的可能性要小得多�。因此,相對(duì)而言防火墻日志數(shù)據(jù)不太容易被修改����,它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息����。但是��,防火墻也不是不可能被攻破的���,它的日志也可能被刪除和修改���。攻擊者也可向防火墻發(fā)動(dòng)拒絕服務(wù)攻擊�����,使防火墻癱瘓或至
7、少降低其速度使其難以對(duì)事件做出及時(shí)響應(yīng)���,從而破壞防火墻日志的完整性��。因此,在使用防火墻日志之前��,應(yīng)該運(yùn)行專(zhuān)用工具檢查防火墻日志的完整性���,以防得到不完整的數(shù)據(jù)��,貽誤追蹤時(shí)機(jī)����?����! 【W(wǎng)絡(luò)入侵追蹤方法 入侵者的追蹤(IntruderTracing)在區(qū)域網(wǎng)路上可能你聽(tīng)過(guò)所謂「廣播模式」的資料發(fā)送方法����,此種方法不指定收信站���,只要和此網(wǎng)路連結(jié)的所有網(wǎng)路設(shè)備皆為收信對(duì)象�。但是這僅僅在區(qū)域網(wǎng)路上能夠?qū)嵭校驗(yàn)閰^(qū)域網(wǎng)路上的機(jī)器不多(和Internet比起來(lái))。如果象是Internet上有數(shù)千萬(wàn)的主機(jī),本就不可能實(shí)施資料廣播(至于IPMulticas
8、t算是一種限定式廣播RestrictedBroadcast���,唯有被指定的機(jī)器會(huì)收到����,Internet上其他電腦還是不會(huì)收到)�����。假設(shè)Internet上可以實(shí)施非限定廣播��,那隨便一個(gè)人發(fā)出廣播訊息��,全世界的電腦皆受其影響��,豈不世界大亂?因
