網絡安全是一個綜合的、複雜的工程,任何網絡安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網絡遭到攻擊,如何追蹤網絡攻擊,追查到攻擊者並將其繩之以法,是十分必要的。
追蹤網絡攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP地址、MAC地址或是認證的主機名;二是指確定攻擊者的身份。網絡攻擊者在實 施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登錄的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網絡攻擊的最大挑戰。
在追蹤網絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址,IP地址很容易被偽造,大部分網絡攻擊者採用IP地址欺騙技術。 這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP地址。
★ netstat命令----實時察看攻擊者
使用netstat命令可以獲得所有聯接被測主機的網絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網絡操作系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連接,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用 Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格 式把每次檢查時得到的數據寫入一個文本文件中,以便需要追蹤網絡攻擊時使用。
★ 日誌數據--最詳細的攻擊記錄
系統的日誌數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時,這些數據是最直接的、有效的證據。但是有些系統的日誌數據不完善,網絡攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌數據的完整性。
Unix和Linux的日誌
Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄 時間、登錄的終端、執行的命令,用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址,是追蹤網絡攻擊的最重要的數據。
大部分網絡攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基於X Windows的活動往往不被記錄,給追蹤者帶來困難。為瞭解決這個問題,可 以在系統中運行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網絡攻擊者發覺,可以有效的防止網絡攻擊者消除其活動紀錄。
Windows NT和Windows 2000的日誌
Windows NT和Windows 2000有系統日誌、安全日志和應用程序日誌等三個日誌,而與安全相關的數據包含在安全日志中。安全日志記錄 了登錄用戶的相關信息。安全日志中的數據是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的數據。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據安全日志中的數據追蹤攻擊者的源地址。為瞭解決這個問題,可以安裝一個第三方的能夠完整記錄審計數據的工具。
防火牆日誌
作為網絡系統中的「堡壘主機」,防火牆被網絡攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌數據不太容易被修改,它的日誌數據提供最理想的攻擊源的源地址信息。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件 做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該運行專用工具檢查防火牆日誌的完整性,以防得到不完整的數據,貽誤追蹤時 機。
★ 原始數據包----比較可靠的分析方法
由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的信息有時就不可靠了。所以,捕獲原始數據包並對其數據進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。
包頭數據分析
表1是一個原始數據包的IP包頭數據。表中的第一行是最有用的數字。第一行的最後8位代表源地址。本例中的地址是0xd2、0x1d、0x84、 0x96,對應的IP地址是210.45.132.150。通過分析原始數據包的包頭數據,可以獲得較為可靠的網絡攻擊者的IP地址,因為這些數據不會被 刪除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其數據包進行加密,對收集到的數據包的分析就沒有什麼用處了。
表1 一個IP包頭數據
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
原文出處
追蹤網絡攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP地址、MAC地址或是認證的主機名;二是指確定攻擊者的身份。網絡攻擊者在實 施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登錄的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網絡攻擊的最大挑戰。
在追蹤網絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址,IP地址很容易被偽造,大部分網絡攻擊者採用IP地址欺騙技術。 這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP地址。
★ netstat命令----實時察看攻擊者
使用netstat命令可以獲得所有聯接被測主機的網絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網絡操作系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連接,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用 Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格 式把每次檢查時得到的數據寫入一個文本文件中,以便需要追蹤網絡攻擊時使用。
★ 日誌數據--最詳細的攻擊記錄
系統的日誌數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時,這些數據是最直接的、有效的證據。但是有些系統的日誌數據不完善,網絡攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌數據的完整性。
Unix和Linux的日誌
Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄 時間、登錄的終端、執行的命令,用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址,是追蹤網絡攻擊的最重要的數據。
大部分網絡攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基於X Windows的活動往往不被記錄,給追蹤者帶來困難。為瞭解決這個問題,可 以在系統中運行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網絡攻擊者發覺,可以有效的防止網絡攻擊者消除其活動紀錄。
Windows NT和Windows 2000的日誌
Windows NT和Windows 2000有系統日誌、安全日志和應用程序日誌等三個日誌,而與安全相關的數據包含在安全日志中。安全日志記錄 了登錄用戶的相關信息。安全日志中的數據是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的數據。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據安全日志中的數據追蹤攻擊者的源地址。為瞭解決這個問題,可以安裝一個第三方的能夠完整記錄審計數據的工具。
防火牆日誌
作為網絡系統中的「堡壘主機」,防火牆被網絡攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌數據不太容易被修改,它的日誌數據提供最理想的攻擊源的源地址信息。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件 做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該運行專用工具檢查防火牆日誌的完整性,以防得到不完整的數據,貽誤追蹤時 機。
由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的信息有時就不可靠了。所以,捕獲原始數據包並對其數據進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。
包頭數據分析
表1是一個原始數據包的IP包頭數據。表中的第一行是最有用的數字。第一行的最後8位代表源地址。本例中的地址是0xd2、0x1d、0x84、 0x96,對應的IP地址是210.45.132.150。通過分析原始數據包的包頭數據,可以獲得較為可靠的網絡攻擊者的IP地址,因為這些數據不會被 刪除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其數據包進行加密,對收集到的數據包的分析就沒有什麼用處了。
表1 一個IP包頭數據
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
原文出處
全站熱搜
留言列表
