您的位置 首页 软件

简略办法查找黑客老巢

网络安全是一个综合的、复杂的工程,任何网络安全措施都不能保证万无一失。因此,对于一些重要的部门,一旦网络遭到攻击,如何追踪网络攻击,追查到攻击者并将其绳之以法,是十分必要的。

网络安全是一个归纳的、杂乱的工程,任何网络安全办法都不能确保满有把握。因而,关于一些重要的部分,一旦网络遭到进犯,怎么追寻网络进犯,追查到进犯者并将其依法从事,是十分必要的。

  追寻网络进犯便是找到事情产生的源头。它有两个方面含义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确认进犯者的身份。网络进犯者在施行进犯之时或之后,必然会留下一些蛛丝马迹,如登录的纪录,文件权限的改动等虚拟依据,怎么正确处理虚拟依据是追寻网络进犯的最大应战。

  在追寻网络进犯中另一需求考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址,IP地址很简单被假造,大部分网络进犯者选用IP地址诈骗技能。这样追寻到的进犯源是不正确的。使得以IP地址为根底去发现进犯者变得愈加困难。因而,有必要选用一些办法,识破进犯者的诈骗,找到进犯源的实在IP地址。

  ★ netstat指令—-实时观察文击者

  运用netstat指令能够取得一切联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作体系都能够运用“netstat”指令。

  运用“netstat”指令的缺点是只能显现当时的衔接,假如运用“netstat”指令时进犯者没有联接,则无法发现进犯者的踪影。为此,能够运用Scheduler树立一个日程组织,组织体系每隔必定的时间运用一次“netstat”指令,并运用netstat>>textfile格局把每次查看时得到的数据写入一个文本文件中,以便需求追寻网络进犯时运用。

  ★ 日志数据–最具体的进犯记载

  体系的日志数据供给了具体的用户登录信息。在追寻网络进犯时,这些数据是最直接的、有用的依据。可是有些体系的日志数据不完善,网络进犯者也常会把自己的活动从体系日志中删去。因而,需求采纳补救办法,以确保日志数据的完好性。

  Unix和Linux的日志

  Unix和Linux的日志文件较具体的记载了用户的各种活动,如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、履行的指令,用户ID的账号信息等。经过这些信息能够供给ttyname(终端号)和源地址,是追寻网络进犯的最重要的数据。

  大部分网络进犯者会把自己的活动记载从日记中删去,并且UOP和依据X Windows的活动往往不被记载,给追寻者带来困难。为了处理这个问题,能够在体系中运转wrapper东西,这个东西记载用户的服务请求和一切的活动,且不易被网络进犯者发觉,能够有用的避免网络进犯者消除其活动纪录。

  Windows NT和Windows 2000有体系日志、安全日志和应用程序日志等三个日志,而与安全相关的数据包含在安全日志中。安全日志记载了登录用户的相关信息。安全日志中的数据是由装备所决议的。因而,应该依据安全需求合理进行装备,以便取得确保体系安全所必需的数据。

  可是,Windows NT和Windows 2000的安全日志存在严重缺点,它不记载事情的源,不或许依据安全日志中的数据追寻进犯者的源地址。为了处理这个问题,能够装置一个第三方的能够完好记载审计数据的东西。

  防火墙日志

  作为网络体系中的“堡垒主机”,防火墙被网络进犯者攻陷的或许性要小得多。因而,相对而言防火墙日志数据不太简单被修正,它的日志数据供给最理想的进犯源的源地址信息。

  可是,防火墙也不是不或许被攻破的,它的日志也或许被删去和修正。进犯者也可向防火墙发起拒绝服务进犯,使防火墙瘫痪或至少下降其速度使其难以对事情做出及时呼应,然后损坏防火墙日志的完好性。因而,在运用防火墙日志之前,应该运转专用东西查看防火墙日志的完好性,以防得到不完好的数据,贻误追寻机遇。

★ 原始数据包—-比较牢靠的剖析办法

  因为体系主机都有被攻陷的或许,因而运用体系日志获取进犯者的信息有时就不牢靠了。所以,捕获原始数据包并对其数据进行剖析,是确认进犯源的另一个重要的、比较牢靠的办法。

  包头数据剖析

  表1是一个原始数据包的IP包头数据。表中的榜首行是最有用的数字。榜首行的最终8位代表源地址。本例中的地址是0xd2、0x1d、0x84、0x96,对应的IP地址是210.45.132.150。经过剖析原始数据包的包头数据,能够取得较为牢靠的网络进犯者的IP地址,因为这些数据不会被删去或修正。可是,这种办法也不是白璧无瑕的,假如进犯者对其数据包进行加密,对收集到的数据包的剖析就没有什么用处了。

  表1 一个IP包头数据

  0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496

  0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818

  0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34

  0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907

  0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000

  0x0050 0000 0000 0000 0000 0000

  捕获数据包

  在一个交流网络环境下捕获数据包比较困难,这首要是因为集线器和交流机在数据交流中实质的不同。集线器选用的是播送式传输,它不支撑衔接,而是把包发送到除源端口外的一切端口,与集线器相连的一切机器都能够捕获到经过它的数据包。而交流机支撑端到端的衔接,当一个数据包抵达时交流机为它树立一个暂时的衔接,数据包经过这个衔接传到意图端口。所以,在交流环境下抓包不是一件简单的事。为了取得交流环境下的数据包,能够用下面办法处理:

  (1)把交流机的一个“spanning port”(生成端口)装备成象一个集线器相同,经过这个端口的数据包不再与意图主机树立衔接,而是播送式地发送给与此端口相连的一切机器。设置一个包捕获主机,便能够捕获到经过“spaning port”的数据包。可是,在同一时间,交流机只能由一个端口被设置成“spanning port”,因而,不能一起捕获多台主机的数据包。

  (2)在交流机之间,或路由器和交流机之间装置一个集线器。经过集线器的数据包便能够被捕获主机捕获。

  在用捕获数据包获取进犯者的源地址的办法中,有两个问题需求留意:一是确保包捕获主机由满足的存储空间,因为假如在捕获数据包时网络吞吐量很大的话,硬盘很快会被填满;二是在剖析数据包时,可编制一段小程序主动剖析,手艺剖析这么多的数据是不或许的。

  ★ 查找引擎—-或许会有外的惊喜

  运用查找引擎取得网络进犯者的源地址,从理论上讲没有什么依据,可是它往往会收到意想不到的作用,给追寻作业带来意外惊喜。黑客们在Internet上往往有他们自己的虚拟社区,他们在那儿评论网络进犯技能办法,一起夸耀自己的战果。因而,在那里经常会露出他们进犯源的信息乃至他们的身份。

  运用查找引擎追寻网络进犯者的IP地址便是运用一些好的查找引擎(如搜狐的查找引擎)查找网页,查找关键词是进犯主机地点域名、IP地址或主机名,看是否有贴子是关于对上述关键词所代表的机器进行进犯的。尽管网络进犯者一般在发贴子时会运用假造的源地址,但也有许多人在这时比较麻木而运用了实在的源地址。因而,往往能够用这种办法意外地发现网络进犯者的踪影。

  因为不能确保网络中贴子源地址的实在性,所以,不加剖析的运用或许会牵连到无辜的用户。但是,当与其办法结合起来运用时,运用查找引擎仍是十分有用的。

声明:本文内容来自网络转载或用户投稿,文章版权归原作者和原出处所有。文中观点,不代表本站立场。若有侵权请联系本站删除(kf@86ic.com)https://www.86ic.net/qianrushi/ruanjian/185642.html

为您推荐

联系我们

联系我们

在线咨询: QQ交谈

邮箱: kf@86ic.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部