如何追蹤黑客的網(wǎng)絡(luò)攻擊
2015-11-13 16:35:05
來源:
[導(dǎo)讀] 網(wǎng)絡(luò)是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網(wǎng)絡(luò)遭到攻擊,如何追蹤網(wǎng)絡(luò)攻擊,追查到攻擊者
在以上各種紀(jì)錄方式中,都沒有電子郵件這項。因為電子信件要等收件者去收信才看得到, 有些情況可能是很緊急的, 沒辦法等你去拿信來看(BSD的Manual Page寫著「when you got mail,it’s already too late...」 :-P)。以上就是syslog各項紀(jì)錄程度以及紀(jì)錄方式的寫法,各位讀者可以依照自己的需求記錄下自己所需要的內(nèi)容。但是這些紀(jì)錄都是一直堆上去的,除 非您將檔案自行刪掉,否則這些檔案就會越來越大。有的人可能會在syslogd.conf里寫:*.*/var/log/everything,要是這樣 的話,當(dāng)然所有的情況都被你記錄下來了。但是如果真的系統(tǒng)出事了,你可能要從好幾十MB甚至幾百MB的文字中找出到底是哪邊出問題,這樣可能對你一點幫助 都沒有。因此,以下兩點可以幫助你快速找到重要的紀(jì)錄內(nèi)容:
1.定期檢查紀(jì)錄
養(yǎng)成每周(或是更短的時間,如果你有空的話)看一次紀(jì)錄檔的習(xí)慣。如果有需要將舊的紀(jì)錄檔備份,可以cploglog.1,cploglog.2... 或是cploglog.971013,cploglog.980101...等,將過期的紀(jì)錄檔依照流水號或是日期存起來,未來考察時也比較容易。
2.只記錄有用的東西
千萬不要像前面的例子一樣,記錄下*.*。然后放在一個檔案中。這樣的結(jié)果會導(dǎo)檔案太大,要找資料時根本無法馬上找出來。有人在記錄網(wǎng)路通訊時,連誰去 ping他的主機都記錄。除非是系統(tǒng)已經(jīng)遭到很大的威脅,沒事就有人喜歡嘗試進入你的系統(tǒng),否則這種雞毛蒜皮的小事可以不用記錄。可以提升些許系統(tǒng)效率以 及降低硬盤使用量(當(dāng)然也節(jié)省你的時間)。地理位置的追蹤如何查出入侵者的地理位置?光看IP地址可能看不出來,但是你常看的話,會發(fā)現(xiàn)也會發(fā)現(xiàn)規(guī)律的。 在固接式的網(wǎng)路環(huán)境中,入侵者一定和網(wǎng)路提供單位有著密切的關(guān)系。因為假設(shè)是區(qū)域網(wǎng)路,那么距離絕對不出幾公里。就算是撥接好了,也很少人會花大筆錢去撥 外縣市甚至國外的撥接伺服器。因此,只要查出線的單位,入侵者必然離連線單位不遠。
撥接式的網(wǎng)路就比較令人頭疼了。有許多ISP為了吸引客戶,弄了很多什么網(wǎng)絡(luò)卡。User這邊只要買了固定的小時數(shù),不需須另外向ISP那邊提出申請, 就可以按照卡片上的說明自行撥接上網(wǎng)。這樣當(dāng)然可以吸引客戶,但是ISP就根本無從得知是誰在用他們的網(wǎng)路。也就是說,雖然以網(wǎng)絡(luò)卡提供撥接服務(wù)給撥接使 用者帶來相當(dāng)大的便利,但卻是系統(tǒng)安全的大敵,網(wǎng)路管理員的惡夢。如果入侵你的人是使用網(wǎng)絡(luò)卡來上網(wǎng),那„„,要從撥號的地點查嗎?入侵者可以不要用自己 家里的電話上網(wǎng)。
小結(jié):
對于
