網(wǎng)絡(luò)安全是一個(gè)綜合的、復(fù)雜的工程,任何網(wǎng)絡(luò)安全措施都不能保證萬(wàn)無(wú)一失,
如何查找網(wǎng)絡(luò)攻擊源
。因此,對(duì)于一些重要的部門,一旦網(wǎng)絡(luò)遭到攻擊,如何追蹤網(wǎng)絡(luò)攻擊,追查到攻擊者并將其繩之以法,是十分必要的。追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭。它有兩個(gè)方面意義:一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機(jī)名;二是指確定攻擊者的身份。網(wǎng)絡(luò)攻擊者在實(shí)施攻擊之時(shí)或之后,必然會(huì)留下一些蛛絲馬跡,如登錄的紀(jì)錄,文件權(quán)限的改變等虛擬證據(jù),如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)。
在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問(wèn)題是:IP地址是一個(gè)虛擬地址而不是一個(gè)物理地址,IP地址很容易被偽造,大部分網(wǎng)絡(luò)攻擊者采用IP地址欺騙技術(shù)。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此,必須采用一些方法,識(shí)破攻擊者的欺騙,找到攻擊源的真正IP地址。
★ netstat命令----實(shí)時(shí)察看攻擊者
使用netstat命令可以獲得所有聯(lián)接被測(cè)主機(jī)的網(wǎng)絡(luò)用戶的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netstat”命令。
使用“netstat”命令的缺點(diǎn)是只能顯示當(dāng)前的連接,如果使用“netstat”命令時(shí)攻擊者沒(méi)有聯(lián)接,則無(wú)法發(fā)現(xiàn)攻擊者的蹤跡。為此,可以使用Scheduler建立一個(gè)日程安排,安排系統(tǒng)每隔一定的時(shí)間使用一次“netstat”命令,并使用netstat>>textfile格式把每次檢查時(shí)得到的數(shù)據(jù)寫入一個(gè)文本文件中,以便需要追蹤網(wǎng)絡(luò)攻擊時(shí)使用。
★ 日志數(shù)據(jù)--最詳細(xì)的攻擊記錄
系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的用戶登錄信息。在追蹤網(wǎng)絡(luò)攻擊時(shí),這些數(shù)據(jù)是最直接的、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善,網(wǎng)絡(luò)攻擊者也常會(huì)把自己的活動(dòng)從系統(tǒng)日志中刪除。因此,需要采取補(bǔ)救措施,以保證日志數(shù)據(jù)的完整性。
Unix和Linux的日志
Unix和Linux的日志文件較詳細(xì)的記錄了用戶的各種活動(dòng),如登錄的ID的用戶名、用戶IP地址、端口號(hào)、登錄和退出時(shí)間、每個(gè)ID最近一次登錄時(shí)間、登錄的終端、執(zhí)行的命令,用戶ID的賬號(hào)信息等。通過(guò)這些信息可以提供ttyname(終端號(hào))和源地址,是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)。
大部分網(wǎng)絡(luò)攻擊者會(huì)把自己的活動(dòng)記錄從日記中刪去,而且UOP和基于X Windows的活動(dòng)往往不被記錄,給追蹤者帶來(lái)困難。為了解決這個(gè)問(wèn)題,可以在系統(tǒng)中運(yùn)行wrapper工具,這個(gè)工具記錄用戶的服務(wù)請(qǐng)求和所有的活動(dòng),且不易被網(wǎng)絡(luò)攻擊者發(fā)覺(jué),可以有效的防止網(wǎng)絡(luò)攻擊者消除其活動(dòng)紀(jì)錄。
Windows NT和Windows 2000的日志
Windows NT和Windows 2000有系統(tǒng)日志、安全日志和應(yīng)用程序日志等三個(gè)日志,而與安全相關(guān)的數(shù)據(jù)包含在安全日志中。安全日志記錄了登錄用戶的相關(guān)信息。安全日志中的數(shù)據(jù)是由配置所決定的。因此,應(yīng)該根據(jù)安全需要合理進(jìn)行配置,以便獲得保證系統(tǒng)安全所必需的數(shù)據(jù)。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個(gè)問(wèn)題,可以安裝一個(gè)第三方的能夠完整記錄審計(jì)數(shù)據(jù)的工具。
防火墻日志
作為網(wǎng)絡(luò)系統(tǒng)中的“堡壘主機(jī)”,防火墻被網(wǎng)絡(luò)攻擊者攻陷的可能性要小得多。因此,相對(duì)而言防火墻日志數(shù)據(jù)不太容易被修改,它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息。
但是,防火墻也不是不可能被攻破的,它的日志也可能被刪除和修改。攻擊者也可向防火墻發(fā)動(dòng)拒絕服務(wù)攻擊,使防火墻癱瘓或至少降低其速度使其難以對(duì)事件做出及時(shí)響應(yīng),從而破壞防火墻日志的完整性。因此,在使用防火墻日志之前,應(yīng)該運(yùn)行專用工具檢查防火墻日志的完整性,以防得到不完整的數(shù)據(jù),貽誤追蹤時(shí)機(jī),
電腦資料
《如何查找網(wǎng)絡(luò)攻擊源》(http://www.msguai.com)。★ 原始數(shù)據(jù)包----比較可靠的分析方法
由于系統(tǒng)主機(jī)都有被攻陷的可能,因此利用系統(tǒng)日志獲取攻擊者的信息有時(shí)就不可靠了。所以,捕獲原始數(shù)據(jù)包并對(duì)其數(shù)據(jù)進(jìn)行分析,是確定攻擊源的另一個(gè)重要的、比較可靠的方法。
包頭數(shù)據(jù)分析
表1是一個(gè)原始數(shù)據(jù)包的IP包頭數(shù)據(jù)。表中的第一行是最有用的數(shù)字。第一行的最后8位代表源地址。本例中的地址是0xd2、0x1d、0x84、0x96,對(duì)應(yīng)的IP地址是210.45.132.150。通過(guò)分析原始數(shù)據(jù)包的包頭數(shù)據(jù),可以獲得較為可靠的網(wǎng)絡(luò)攻擊者的IP地址,因?yàn)檫@些數(shù)據(jù)不會(huì)被刪除或修改。但是,這種方法也不是完美無(wú)缺的,如果攻擊者對(duì)其數(shù)據(jù)包進(jìn)行加密,對(duì)收集到的數(shù)據(jù)包的分析就沒(méi)有什么用處了。
表1 一個(gè)IP包頭數(shù)據(jù)
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
捕獲數(shù)據(jù)包
在一個(gè)交換網(wǎng)絡(luò)環(huán)境下捕獲數(shù)據(jù)包比較困難,這主要是因?yàn)榧器和交換機(jī)在數(shù)據(jù)交換中本質(zhì)的不同。集線器采用的是廣播式傳輸,它不支持連接,而是把包發(fā)送到除源端口外的所有端口,與集線器相連的所有機(jī)器都可以捕獲到通過(guò)它的數(shù)據(jù)包。而交換機(jī)支持端到端的連接,當(dāng)一個(gè)數(shù)據(jù)包到達(dá)時(shí)交換機(jī)為它建立一個(gè)暫時(shí)的連接,數(shù)據(jù)包通過(guò)這個(gè)連接傳到目的端口。所以,在交換環(huán)境下抓包不是一件容易的事。為了獲得交換環(huán)境下的數(shù)據(jù)包,可以用下面方法解決:
(1)把交換機(jī)的一個(gè)“spanning port”(生成端口)配置成象一個(gè)集線器一樣,通過(guò)這個(gè)端口的數(shù)據(jù)包不再與目的主機(jī)建立連接,而是廣播式地發(fā)送給與此端口相連的所有機(jī)器。設(shè)置一個(gè)包捕獲主機(jī),便可以捕獲到通過(guò)“spaning port”的數(shù)據(jù)包。但是,在同一時(shí)刻,交換機(jī)只能由一個(gè)端口被設(shè)置成“spanning port”,因此,不能同時(shí)捕獲多臺(tái)主機(jī)的數(shù)據(jù)包。
(2)在交換機(jī)之間,或路由器和交換機(jī)之間安裝一個(gè)集線器。通過(guò)集線器的數(shù)據(jù)包便可以被捕獲主機(jī)捕獲。
在用捕獲數(shù)據(jù)包獲取攻擊者的源地址的方法中,有兩個(gè)問(wèn)題需要注意:一是保證包捕獲主機(jī)由足夠的存儲(chǔ)空間,因?yàn)槿绻诓东@數(shù)據(jù)包時(shí)網(wǎng)絡(luò)吞吐量很大的話,硬盤很快會(huì)被填滿;二是在分析數(shù)據(jù)包時(shí),可編制一段小程序自動(dòng)分析,手工分析這么多的數(shù)據(jù)是不可能的。
★ 搜索引擎----也許會(huì)有外的驚喜
利用搜索引擎獲得網(wǎng)絡(luò)攻擊者的源地址,從理論上講沒(méi)有什么根據(jù),但是它往往會(huì)收到意想不到的效果,給追蹤工作帶來(lái)意外驚喜。 們?cè)贗nternet上往往有他們自己的虛擬社區(qū),他們?cè)谀莾河懻摼W(wǎng)絡(luò)攻擊技術(shù)方法,同時(shí)炫耀自己的戰(zhàn)果。因此,在那里經(jīng)常會(huì)暴露他們攻擊源的信息甚至他們的身份。
利用搜索引擎追蹤網(wǎng)絡(luò)攻擊者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索網(wǎng)頁(yè),搜索關(guān)鍵詞是攻擊主機(jī)所在域名、IP地址或主機(jī)名,看是否有貼子是關(guān)于對(duì)上述關(guān)鍵詞所代表的機(jī)器進(jìn)行攻擊的。雖然網(wǎng)絡(luò)攻擊者一般在發(fā)貼子時(shí)會(huì)使用偽造的源地址,但也有很多人在這時(shí)比較麻痹而使用了真實(shí)的源地址。因此,往往可以用這種方法意外地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者的蹤跡。
由于不能保證網(wǎng)絡(luò)中貼子源地址的真實(shí)性,所以,不加分析的使用可能會(huì)牽連到無(wú)辜的用戶。然而,當(dāng)與其方法結(jié)合起來(lái)使用時(shí),使用搜索引擎還是非常有用的。