入侵检测实战之全面问答

　　1、首先尽可能地确定证据（日志信息）是何种软件的产物、可能发生了什么样的攻击行为。在这个例子中，日志信息可能来自于tcpwrappers，一个增强UNIX系统服务的登录及访问控制的软件；信息还表明这只是一个探测行为而非攻击活动。对这些信息了解得越多，就越可能描绘出罪犯的“长相”，好像警察为将逮捕罪犯描图一样。

　　2、然后从好的方面设想一下这个行为：可能是有人在敲入“telnet xx.xx.xx.xx”时错打了IP地址；可能是想敲入“telnet xx.xx.xx.xx 25”连接一个STMP服务器但却错打成“telnet xx.xx.xx.xx 23”等等。就象是美国的法律，发生了案件，先假设被告无罪再寻找证据证明有罪。

　　3、接着从坏的方面设想这个行为：可能是你方网络已被攻陷，入侵者从受害机器上执行了扫描工作；你方网络中的一名雇员确实执行了扫描工作。这好像与台湾的法律相似，发生了案件，先假设被告有罪再找证据证明无罪。

　　4、另外，还有一个经常忽视但也绝对有可能的情况是：来信人可能就是一个入侵者！怎么说呢？通过观察你对来信的重视程度、响应速度以及可能提供的相关资料，比如管理员的IP地址、邮件信息等等，入侵者就可能推测到你方的网络架构是否安全、应急措施是否得当以及得到相关攻击信息。一般来说，这归类于社会工程的问题。要小心了，喊捉贼的可能就是贼！

　　问：怎么搜集入侵者的攻击证据？

　　这是一个非常有趣而且困难的课题，道高一尺、魔高一丈，精明的入侵者通常也是优秀的跳板选手和魔术大师，他们总是借助其他人的机器或者使用欺骗IP地址来完成他们的规定动作－攻击！但是，他攻他的，我防我的，我认为至少有以下2类有效方法可以采取：

　　1、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法吧，你会惊奇地叫道：天啊，我的网络每日里竟然有这么多的扫描数据包在跳舞！

　　2、尽可能地为开放的每个系统安装审计和日志功能，当入侵发生时，这将是最好的犯罪现场映照。

（编辑：555手机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!