入侵检测实战之全面问答
1、首先尽可能地确定证据(日志信息)是何种软件的产物、可能发生了什么样的攻击行为。在这个例子中,日志信息可能来自于tcpwrappers,一个增强UNIX系统服务的登录及访问控制的软件;信息还表明这只是一个探测行为而非攻击活动。对这些信息了解得越多,就越可能描绘出罪犯的“长相”,好像警察为将逮捕罪犯描图一样。 2、然后从好的方面设想一下这个行为:可能是有人在敲入“telnet xx.xx.xx.xx”时错打了IP地址;可能是想敲入“telnet xx.xx.xx.xx 25”连接一个STMP服务器但却错打成“telnet xx.xx.xx.xx 23”等等。就象是美国的法律,发生了案件,先假设被告无罪再寻找证据证明有罪。 3、接着从坏的方面设想这个行为:可能是你方网络已被攻陷,入侵者从受害机器上执行了扫描工作;你方网络中的一名雇员确实执行了扫描工作。这好像与台湾的法律相似,发生了案件,先假设被告有罪再找证据证明无罪。 4、另外,还有一个经常忽视但也绝对有可能的情况是:来信人可能就是一个入侵者!怎么说呢?通过观察你对来信的重视程度、响应速度以及可能提供的相关资料,比如管理员的IP地址、邮件信息等等,入侵者就可能推测到你方的网络架构是否安全、应急措施是否得当以及得到相关攻击信息。一般来说,这归类于社会工程的问题。要小心了,喊捉贼的可能就是贼! 问:怎么搜集入侵者的攻击证据? 这是一个非常有趣而且困难的课题,道高一尺、魔高一丈,精明的入侵者通常也是优秀的跳板选手和魔术大师,他们总是借助其他人的机器或者使用欺骗IP地址来完成他们的规定动作-攻击!但是,他攻他的,我防我的,我认为至少有以下2类有效方法可以采取: 1、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法吧,你会惊奇地叫道:天啊,我的网络每日里竟然有这么多的扫描数据包在跳舞! 2、尽可能地为开放的每个系统安装审计和日志功能,当入侵发生时,这将是最好的犯罪现场映照。 (编辑:555手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |