跳到主要內容

簡單方法尋找黑客的老巢

簡單方法尋找黑客的老巢



網路安全是一個綜合的、複雜的工程,任何網路安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網路遭到攻擊,如何追蹤網路攻擊,追查到攻擊者並將其繩之以法,是十分必要的。



  追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP位址、MAC位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登入的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。



  在追蹤網路攻擊中另一需要考慮的問題是:IP位址是一個虛擬位址而不是一個物理位址,IP位址很容易被偽造,大部分網路攻擊者採用IP位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP位址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP位址。



  ★ netstat指令--既時察看文擊者



  使用netstat指令可以獲得所有連線被測主機的網路用戶的IP位址。Windows系列、Unix系列、Linux等常用網路作業系統都可以使用「netstat」指令。



  使用「netstat」指令的缺點是只能顯示現用的連接,如果使用「netstat」指令時攻擊者沒有連線,則無法發現攻擊者的蹤跡。為此,可以使用Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」指令,並使用 netstat>>textfile格式把每次檢查時得到的資料寫入一個文本文件中,以便需要追蹤網路攻擊時使用。



  ★ 日誌資料--最詳細的攻擊記錄



  系統的日誌資料提供了詳細的用戶登入訊息。在追蹤網路攻擊時,這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善,網路攻擊者也常會把自己的活動從系統日誌中移除。因此,需要採取補救措施,以保證日誌資料的完整性。



  Unix和Linux的日誌



  Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登入的ID的用戶名、用戶IP位址、連接阜號、登入和結束時間、每個ID最近一次登入時間、登入的終端、執行的指令,用戶ID的帳號訊息等。通過這些訊息可以提供ttyname(終端號)和源位址,是追蹤網路攻擊的最重要的資料。



  大部分網路攻擊者會把自己的活動記錄從日誌中刪去,而且UOP和關於X Windows的活動往往不被記錄,給追蹤者帶來困難。為了解決這個問題,可以在系統中執行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網路攻擊者發覺,可以有效的防止網路攻擊者消除其活動紀錄。



  Windows NT和Windows 2000的日誌



  Windows NT和Windows 2000有系統日誌、安全日誌和應用程式日誌等三個日誌,而與安全相關的資料包含在安全日誌中。安全日誌記錄了登入用戶的相關資訊。安全日誌中的資料是由組態所決定的。因此,應該根據安全需要合理進行組態,以便獲得保證系統安全所必需的資料。



  但是,Windows NT和Windows 2000的安全日誌存在重大缺陷,它不記錄事件的源,不可能根據安全日誌中的資料追蹤攻擊者的源位址。為了解決這個問題,可以安裝一個第三方的能夠完整記錄審計資料的工具。



  防火牆日誌



  作為網路系統中的「堡壘主機」,防火牆被網路攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌資料不太容易被修改,它的日誌資料提供最理想的攻擊源的源位址訊息。



  但是,防火牆也不是不可能被攻破的,它的日誌也可能被移除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件做出及時回應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該執行專用工具檢查防火牆日誌的完整性,以防得到不完整的資料,貽誤追蹤時機。

  ★ 原始資料包----比較可靠的分析方法





  由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的訊息有時就不可靠了。所以,捕獲原始資料包並對其資料進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。



  網封包頭資料分析



  表1是一個原始資料包的IP網封包頭資料。表中的第一行是最有用的數位。第一行的最後8位代表源位址。本例中的位址是0xd2、0x1d、0x84、 0x96,對應的IP位址是210.45.132.150。通過份析原始資料包的網封包頭資料,可以獲得較為可靠的網路攻擊者的IP位址,因為這些資料不會被移除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其資料包進行加密,對收集到的資料包的分析就沒有什麼用處了。



  表1 一個IP網封包頭資料



  0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496



  0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818



  0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34



  0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907



  0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000



  0x0050 0000 0000 0000 0000 0000



  捕獲資料包



  在一個交換網路環境下捕獲資料包比較困難,這主要是因為集線器和交換機在資料交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包傳送到除源連接阜外的所有連接阜,與集線器相連的所有機器都可以捕獲到通過它的資料包。而交換機支持端到端的連接,當一個資料包到達時交換機為它建立一個暫時的連接,資料包通過這個連接傳到目的連接阜。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的資料包,可以用下面方法解決:



  (1)把交換機的一個「spanning port」(產生連接阜)組態成像一個集線器一樣,通過這個連接阜的資料包不再與目的主機建立連接,而是廣播式地傳送給與此連接阜相連的所有機器。設定一個包捕獲主機,便可以捕獲到通過「spaning port」的資料包。但是,在同一時刻,交換機只能由一個連接阜被設定成「spanning port」,因此,不能同時捕獲多台主機的資料包。



  (2)在交換機之間,或路由器和交換機之間安裝一個集線器。通過集線器的資料包便可以被捕獲主機捕獲。



  在用捕獲資料包獲取攻擊者的源位址的方法中,有兩個問題需要注意:一是保證包捕獲主機由足夠的儲存於空間,因為如果在捕獲資料包時網路吞吐量很大的話,硬碟很快會被填滿;二是在分析資料包時,可編製一段小程序自動分析,手動式分析這麼多的資料是不可能的。



  ★ 搜尋引擎----也許會有外的驚喜



  利用搜尋引擎獲得網路攻擊者的源位址,從理論上講沒有什麼根據,但是它往往會收到意想不到的效果,給追蹤工作帶來意外驚喜。黑客們在Internet 上往往有他們自己的虛擬社區,他們在那兒討論網路攻擊技術方法,同時炫耀自己的戰果。因此,在那裡經常會暴露他們攻擊源的訊息甚至他們的身份。



  利用搜尋引擎追蹤網路攻擊者的IP位址就是使用一些好的搜尋引擎(如搜狐的搜尋引擎)搜尋網頁,搜尋關鍵詞是攻擊主機所在域名、IP位址或主機名,看是否有帖子是關於對上述關鍵詞所代表的機器進行攻擊的。雖然網路攻擊者一般在發帖子時會使用偽造的源位址,但也有很多人在這時比較麻痺而使用了真實的源位址。因此,往往可以用這種方法意外地發現網路攻擊者的蹤跡。



  由於不能保證網路中帖子源位址的真實性,所以,不加分析的使用可能會牽連到無辜的用戶。然而,當與其方法結合起來使用時,使用搜尋引擎還是非常有用的

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

低調的大提琴

低調的大提琴 靜靜默默的歌唱 在無人發現的角落 獨自低鳴 低調的大提琴 沉溺於寂靜旋律 在月光灑落的夜晚 與蟲鳴交響 低調的大提琴 在漆黑中死去 在幾個世紀後才被發現 卻未曾留在任何人心中 低調的大提琴 不善言語表達 用它的靈魂唱出心情 在人們仔細聆聽下綻放光彩

我的花店不賣薔薇(五)

日劇『沒有薔薇的花店』之文字特輯 呵呵~首先感謝忘年好友-任凱大哥的鼎力協助 由他精心挑選,劇集中精彩對話 『直哉:大哥你人好,我沒話說。不過嘛,這麼做到底妥不妥當? 小雫:什麼妥不妥當? 直哉:不會讓人家產生誤會嗎?她會覺得你對她有意思。 小雫:你的意思是讓爸爸不要對她太好? 直哉:這個我可沒說。在公車上給人讓個座之類的倒沒什麼,不過啊,這助人為樂的事要是做過了頭,有時候會在無意中傷害別人的。 小雫:不大懂。 直哉:她要是喜歡上大哥你的話,雖說是帶著魚子的柳葉魚,你怎麼說也是個單身男子,就算有想再婚的念頭也不奇怪。 小雫:你說誰是柳葉魚? 英治:我沒那種想法。 直哉:那誰說得準。或許她本來已經徹底放棄了戀愛、結婚,你卻給絕望中的人帶去希望,然後再對她說:「我就是心眼好,對人好是我的習慣」,那人家多可憐。 小雫:直哉的話也有道理。 直哉:怎麼說我也是做過牛郎的。女人心還不就那麼回事嘛。大哥該不會是……披著羊皮還帶著小孩的狼?這個時候就該說你是偽君子了。你對人好,你心裡舒服,但是總要考慮一下對方是怎麼想的。 英治:誰跟你說我心裡舒服了? 直哉:不過,大哥要是真想接受她,就又另當別論了,把她當做再婚對象看待的話。 英治:也沒這麼想。 直哉:說到底,你對她還是只有同情吧。』 被刺傷了這麼多次 也總是不懂,難道對人好,也是一種錯嗎 也或許就像直哉說的:「對人好,只是為了自己舒服,是一種習慣。」 總是想成為別人迷途羔羊的最後一道防線 企圖以壞人角色,來抵擋那最後的衝動 卻往往總是不夠仔細、不夠貼心,不懂得更深入著想,而兩敗俱傷 或是對我,不能感到全然地信任,害怕自己赤裸裸地被看穿,所以用盡全力來抗拒,來反擊 可惜我們不是在演日劇,你也不是非我不可 只是單純地想對這樣有緣認識,當朋友的人好 是這世界壞人太多嗎?還是我看起來就是心懷不軌^O^ 我是被動的 當你願意跟我聯繫、聊天 我亦會更用心回應 當你願意找我 我亦會更笑容迎接 當你給了我三分 我亦會回你五分 『信任、尊重與平等,是我們的默契。』