如何追踪入侵者(上)
[size=3][color=#00ff00]在区域网络上可能你听过所谓(广播模式)的资料发送方法,此种方法不指定收信站,只要和此网络连结的所有网络设备皆为收信对象。但是这仅仅在区域网络上能够实行,因为区域网络上的机器不多(和Internet比起来)。如果想是Internet上有数千万的主机,根本就不可能实施资料广播(至于IP Multi cast算是一种限定式广播RestrictedBroadcast,唯有被指定的机器会收到,Internet上其他电脑还是不会收到)。假设Internet上可以实施非限定广播,那随便一个人发出广播讯息,全世界的电脑皆受其影响,岂不世界大乱?因此,任何区域网络内的路由器或是类似网络设备都不会将自己区域网络内的广播讯息转送出去。万一在WAN Port收到广播讯息,也不会转进自己的LAN Port中。 [/color][/size][size=3][color=#00ff00]而既然网络皆有发信站与收信站,用以标示资讯发送者与资讯接收者,除非对方使用一些特殊的封包封装方式或是使用防火墙对外连线,那么只要有人和你的主机进行通讯(寄信或是telnet、ftp过来都算)你就应该会知道对方的么,如果对方用了防火墙来和你通讯,你最少也能够知道防火墙的位置。也正因为只要有人和你连线,你就能知道对方的位置,那么要不要知道对方位置只是要做不做的问题而已。如果对方是透过一台UNIX主机和你连线,则你更可以透过ident查到是谁和你连线的。 [/color][/size]
[size=3][color=#00ff00]在实行TCP/IP通讯协定的电脑上,通常可以用netstat指令来看到目前连线的状况。(各位读者可以在win95、Novell以及UNIX试试看(注一)),在下面的连线状况中,netstat指令是在win95上实行的,可以看到目前自己机器(Local Address处)的telnetport有一台主机workstation.variox.int由远端(Foreign Address处)连线进来并且配到1029号tcpport.而ccunix1主机也以ftp port连到workstation.variox.int去。所有的连线状况看得一清二楚。(如A、B)[/color][/size]
[size=3][color=#00ff00]A.在UNIX主机(ccunix1.variox.int)看netstat [/color][/size]
[size=3][color=#00ff00]B.另一端在Windows95(workstation.variox.int)看netstat虽然是不同的作业系统,但netstat是不是长得很像呢? [/color][/size]
[size=3][color=#00ff00]通信过程的纪录设定 [/color][/size]
[size=3][color=#00ff00]当然,如果你想要把网络连线纪录给记录下来,你可以用crontable定时去跑:
netstat>>filename [/color][/size]
[size=3][color=#00ff00]但是UNIX系统早已考虑到这一个需求,因此在系统中有一个专职记录系统事件的Daemon:syslogd,应该有很多读者都知道在UNIX系统的/var/adm下面有两个系统纪录档案:syslog与messages,一个是一般系统的纪录,一个是核心的纪录。但是这两个档案是从哪边来的,又要如何设定呢? [/color][/size]
[size=3][color=#00ff00]系统的纪录基本上都是由syslogd(System Kernel LogDaemon)来产生,而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西,以及记录到哪边去。下面是一个Linux系统所附上的syslog.conf档案,这也是一个最标准的syslog.conf写法: [/color][/size]
[size=3][color=#00ff00]格式就是这样子,第一栏写(在什么情况下)以及(什么程度)。然后用TAB键跳下一栏继续写(符合条件以后要做什么)。这个syslog.conf档案的作者很诚实,告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 [/color][/size]
[size=3][color=#00ff00]第一栏包含了何种情况与程度,中间小数点分隔。另外,星号就代表了某一细项中的所有选项。详细的设定方式如下: [/color][/size]
[size=3][color=#00ff00]1.在什么情况:各种不同的情况以下面的字串来决定。 [/color][/size]
[size=3][color=#00ff00]auth 关于系统安全与使用者认证方面 [/color][/size]
[size=3][color=#00ff00]cron 关于系统自动排程执行(CronTable)方面 [/color][/size]
[size=3][color=#00ff00]daemon 关于背景执行程式方面 [/color][/size]
[size=3][color=#00ff00]kern 关于系统核心方面 [/color][/size]
[size=3][color=#00ff00]lpr 关于印表机方面 [/color][/size]
[size=3][color=#00ff00]mail 关于电子邮件方面 [/color][/size]
[size=3][color=#00ff00]news 关于新闻讨论区方面 [/color][/size]
[size=3][color=#00ff00]syslog 关于系统纪录本身方面 [/color][/size]
[size=3][color=#00ff00]user 关于使用者方面 [/color][/size]
[size=3][color=#00ff00]uucp 关于UNIX互拷(UUCP)方面 [/color][/size]
[size=3][color=#00ff00]上面是大部份的UNIX系统都会有的情况,而有些UNIX系统可能会再分出不同的项目出来。 [/color][/size]
[size=3][color=#00ff00]2.什么程度才记录:下面是各种不同的系统状况程度,依照轻重缓急排列。 [/color][/size]
[size=3][color=#00ff00]none 不要记录这一项 [/color][/size]
[size=3][color=#00ff00]debug 程式或系统本身除错讯息 [/color][/size]
[size=3][color=#00ff00]info 一般性资讯 [/color][/size]
[size=3][color=#00ff00]notice 提醒注意性 [/color][/size]
[size=3][color=#00ff00]err 发生错误 [/color][/size]
[size=3][color=#00ff00]warning 警告性 [/color][/size]
[size=3][color=#00ff00]crit 较严重的警告 [/color][/size]
[size=3][color=#00ff00]alert 再严重一点的警告 [/color][/size]
[size=3][color=#00ff00]emerg 已经非常严重了 [/color][/size]
[size=3][color=#00ff00]同样地,各种UNIX系统可能会有不同的程度表示方式。有些系统是不另外区分crit与alert的差别,也有的系统会有更多种类的程度变化。在记录时,syslogd会自动将你所设定程度以及其上的都一并记录下来。 [/color][/size]
[size=3][color=#00ff00]例如若你要系统去记录info等级的事件,则notice、err.warning、crit、alert、emerg等在info等级以上的也会一并被记录下来。把上面所写的1、2项以小数点组合起来就是完整的「要记录哪些东西」的写法。例如mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是关于系统安全方面相当严重的讯息。lpr.none表示不要记录关于列表机的讯息(通常用在有多个纪录条件时组合使用)。另外有叁种特殊的符号可供应用: [/color][/size]
[size=3][color=#00ff00]1.星号(*) [/color][/size]
[size=3][color=#00ff00]星号代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。 [/color][/size]
[size=3][color=#00ff00]2.等号(=) [/color][/size]
[size=3][color=#00ff00]等号表示只记录目前这一等级,其上的等级不要记录。例如刚刚的例子,平常写下info等级时,也会把位于info等级上面的notice、err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。 [/color][/size]
[size=3][color=#00ff00]3.惊叹号(!) [/color][/size]
[size=3][color=#00ff00]惊叹号表示不要记录目前这一等级以及其上的等级。 [/color][/size]
[size=3][color=#00ff00]记录到哪边去 [/color][/size]
[size=3][color=#00ff00]一般的syslogd都提供下列的管道以供您记录系统发生的什么事: [/color][/size]
[size=3][color=#00ff00]1.一般档案 [/color][/size]
[size=3][color=#00ff00]这是最普遍的方式。你可以指定好档案路径与档案名称,但是必须以目录符号「/」开始,系统才会知道这是一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案,系统会自动产生一个。 [/color][/size]
[size=3][color=#00ff00]2.指定的终端机或其他设备 [/color][/size]
[size=3][color=#00ff00]你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机,则目前正在使用该终端机的使用者就会直接在荧幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个荧幕专门来显示系统讯息)。若将系统纪录写到印表机,则你会有一长条印满系统纪录的纸(例如/dev/lp0)。 [/color][/size]
[size=3][color=#00ff00]3.指定的使用者 [/color][/size]
[size=3][color=#00ff00]你也可以在这边列出一串使用者名称,则这些使用者如果正好上线的话,就会在他的终端机上看到系统讯息(例如root,注意写的时候在使用者名称前面不要再加上其他的字)。 [/color][/size]
[size=3][color=#00ff00]4.指定的远端主机 [/color][/size]
[size=3][color=#00ff00]这种写法不将系统讯息记录在连接本地机器上,而记录在其他主机上。有些情况系统碰到的是硬碟错误,或是万一有人把主机推倒,硬碟摔坏了,那你要到哪边去拿系统纪录来看呢?而网络卡只要你不把它折断,应该是比硬碟机耐摔得多了。因此,如果你觉得某些情况下可能纪录没办法存进硬碟里,你可以把系统纪录丢到其他的主机上。如果你要这样做,你可以写下主机名称,然後在主机名称前面加上「@」符号(例如@ccunix1.variox.int,但被你指定的主机上必须要有syslogd)。 [/color][/size]
[size=3][color=#00ff00]在以上各种纪录方式中,都没有电子邮件这项。因为电子信件要等收件者去收信才看得到,有些情况可能是很紧急的,没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it’salready too late...」:-P)。 [/color][/size]
[size=3][color=#00ff00]以上就是syslog各项纪录程度以及纪录方式的写法,各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的,除非您将档案自行删除掉,否则这些档案就会越来越大。有的人可能会在syslogd.conf里面写: [/color][/size]
[size=3][color=#00ff00]*.*/var/log/everything [/color][/size]
[size=3][color=#00ff00]要是这样的话,当然所有的情况都被你记录下来了。但是如果真的系统出事了,你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题,这样可能对你一点帮助都没有。因此,以下两点可以帮助你快速找到重要的纪录内容: [/color][/size]
[size=3][color=#00ff00] [/color][/size]
页:
[1]