返回列表 发帖
DoubleW

Rank: 3Rank: 3

帖子
56 
积分
187 
威望
229  
金钱
160  
在线时间
17 小时 

高手勋章VIP会员核心成员贡献奖内部成员帅哥勋章支持奖章突出贡献奖论坛元老技术组成员
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-6-12 18:21 | 只看该作者

如何追踪入侵者(中)

入侵者, 追踪
1.定期检查纪录

养成每周(或是更短的时间,如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份,可以cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等,将过期的纪录档依照流水号或是日期存起来,未来考察时也比较容易。

2.只记录有用的东西

千万不要像前面的例子一样,记录下*.*然后放在一个档案中。这样的结果会导致档案太大,要找资料时根本无法马上找出来。有人在记录网络通讯时,连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁,没事就有人喜欢尝试进入你的系统,否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低磁碟用量(当然也节省你的时间)。

地理位置的追踪

如何查出入侵者的地理位置?光看IPAddress可能看不出来,但是你常看的话,会发现140.xxx的很多都是台湾学术网络的主机,而168.95.xxx.xxx的一定是HiNet的主机(168.95.0为HiNetClassB网络)。

在固接式的网络环境中,入侵者一定和网络提供单位有着密切的关系。因为假设是区域网络,那么距离绝对不出几公里。就算是拨接好了,也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此,只要查出连线的单位,入侵者必然离连线单位不远。

拨接式的网络就比较令人头疼了。以前笔者申请HiNet的 hntp2.hinet.net帐号时,拿了自己的身分证和印章,跑到电信局去签了一堆文件,看完网络规范以后才有HiNet网络可以用。时隔多年,现在 hntp2早没了,冒出一大堆msxx.hinet.net以及民营ISP,有许多ISP为了吸引客户,卖了很多的所谓小时卡、记点卡……等等不需申请,帐号密码就直接附在上面的卡片。User这边只要买了固定的小时数,不需须另外向ISP那边提出申请,就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网络。

也就是说,虽然以小时卡提供拨接服务给拨接使用者带来相当大的便利,但却是系统安全的大敌,网络管理员的恶梦。如果入侵你的人是使用小时卡来上网,那……,要从拨号的地点查吗?笔者在前几期的系统安全专栏就讲过了,入侵者可以不要用自己家里的电话上网。管它是偷是抢,或是盗打090王八机,反正查到的发话来源绝不是入侵者自己的电话。

来话者电话侦测(CallerID)

各位读者家中有ISDN吗?如果你用过ISDN的CallerID功能,会发现真是方便极了,对方的号码马上就显示出来给你看。看到女朋友打电话来,马上就接了起来;而杂志社的打来催稿,就打开电话答录机假装不在家……:-P。但是 CallerID依然有失效的时候。笔者这次特地和陈冠宇先生(本刊作者)做了下面的测试,看看Caller ID可以显示出哪些号码(受测机种为Zyxel,终端机使用Windows NT的Hyper Terminal):要显示来话方号码的前提是,对方必须是透过数位交换机打到你这边,在台湾有某些地区仍然使用机械式交换机,如果你打电话的交换路径中,有经过这些机械式的交换机,那么依然无法显示出号码来。太电以及其他民营的行动电话因为笔者手边没有,所以无法测试。而国际电话因一时找不到国外的朋友可以配合作测试,因此也没有办法将结果向各位读者报告(如果各位读者手边有太电,远传这些民营的行动电话,可以和笔者联络测试)。

如何靠IPAddress或DomainName找出入侵者位置?

虽然电话不一定查得出来,但是至少你会知道他的IP Address。IP Address的使用必须向Inter NIC登记,而Domain

Name要向当地直属的网络管理中心登记。在Internet上的网络管理中心共有叁个层级(单位性质一定为NET):

1.国际等级

国际等级只有Inter NIC一个,全球各国的NIC以及洲际NIC均由其管理。(http://www.internic.net)。

2.洲际等级

InterNIC并不直接管理整个Internet,其下的网络资源会再做分区。例如台湾、日本、香港等亚太地区国家,由亚太洲际网络管理中心(Asian-Pacific NIC,APNIC,位于日本)来管理,并不直接由Inter NIC管理(http://www.apnic.net)。

3.国家等级

Domain Name后面不挂国码的不是由Inter NIC管理就是由洲际的NIC管理,但是有挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如台湾之国码为TW,则台湾网络管理中心为TWNIC(http://www.twnic.net),但由于Inter NIC位于美国,因此美国的Domain Name由Inter NIC直辖。有一个特别的例外是挂.mil的美国军方网络的资料是由ddn.mil(美国军事防卫网络)来管理,不由Inter NIC管理,当您得到某个Domain Name或是IP Address後,可以使用whois来查出资料,语法如下:

whois-h<whois伺服器><查询对象>

例如向whois.internic.net查询hp.com,需输入:

whois-hwhois.internic.nethp.com

whois也可能使用下列语法:

whois<查询对象>@<whois伺服器>

例如向whois.twnic.net查询ntu.edu.tw需输入:

whoisntu.edu.tw@whois.twnic.net

目前在SlackwareLinux附上的为後者。

DomainName命名的叁种情况

虽然同样是DomainName,可能你会遇到叁种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理(如教育部),而属性也不一定是叁个字母,甚至没有属性。在判断单位性质时读者宜多加注意,以免找不到资料。
收藏 分享

返回列表