黑色海岸线论坛 - Powered by Discuz! Board

标题: 入侵检测实战之全面问答4 [打印本页]

作者: Nimikle 时间: 2004-6-29 10:49 标题: 入侵检测实战之全面问答4

最后礼貌地说他们对此非常重视，希望你方认真调查。
在网络时代，这种情况将越来越多。作为管理者，当接收到这类状纸后，首要的任务就是冷静下来仔细地分析来信的真假以及证据的真假，从而决定采取的行为方式。通常情况下，可以考虑以下几个方面的可能：
1、首先尽可能地确定证据（日志信息）是何种软件的产物、可能发生了什么样的攻击行为。在这个例子中，日志信息可能来自于tcpwrappers，一个增强UNIX系统服务的登录及访问控制的软件；信息还表明这只是一个探测行为而非攻击活动。对这些信息了解得越多，就越可能描绘出罪犯的“长相”，好像警察为将逮捕罪犯描图一样。
2、然后从好的方面设想一下这个行为：可能是有人在敲入“telnet xx.xx.xx.xx”时错打了IP地址；可能是想敲入“telnet xx.xx.xx.xx 25”连接一个STMP服务器但却错打成“telnet xx.xx.xx.xx 23”等等。就象是美国的法律，发生了案件，先假设被告无罪再寻找证据证明有罪。
3、接着从坏的方面设想这个行为：可能是你方网络已被攻陷，入侵者从受害机器上执行了扫描工作；你方网络中的一名雇员确实执行了扫描工作。这好像与台湾的法律相似，发生了案件，先假设被告有罪再找证据证明无罪。
4、另外，还有一个经常忽视但也绝对有可能的情况是：来信人可能就是一个入侵者！怎么说呢？通过观察你对来信的重视程度、响应速度以及可能提供的相关资料，比如管理员的IP地址、邮件信息等等，入侵者就可能推测到你方的网络架构是否安全、应急措施是否得当以及得到相关攻击信息。一般来说，这归类于社会工程的问题。要小心了，喊捉贼的可能就是贼！
问：怎么搜集入侵者的攻击证据？
这是一个非常有趣而且困难的课题，道高一尺、魔高一丈，精明的入侵者通常也是优秀的跳板选手和魔术大师，他们总是借助其他人的机器或者使用欺骗IP地址来完成他们的规定动作－攻击！但是，他攻他的，我防我的，我认为至少有以下2类有效方法可以采取：
1、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法吧，你会惊奇地叫道：天啊，我的网络每日里竟然有这么多的扫描数据包在跳舞！
2、尽可能地为开放的每个系统安装审计和日志功能，当入侵发生时，这将是最好的犯罪现场映照。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)