簡單4招教你輕松追蹤到黑客老巢

1、簡單4招教你輕松追蹤到黑客老巢網(wǎng)絡(luò)安全是一個綜合的、復(fù)雜的工程，任何網(wǎng)絡(luò)安全措施都不能保證萬無一失。因此，對于一些重要的部門，一旦網(wǎng)絡(luò)遭到攻擊，如何追蹤網(wǎng)絡(luò)攻擊，追查到攻擊者并將其繩之以法，是十分必要的。追蹤網(wǎng)絡(luò)攻擊就是找到事件發(fā)生的源頭。它有兩個方面意義：一是指發(fā)現(xiàn)IP地址、MAC地址或是認(rèn)證的主機名；二是指確定攻擊者的身份。網(wǎng)絡(luò)攻擊者在實施攻擊之時或之后，必然會留下一些蛛絲馬跡，如登錄的紀(jì)錄，文件權(quán)限的改變等虛擬證據(jù)，如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡(luò)攻擊的最大挑戰(zhàn)。在追蹤網(wǎng)絡(luò)攻擊中另一需要考慮的問題是：IP地址是一個虛擬地址而不是一個物理地址，IP地址很容易被偽造，大部分網(wǎng)絡(luò)攻擊者采用IP地

2、址欺騙技術(shù)。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎(chǔ)去發(fā)現(xiàn)攻擊者變得更加困難。因此，必須采用一些方法，識破攻擊者的欺騙，找到攻擊源的真正IP地址。一、netstat命令實時察看文擊者使用netstat命令可以獲得所有聯(lián)接被測主機的網(wǎng)絡(luò)用戶的IP地址。Windows系歹U、Unix系列、Linux等常用網(wǎng)絡(luò)操作系統(tǒng)都可以使用“netsta喻'冷。使用“netsta命令的缺點是只能顯示當(dāng)前的連接，如果使用“netsta命穿時攻擊者沒有聯(lián)接，則無法發(fā)現(xiàn)攻擊者的蹤跡。為此，可以使用Scheduler建立一個日程安排，安排系統(tǒng)每隔一定的時間使用一次"netsta命穿，并使用n

3、etstattextfile格式把每次檢查時得到的數(shù)據(jù)寫入一個文本文件中，以便需要追蹤網(wǎng)絡(luò)攻擊時使用。二、日志數(shù)據(jù)最詳細(xì)的攻擊記錄系統(tǒng)的日志數(shù)據(jù)提供了詳細(xì)的用戶登錄信息。在追蹤網(wǎng)絡(luò)攻擊時，這些數(shù)據(jù)是最直接的、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善，網(wǎng)絡(luò)攻擊者也常會把自己的活動從系統(tǒng)日志中刪除。因此，需要采取補救措施，以保證日志數(shù)據(jù)的完整性。Unix和Linux的日志Unix和Linux的日志文件較詳細(xì)的記錄了用戶的各種活動，如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄時間、登錄的終端、執(zhí)行的命令，用戶ID的賬號信息等。通過這些信息可以提供ttyname（終

4、端號）和源地址，是追蹤網(wǎng)絡(luò)攻擊的最重要的數(shù)據(jù)。大部分網(wǎng)絡(luò)攻擊者會把自己的活動記錄從日記中刪去，而且UOP和基于XWindows的活動往往不被記錄，給追蹤者帶來困難。為了解決這個問題，可以在系統(tǒng)中運行wrapper工具，這個工具記錄用戶的服務(wù)請求和所有的活動，且不易被網(wǎng)絡(luò)攻擊者發(fā)覺，可以有效的防止網(wǎng)絡(luò)攻擊者消除其活動紀(jì)錄。WindowsNT和Windows2000的日志W(wǎng)indowsNT和Windows2000有系統(tǒng)日志、安全日志和應(yīng)用程序日志等三個日志，而與安全相關(guān)的數(shù)據(jù)包含在安全日志中。安全日志記錄了登錄用戶的相關(guān)信息。安全日志中的數(shù)據(jù)是由配置所決定的。因此，應(yīng)該根據(jù)安全需要合理進行配置，以

5、便獲得保證系統(tǒng)安全所必需的數(shù)據(jù)。但是，WindowsNT和Windows2000的安全日志存在重大缺陷，它不記錄事件的源，不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個問題，可以安裝一個第三方的能夠完整記錄審計數(shù)據(jù)的工具。防火墻日志作為網(wǎng)絡(luò)系統(tǒng)中的堡壘主機”，防火墻被網(wǎng)絡(luò)攻擊者攻陷的可能性要小得多。因此，相對而言防火墻日志數(shù)據(jù)不太容易被修改，它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息。但是，防火墻也不是不可能被攻破的，它的日志也可能被刪除和修改。攻擊者也可向防火墻發(fā)動拒絕服務(wù)攻擊，使防火墻癱瘓或至少降低其速度使其難以對事件做出及時響應(yīng)，從而破壞防火墻日志的完整性。因此，在使用防火墻

6、日志之前，應(yīng)該運行專用工具檢查防火墻日志的完整性，以防得到不完整的數(shù)據(jù)，貽誤追蹤時機。三、原始數(shù)據(jù)包一一比較可靠的分析方法由于系統(tǒng)主機都有被攻陷的可能，因此利用系統(tǒng)日志獲取攻擊者的信息有時就不可靠了。所以，捕獲原始數(shù)據(jù)包并對其數(shù)據(jù)進行分析，是確定攻擊源的另一個重要的、比較可靠的方法。包頭數(shù)據(jù)分析表1是一個原始數(shù)據(jù)包的IP包頭數(shù)據(jù)。表中的第一行是最有用的數(shù)字。第一行的最后8位代表源地址。本例中的地址是0xd2、0Md、0X84、0>96,對應(yīng)的IP地址是210。45。132。150。通過分析原始數(shù)據(jù)包的包頭數(shù)據(jù)，可以獲得較為可靠的網(wǎng)絡(luò)攻擊者的IP地址，因為這些數(shù)據(jù)不會被刪除或修改。但是，這

7、種方法也不是完美無缺的，如果攻擊者對其數(shù)據(jù)包進行加密，對收集到的數(shù)據(jù)包的分析就沒有什么用處了。表1一個IP包頭數(shù)據(jù)0X000045c0c8230000d30660022c06d21d84960X001022abb365c234000000004066dd1d88180X00207034ecf800005b887708b9014a88de340X00309812a5c60011838696180000a12369070X004055c50023340100005505b1c5000000000X005000000000000000000000捕獲數(shù)據(jù)包在一個交換網(wǎng)絡(luò)環(huán)境下捕獲數(shù)據(jù)包比較困難，這主

8、要是因為集線器和交換機在數(shù)據(jù)交換中本質(zhì)的不同。集線器采用的是廣播式傳輸，它不支持連接，而是把包發(fā)送到除源端口外的所有端口，與集線器相連的所有機器都可以捕獲到通過它的數(shù)據(jù)包。而交換機支持端到端的連接，當(dāng)一個數(shù)據(jù)包到達時交換機為它建立一個暫時的連接，數(shù)據(jù)包通過這個連接傳到目的端口。所以，在交換環(huán)境下抓包不是一件容易的事。為了獲得交換環(huán)境下的數(shù)據(jù)包，可以用下面方法解決：1 .把交換機的一個"spanningport”（生成端口）配置成象一個集線器一樣，通過這個端口的數(shù)據(jù)包不再與目的主機建立連接，而是廣播式地發(fā)送給與此端口相連的所有機器。設(shè)置一個包捕獲主機，便可以捕獲到通過“spaningp

9、ort的數(shù)據(jù)包。但是，在同一時刻，交換機只能由一個端口被設(shè)置成“spanningport,'因此，不能同時捕獲多臺主機的數(shù)據(jù)包。2 .在交換機之間，或路由器和交換機之間安裝一個集線器。通過集線器的數(shù)據(jù)包便可以被捕獲主機捕獲。在用捕獲數(shù)據(jù)包獲取攻擊者的源地址的方法中，有兩個問題需要注意：一是保證包捕獲主機由足夠的存儲空間，因為如果在捕獲數(shù)據(jù)包時網(wǎng)絡(luò)吞吐量很大的話，硬盤很快會被填滿；二是在分析數(shù)據(jù)包時，可編制一段小程序自動分析，手工分析這么多的數(shù)據(jù)是不可能的。四、搜索引擎一一也許會有外的驚喜利用搜索引擎獲得網(wǎng)絡(luò)攻擊者的源地址，從理論上講沒有什么根據(jù)，但是它往往會收到意想不到的效果，給追蹤工作帶來意外驚喜。黑客們在Internet上往往有他們自己的虛擬社區(qū)，他們在那兒討論網(wǎng)絡(luò)攻擊技術(shù)方法，同時炫耀自己的戰(zhàn)果。因此，在那里經(jīng)常會暴露他們攻擊源的信息甚至他們的身份。利用搜索引擎追蹤網(wǎng)絡(luò)攻擊者的IP地址就是使用一些好的搜索引擎（如搜狐的搜索引擎）搜索網(wǎng)頁，搜索關(guān)鍵詞是攻擊主機所在域名、IP地址或主機名，看是否有貼子是關(guān)于對上述關(guān)鍵詞所代表的機器