我爱电脑技术论坛 » 网络安全区 » 入侵监测:如何查看系统记录以及追踪入侵者

star2008 发表于 2008-6-11 07:37

入侵监测:如何查看系统记录以及追踪入侵者

在局域网络上可能你听过所谓“广播模式”的资料发送方法，此种方法不指定收信站，只要和此网络连结的所有网络设备皆为收信对象。但是这仅仅在局域网络上能够实行,因为局域网络上的机器不多(和Internet比起来 )。如果象是Internet上有数千万的主机,本就不可能实施资料广播(至于IP Multicast算是一种限定式广播Restricted Broadcast,唯有被指定的机器会收到,Internet上其他电脑还是不会收到)。假设Internet上可以实施非限定广播，那随便一个人发出广播 讯息，全世界的电脑皆受其影响，岂不世界大乱？因此,任何局域网络内的路由器或是类似网络设备都不会将自己区域网络内的广播讯息转送出去。万一在WAN Port收到广播讯息，也不会转进自己的LAN Port中。
6Y:`b$ZTc S2Wvwj
而既然网络皆有发信站与收信站，用以标示信息发送者与信息接收者，除非对方使用一些特殊的封包封装方式或是使用防火墙对外连线，那么只要有人和你的主机进行通讯(寄信或是telnet、ftp过来都算) 你就应该会知道 对方的位址，如果对方用了防火墙来和你通讯，你最少也能够知道防火墙的位置。也正因为只要有人和你连线，你就能知道对方的位址，那么要不要知道对方位置只是要做不做的问题而已。如果对方是透过一台UNIX主机和你连线，则你更可以透过ident查到是谁和你连线的。 (|0[v5E1AJ
U)s C] D
u,C([
在实行TCP/IP通讯协定的电脑上,通常可以用netstat指令来看到目前连线的状况。
1U4ZSXf j h#J)x/^;B8T8s8l-B/[
(各位朋友可以在win95、Novell以及UNIX试试看(注一)，在下面的连线状况中，netstat指令是在win95上实行的，可以看到目前自己机器(Local Address处)的telnetport有一台主机workstation.variox.int 由远端(Foreign Address处)连线进来并且配到1029号tcp port.而cc unix1主机也以ftpport连到workstation.variox.int去。所有的连线状况看得 一清二楚。(如A、B)
$o1Ae)["t
;Og$~k A$NAw A.在UNIX主机(ccunix1.variox.int)看netstat 4}p+S2hC#?"^f-j`

9DR2F8} V B.另一端在Windows95(workstation.variox.int)看netstat, 虽然是不同的作业系统，但netstat是不是长得很像呢？ Y:rf U Bq-Y {j
F+a'??d;D7m
通信过程的纪录设定
1sc:M~g5V-F
+ok8z'P%H\j"Cp 当然，如果你想要把网络连线纪录给记录下来，你可以用cron table定时去跑： 1b%`*HkZ3e

~
wLz)L`T|1]/{ netstat＞＞filename
:Eg["o$v9X &a ?(E
IxK)d+~
但是UNIX系统早已考虑到这一个需求，因此在系统中有一个专职记录系统事件的 [P*s6N;u {G,l
A7z a8iw/O ^
Daemon:syslogd，应该有很多朋友都知道在UNIX系统的/var/adm下面有两个系统纪录档案：
M*~A*N#~Y6~(} DqaRBOt-d
syslog与messages，一个是一般系统的纪录，一个是核心的纪录。但是这两个档案是从哪边来的，又要如何设定呢？
|5nBG.bm.HY
@q }jugy)h3g/tN
系统的纪录基本上都是由syslogd (System Kernel Log Daemon)来产生，而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西，以及记录到哪边去。下面是一个 Linux系统所附上的yslog.conf档案，这也是一个最标准的syslog.conf写法：
ctL&Q7]C%K{
"R's8Y6z`_Wg@:_'t$g 格式就是这样子，第一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要做什么」。这个syslog.conf档案的作者很诚实，告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 第一栏包含了何种情况与程度，中间小数点分隔。另外，星号就代表了某一细项中的所有选项。详细的设定方式如下： Q,w}~-]!A Go

DO/C-r4] 1.在什么情况：各种不同的情况以下面的字串来决定。 4j)G
|+G&| I~B2k*hR

0vN3oE-DMz mj vX auth 关于系统安全与使用者认证方面
f;`}'dkdWh,t{ J)wZH7x@U
cron 关于系统自动排程执行(CronTable)方面
1J&t ld0D
Jv1V+`Os
e:Cs+p't1d
daemon 关于背景执行程式方面 ;@s;d$E/V$?p&s

BD~'A9C3Fz kern 关于系统核心方面
4X,jG!RC3DAj nzZ9a#K7T.J].R2}6F(r
lpr 关于印表机方面
@8AYx$E8s
7IAx8z s]y ~3_ mail 关于电子邮件方面
+N8V.L-Z5Yv8R4[
W{*dx*[kz news 关于新闻讨论区方面 |/^
T!e(m5c$trd
~GIs v
x!{9|
syslog 关于系统纪录本身方面 2t-`)|em$[G HK
6j+h6RhvEe.k
user 关于使用者方面 0Vd&|tL6Tl(oT

_ p'WavXO9~ uucp 关于UNIX互拷(UUCP)方面
;Q Q
b}Rpo&C
pse!QD~ 上面是大部份的UNIX系统都会有的情况，而有些UNIX系统可能会再分出不同的项目出来。

star2008 发表于 2008-6-11 07:38

2.什么程度才记录： "XP \8nKK
{#z5CL

4b~1r
~Ve|!nB 下面是各种不同的系统状况程度，依照轻重缓急排列。
b1o#Rc!JV;o X0yJ:r(o}/N
none 不要记录这一项 F;w\o v0Cao.u B$t
xp7d6C4[5J
debug 程式或系统本身除错讯息
!dz,y}#f'c
1u _eEG}3B Py info 一般性资讯 BPv%l?OBaj;UE

K$X;T~ JZf notice 提醒注意性
G5xu!r-N$V8vqR o"EYW)w#OY+O*k
err 发生错误 9j^[yL@"\ f;O?
(L2leWDb#sA
warning 警告性
-{`YJlYgPT%e ^)j4n!m^"t
crit 较严重的警告 k7|H*z1m^

9ZI2N:TXh"Q/B!~ alert 再严重一点的警告
;E#hQH;A ]/k RV
0\)J2h4J7y emerg 已经非常严重了 3a2Qh v,l+~;^^
,_9E'[;gh1L'[v
同样地，各种UNIX系统可能会有不同的程度表示方式。有些系统是不另外区分crit与alert的差别，也有的系统会有更多种类的程度变化。在记录时，syslogd 会自动将你所设定程度以及其上的都一并记录下来。例如你要系统去记录 info等级的事件，则notice、err.warning、crit、alert、emerg等在info等级以上的也会一并被记录下来。 把上面所写的1、2项以小数点组合起来就是完整的「要记录哪些东西」的写法。
~vl6i2l$m\.k nz2O~7?MG#[]E
例如 mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是关于系统安全方面相当严重的讯息。 lpr.none表示不要记录关于列表机的讯息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用：
Kh ~$z:riFiT O9Q]7cRTnj
1.星号(*) 星号代表某一细项中所有项目。例如mail.*表示只要有关mail的，不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。 'k]~!?$gR PB
i
X@6c*]+`*ioR@t
2.等号(＝)等号表示只记录目前这一等级，其上的等级不要记录。例如刚刚的例子，平常写下info等级时，也会把位于info等级上面的notice、err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。
3S'C{nz~+f
S
|&o|o-B#b+C9Kw,e 3.惊叹号(！) 惊叹号表示不要记录目前这一等级以及其上的等级。 yE_O|(c'eR
A*sS.i'sdI,E+b
记录到哪边去? As5N!}?!Q,V3J5O6g f
{

Hk\s~6N]2H
9BD Y0f9A*z%X
@.Mu:y;zf,^ 一般的syslogd都提供下列的管道以供您记录系统发生的什么事：
C,d)|^yr*olej 'e? b:Tn
1.一般档案 h.t1j(oVf%M
:f&Ju{$f4{\ b\&c
这是最普遍的方式。你可以指定好档案路径与档案名称，但是必须以目录符号「/」开始，系统才会知道这是 一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ，系统会自动产生一个。
ehKNuq-g"hl 9H(T? Hf,q$s3R9^
2.指定的终端机或其他设备 GBsI&S"@*m0Y5qi
uP"Z:V{8Aa
你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机，则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统纪录写到印表机，则你会有一长条印满系统纪录的纸(例如/dev/lp0)。
GBz xy6r:]m
b {.k'fjKZh A2g-Z V
3.指定的使用者
(N&A{X4|l0ql U F4p^-@
你也可以在这边列出一串使用者名称，则这些使用者如果正好上线的话，就会在他的终端机上看到系统讯息( 例如root，注意写的时候在使用者名称前面不要再加上其他的字)。 ]&b.d2Uk R(jl
.R/Qp1v+[ Y
4.指定的远端主机
-M"~6x_2Wi'{
^+Y@2Dm:}7mh*\ 这种写法不将系统讯息记录在连接本地机器上，而记录在其他主机上。有些情况系统碰到的是硬碟错误，或是万一有人把主机推倒，硬碟摔坏了，那你要到哪边去拿系统纪录来看呢？而网络卡只要你不把它折断，应该是比硬碟机耐摔得多了。因此，如果你觉得某些情况下可能纪录没办法存进硬碟里，你可以把系统纪录丢到其他的主机上。如果你要这样做，你可以写下主机名称，然后在主机名称前面加上「@」符号(例如@ccunix1.variox.int，但被你指定的主机上必须要有syslogd)。
c J4BZ|
A T&hL(L[mh"n#Rr
在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到， 有些情况可能是很紧急的， 没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it’s already too late...」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删除掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里面写：*.*/var/log/everything要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：

star2008 发表于 2008-6-11 07:38

1.定期检查纪录 k pq&rK9o1v.~
B$AU$a;{+a q']o-^(H
养成每周(或是更短的时间，如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份，可以 cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等，将过期的纪录档依照流水号或是日期存起来，未来考察时也比较容易。
f"Pb#D$]E8k,[x
R5lzLvTk 2.只记录有用的东西
7~*? qKK,c&v:g

l-cbD@ 千万不要像前面的例子一样,记录下*.*。然后放在一个档案中。这样的结果会导致档案太大，要找资料时根本无法马上找出来。有人在记录网络通讯时，连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁，没事就有人喜欢尝试进入你的系统，否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低硬盘使用量(当然也节省你的时间)。 2i0{"y#`j&@NM
%Hr"p zP{3c-`6Cge/M
地理位置的追踪 2G"m| B7Qdn

4xth/jy!e 如何查出入侵者的地理位置？光看IP地址可能看不出来，但是你常看的话，会发现也会发现规律的。在固接式的网络环境中，入侵者一定和网络提供单位有着密切的关系。因为假设是局域网络，那么距离绝对不出几公里。就算是拨接好了，也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此，只要查出线的单位，入侵者必然离连线单位不远。 3J#F+?`3XANL"a2}^v

x(Xetkq 拨接式的网络就比较令人头疼了。有许多ISP为了吸引客户,弄了很多什么网络卡。
a:f*mFGs?-Xq
!}acLe!l j(? User这边只要买了固定的小时数,不需须另外向ISP那边提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。也就是说,虽然以网络卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网络管理员的恶梦。如果入侵你的人是使用网络卡来上网，那……，要从拨号的地点查吗？入侵者可以不要用自己家里的电话上网。管它是偷是抢，或是盗打王八机，反正查到的发话来源绝不是入侵者自己的电话。 -s"v!ZITa;i

6kD1x;d&A.{-`l#e4P 来话者电话侦测(Caller ID)
;W&\O5w2{g+dV
!iCNB!v8b2N)jiW s 各位读者家中有ISDN吗？如果你用过ISDN的Caller ID功能,会发现真是方便极了，对方的号码马上就显示出来给你看。看到女朋友打电话来，马上就接了起来；而杂志社的打来催稿,就打开电话答录机假装不在家…… :-P.但是Caller ID依然有失效的时候。有以下测试,是看CallerID可以显示出哪些号码的(受测机种为Zyxel,终端机使用Windows NT的Hyper Terminal)：要显示来话方号码的前提是，对必须是透过数位交换机打到你这边，有些地区目前仍然使用机械式交换机，如果你打电话的交换路径中，有经过这些机械式的交换机，那么依然无法显示出号码来。其他电话还没有做测试。 l]
],KS7_~3?1eq*\
YEk,bi'f(\S&VF
如何靠IP地址或Domain Name找出入侵者位置？
@&vY{)JQ j-Gi[6r
虽然电话不一定查得出来，但是至少你会知道他的IP地址。IP地址的使用必须向InterNIC登记，而Domain Name要向当地直属的网络管理中心登记。在Internet上的网路管理中心共有三个层级(单位性质一定为NET)：
P6sD F;s
UlJ:h;\5V 1.国际等级
A+m w8c+Yd 4L u*E z$c3@
国际等级只有InterNIC一个，全球各国的NIC以及洲际NIC均由其管理。
h3mT2r)Kj3i$I| u'yAL"M}.^s
2.洲际等级
b~0\`r1S

V \wo
g InterNIC并不直接管理整个Internet，其下的网络资源会再做分区。例如台湾、日本、香港等亚太地区国家 ，由亚太洲际网络管理中心(Asian-PacificNIC,APNIC，位于日本)来管理，并不直接由InterNIC管理 。
L7J-C'V:H
TG 5_"yJO8m1l
3.国家等级
(j'pb"uJT&L
q+zVE+?#oKJ%G5l Domain Name后面不挂国码的不是由InterNIC管理就是由洲际的NIC管理,但是有挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如中国的国码为CN，则中国网络管理中心为CNNIC，但由于InterNIC位于美国，因此美国的DomainName由InterNIC直辖。有一个特别的例外是挂.mil的美国军方网络的资料是由ddn.mil(美国军事防卫网络)来管理,不由InterNIC管理，当您得到某个Domain Name或是IP地址后，可以使用whois来查出资料，语法如下：
0n:UjoDtYl~B
8g.T\y0N1y ~)R } whois -h＜whois服务器＞＜查询对象＞ M3kOk?

?Z afr#}r 例如向whois.internic.net查询hp.com，需输入：
l&{aB$W8BwH#H&[
w+d?3f3A/m%EyW/D+X whois -h whois.internic.nethp.com whois
'k hd)]xpY??7t )gBcWgm
也可能使用下列语法： cx} Ns.u"h

Z}``Q)SZi whois ＜查询对象＞@＜whois伺服器＞
V|4Sl z
"f;ew~y 例如向whois.twnic.net查询ntu.edu.tw需输入：
0cd4jQ'P-dA#k'C
h1N4oX7CP WZy7G#x `l whois [email]ntu.edu.tw@whois.twnic.net[/email]
"Y'G?#o!wg$TM#h-KT7@A
3iM+k,m"sut}:M 目前在Slackware Linux附上的为后者。

star2008 发表于 2008-6-11 07:38

Domain Name命名的三种情况
{Z"b}f4M-? D C(DF r.plJsK
虽然同样是 Domain Name，可能你会遇到三种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理( 如育部)，而属性也不一定是三个字母，甚至没有属性。在判断单位性质时读者宜多加注意，以免找不到资料。
"P:G^^3h T8~0x 7@ zN}i
1.标准国码＋三码属性码(或没有国码，仅有属性码) (Zc.K1FK

9\%_+f"R6~'l-A 普遍使用于欧洲，美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw，美国的*.com、*.edu。 'E)\yh\i"a

%T8R7]#{*z$i)@#\kfQ 2.标准国码＋二码属性码
H!u(yIn"_;b q}&NyW!roh'r
以日本例，公司属性为co，社团属性为or，和三码定义的com、org略有不同。如日本万代公司之Homepage 为[url]www.bandai.co.jp[/url]，如果读者要使用公司名称拼凑出完整主机名称时，需注意日本为仅有两码属性码之地区，否则若猜测其为[url]www.bandai.com.jp[/url]就会发生错误(注：在国际通信范例中，无论是无线电通信、国际越洋电 话、乃至于网际网络等,均将台湾与中国大陆划分为两个不同国家。在此将中国大陆与台湾区分,除突显此一 特性外，并无其他涵义，请大家勿需自行揣测其他意义)。
yG$E?;ex
:Ut(];dV[:G(O@ 3.仅有标准国码，未有任何属性码
:UE4Z.vm2a 9Lx9EP-ni.?|8b[
如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码后面直接接上单位名称。
'?5V's U*Je_^"` V)] b$_$g"d GS~z
由Domain Name查出连线单位资料
f/j C5TO1Dfd
(d*T3R8vvm6IKS2it 在Internet上惯例由whois服务来查询连线单位的登记资料，whois本来应该是用来查某人的电话或是其他资料的，但是在NIC方面是用来查出连线单位的电话以及住址，技术联络人等。符合该NIC管理权限的单位资料会存放于该单位的whois主机中，惯例是whois＋NIC名称＋net。例如亚太地区网络管理中心whois server为whois.apnic.net,台湾网络中心whois server为whois.twnic.net,我过网络中心whois server是whois.cnnic.net。当你知道某台主机的Domain Name以后，可以依照下面顺序查出连线单位的电话住址等资料。 ;wxd:cL*L(];u%H5s5L
KfJI
D|
第一步，先看有没有国码。 {L[+e4U7p:W

x+g0g;HR 没有国码的，向whois.internic.net问；有国码的,向whois.国码nic.net问
1C,d@#{"fGE7E
^/dlVqIJR (ex.whois.twnic.net)。
!?0u&D@6?m3B*UX
+y8^&f]+g6A Eh%M` 另外,如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网络来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查出美国陆军的资料：但FBI等调查机构属政府单位，非军事单位，查询时需注意：由DomainName查出资料，如您能从nslookup查出某一IP地址之FQDN，则可以直接向当地NIC查出入侵者网络之资料：
FR)Q1@i|
&Q%sT h
xT$tV 1.由美国入侵的例子： k mBK:n/Q}{
n*lXx%I8MNV)K
由 xxx.aol.com入侵由主机名称发现未有国码， 因此直接向InterNIC查询。由此我们可以查到America Online的技术负责人以及电话、传真等资料，把你的系统纪录档准备好，发封传真去告洋状吧！
sy:bSm}~
I f0t4w"s:h&W,G 2.由台湾入侵的例子：
;[M-q(oSL a4B(v5Tj3Hu9}:W2K
由HopeNet入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了，故请改由dbms.seed.net.tw查出hope.com.tw之中文名称，再打104询问该公司的电话！现在如果直接由whois.twnic.net 查询会这样：
C?3V SR2_3PZ
!{G:yM+HA%v 只有IP地址的查法 -O:bc-X5[ a }#p
7uqEH{
若某天您发现由168.95.109.222有人入侵,假设您不知道这是哪里的网络,而这个IP地址也没有Domain Name 的话，则须先将IP地址分等级，再向InterNIC查询： o7{(i8J(a;z~r

p&K5I7x6G7O7MV,K9f 1.由15.4.75.2入侵的例子：
Z2VO,pK)T9|]uU 6HkJy3J;M-|#F
此IP地址是15开头,为一个ClassA网络,故向InterNIC查询15.0：查出此IP地址为惠普公司所有 \,YP T0Um.O4v
#W K-|5h8R6`A@"P
2.由140.111.32.53入侵的例子：
Y*[}`g
5J BeLm(I8Sq 此IP地址为ClassB,需查询两次。先向InterNIC查询140.111.0：查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0： t2~E+_ M

^'FuC.j$|h1bA 3.由203.66.35.1入侵的例子 B/{2g6|9| Z$~5X0JK;f'bC

b{+b+z@E 这是一个ClassCIP，因此必须查询至少二次，一般是三次。顺序为国际－＞洲际－＞所属国家。先查203.0：出来一大堆,怎么办？有的情况只好再追问ClassB。由于InterNIC将部份ClassC交给洲际管理机构来负责配给，因此有些ClassC的资料会在洲际管理机构，此时先向InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网络，于是向whois.apnic.net询问203.66.35.0：查了三次以后，终于查到203.66.35.0 为： q-\ b;q"C??
6l'f7l1\e.f0|4L7m5_
在一堆资料中查到203.66.35.1，此一IP地址为ForwardnessTechnologyCo.Ltd.所有，电话地址也一并附在上面。
M5d#qu;H2x2~+A
h.G%T CL'x
t-AD!D+e 由以上的查法,可以由任一主机名称或IP地址查到连线者网络单位的资料,如果您发现该网络单位下属主机对您的网络有攻击行为，请检具资料告诉对方的系统管理员(对方不一定接受)。下面是Windows95的hosts档案：当您没有DNS的时候,您可以拿这个来将DomainName＜－＞IP地址的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的,这是windows95的开发代号，看见没？(看来Microsoft出windows95时太赶，忘了修正这些小东西)， 不过各位读者要注意的是，原先的hosts档案档名是hosts.sam，您要自己将档名改成hosts才能用。

x2Z;p@H9s(n
&z9}np0?V"o 注：几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可以发现 Novell Netware服务器也有一个etc目录，还有hosts等档案！

查看完整版本: 入侵监测:如何查看系统记录以及追踪入侵者