如何追踪入侵者(4)
养成每周(或是更短的时间,如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份,可以cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等,将过期的纪录档依照流水号或是日期存起来,未来考察时也比较容易。
2.只记录有用的东西
千万不要像前面的例子一样,记录下*.*然后放在一个档案中。这样的结果会导致档案太大,要找资料时根本无法马上找出来。有人在记录网路通讯时,连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁,没事就有人喜欢尝试进入你的系统,否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低磁碟用量(当然也节省你的时间)。
地理位置的追踪
如何查出入侵者的地理位置?光看IPAddress可能看不出来,但是你常看的话,会发现140.xxx的很多都是台湾学术网路的主机,而168.95.xxx.xxx的一定是HiNet的主机(168.95.0为HiNetClassB网路)。
在固接式的网路环境中,入侵者一定和网路提供单位有着密切的关系。因为假设是区域网路,那么距离绝对不出几公里。就算是拨接好了,也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此,只要查出连线的单位,入侵者必然离连线单位不远。
拨接式的网路就比较令人头疼了。以前笔者申请HiNet的hntp2.hinet.net帐号时,拿了自己的身分证和印章,跑到电信局去签了一堆文件,看完网路规范以后才有HiNet网路可以用。时隔多年,现在hntp2早没了,冒出一大堆msxx.hinet.net以及民营ISP,有许多ISP为了吸引客户,卖了很多的所谓小时卡、记点卡……等等不需申请,帐号密码就直接附在上面的卡片。User这边只要买了固定的小时数,不需须另外向ISP那边提出申请,就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。
也就是说,虽然以小时卡提供拨接服务给拨接使用者带来相当大的便利,但却是系统安全的大敌,网路管理员的恶梦。如果入侵你的人是使用小时卡来上网,那……,要从拨号的地点查吗?笔者在前几期的系统安全专栏就讲过了,入侵者可以不要用自己家里的电话上网。管它是偷是抢,或是盗打090王八机,反正查到的发话来源绝不是入侵者自己的电话。
来话者电话侦测(CallerID)
各位读者家中有ISDN吗?如果你用过ISDN的Caller
ID功能,会发现真是方便极了,对方的号码马上就显示出来给你看。看到女朋友打电话来,马上就接了起来;而杂志社的打来催稿,就打开电话答录机假装不在家……:-P。但是Caller
内容版权声明:除非注明,否则皆为本站原创文章。