让黑客无处可逃之追捕技术（1）

在以前的文章中作者已经向大家介绍了一种追捕黑客的技术即网络入侵追踪方法，今天我们继续向大家介绍几种常用的方法。

本地追踪方法

追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变等虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。

在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。

netstat命令—-实时察看文击者

使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。

使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。

日志数据–最详细的攻击记录

系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。

Unix和Linux的日志

Unix和Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息等。通过这些信息可以提供ttyname(终端号)和源地址，是追踪网络攻击的最重要的数据。

大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求和所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。

Windows NT和Windows 2000的日志

Windows NT和Windows 2000有系统日志、安全日志和应用程序日志等三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。

但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。

防火墙日志

作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。

但是，防火墙也不是不可能被攻破的，它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。

电子邮件追踪方法

在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到，有些情况可能是很紧急的，没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it’s already too late…」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里写：*.*/var/log/everything，要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：

1.定期检查纪录

养成每周(或是更短的时间，如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份，可以cploglog.1,cploglog.2…或是cploglog.971013,cploglog.980101…等，将过期的纪录档依照流水号或是日期存起来，未来考察时也比较容易。

2.只记录有用的东西

千万不要像前面的例子一样,记录下*.*。然后放在一个档案中。这样的结果会导档案太大，要找资料时根本无法马上找出来。有人在记录网路通讯时，连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁，没事就有人喜欢尝试进入你的系统，否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低硬盘使用量(当然也节省你的时间)。地理位置的追踪如何查出入侵者的地理位置?光看IP地址可能看不出来，但是你常看的话，会发现也会发现规律的。在固接式的网路环境中，入侵者一定和网路提供单位有着密切的关系。因为假设是区域网路，那么距离绝对不出几公里。就算是拨接好了，也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此，只要查出线的单位，入侵者必然离连线单位不远。

拨接式的网路就比较令人头疼了。有许多ISP为了吸引客户,弄了很多什么网络卡。User这边只要买了固定的小时数,不需须另外向ISP那边提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。也就是说,虽然以网络卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网路管理员的恶梦。如果入侵你的人是使用网络卡来上网，那……，要从拨号的地点查吗?入侵者可以不要用自己家里的电话上网。

编者按：

对于老牌黑客，追踪会相当困难，因为在网络中技术决定胜败，老牌黑客有着优良的技术与长期的逃跑经验。而对于网络新手来说，有时日志与常用手法并不一定管用，但本文的观点会让读者了解追踪黑客的基本套路，对今后的工作和网络生活能带来帮助。

【编辑推荐】