問：大約在上個(gè)月，我遇到了一次常規(guī)的內(nèi)核入侵攻擊，而且很明顯的是這次攻擊來自世界各地許多不同的IP?，F(xiàn)在，我正從路由器防火墻安全日志中獲取相關(guān)的信息。在這些攻擊中，偶爾也有掃描和登陸攻擊。經(jīng)過調(diào)查，ISP建議我將此事報(bào)告給警察機(jī)關(guān)負(fù)責(zé)電子犯罪的部門，我已經(jīng)這樣做了。不過，我認(rèn)為他們也無能為力。

雖然ISP的確將我的動(dòng)態(tài)IP改為一個(gè)靜態(tài)IP了，但這些攻擊仍在繼續(xù)。我把LAN組件上運(yùn)行的反病毒和反間諜軟件徹底檢查了一遍，都沒有找到有關(guān)攻擊的記錄。我的電腦開啟了ESET殺毒軟件，我還有一臺(tái)本地服務(wù)器，但我在變更IP地址時(shí)該服務(wù)器并沒有聯(lián)網(wǎng)。這些攻擊究竟是怎樣發(fā)生的？請(qǐng)問你有什么建議來解決此問題嗎？

答：只檢查了路由器防火墻日志記錄，為什么你就認(rèn)為出了問題呢？從這些攻擊中，你發(fā)現(xiàn)系統(tǒng)存在什么問題？聽起來好像日志中的大多數(shù)記錄都是有關(guān)阻斷攻擊的通知。你一直沒有得到警察部門的任何回應(yīng)，原因可能是因?yàn)槟悴]有拿出任何受到傷害、損失或?qū)嶋H入侵的證據(jù)。如果攻擊者針對(duì)的不是你或你的IP地址，不管是用動(dòng)態(tài)IP還是靜態(tài)IP都不會(huì)阻止這類內(nèi)核入侵攻擊。

最可能的攻擊目標(biāo)是大量的IP或網(wǎng)絡(luò)，所以改變你的IP并不會(huì)讓攻擊者停止掃描，他們最終會(huì)掃描到你的新IP。

如果你仍然認(rèn)為你的系統(tǒng)是攻擊目標(biāo)，或者具備內(nèi)核入侵攻擊的其它證據(jù)，下一步就應(yīng)該更深入地分析網(wǎng)絡(luò)流量。如果你不想使用當(dāng)前的反惡意軟件，或者在安全模式下掃描系統(tǒng)，那么你可以監(jiān)測(cè)意外的網(wǎng)絡(luò)流量，從而幫助你判斷系統(tǒng)是否存在阻止反惡意軟件發(fā)揮作用的惡意軟件。

請(qǐng)確保你有適當(dāng)?shù)臋?quán)限來監(jiān)測(cè)自己的網(wǎng)絡(luò)。有許多開源工具可以用于網(wǎng)絡(luò)監(jiān)控，只需在一臺(tái)未使用的計(jì)算機(jī)上運(yùn)行裝有啟動(dòng)程序的Live CD即可。你可能想要對(duì)網(wǎng)絡(luò)進(jìn)行連續(xù)幾天的監(jiān)視，以便獲得較好的流量分析樣本，可是捕獲的流量越多，分析數(shù)據(jù)所花費(fèi)的精力就越多。在某臺(tái)電腦不用時(shí)，請(qǐng)監(jiān)測(cè)是否有網(wǎng)絡(luò)流量產(chǎn)生。從中很可能會(huì)發(fā)現(xiàn)一些流向微軟的流量、反惡意軟件供應(yīng)商進(jìn)行更新的流量，或給新的反惡意軟件進(jìn)行定義的流量，或其它類似的正當(dāng)后臺(tái)操作。在剛開始的時(shí)候，你可能想在短時(shí)間內(nèi)獲得一定的網(wǎng)絡(luò)流量，然后再慢慢加大監(jiān)控力度。你需要為進(jìn)行監(jiān)測(cè)的計(jì)算機(jī)做個(gè)鏡像，或者獲得流量的復(fù)本，以便對(duì)流量進(jìn)行分析，并判斷自己的網(wǎng)絡(luò)上是否在傳輸可疑的數(shù)據(jù)。

【編輯推薦】

1. 正確區(qū)分主機(jī)及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
2. 關(guān)于Linux內(nèi)核安全入侵偵察系統(tǒng)的使用問題