在以前的文章中作者已經(jīng)向大家介紹了一種追捕黑客的技術即網(wǎng)絡入侵追蹤方法，今天我們繼續(xù)向大家介紹幾種常用的方法。

本地追蹤方法

追蹤網(wǎng)絡攻擊就是找到事件發(fā)生的源頭。它有兩個方面意義:一是指發(fā)現(xiàn)IP地址、MAC地址或是認證的主機名;二是指確定攻擊者的身份。網(wǎng)絡攻擊者在實施攻擊之時或之后，必然會留下一些蛛絲馬跡，如登錄的紀錄，文件權限的改變等虛擬證據(jù)，如何正確處理虛擬證據(jù)是追蹤網(wǎng)絡攻擊的最大挑戰(zhàn)。

在追蹤網(wǎng)絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址，IP地址很容易被偽造，大部分網(wǎng)絡攻擊者采用IP地址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發(fā)現(xiàn)攻擊者變得更加困難。因此，必須采用一些方法，識破攻擊者的欺騙，找到攻擊源的真正IP地址。

netstat命令----實時察看文擊者

使用netstat命令可以獲得所有聯(lián)接被測主機的網(wǎng)絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網(wǎng)絡操作系統(tǒng)都可以使用“netstat”命令。

使用“netstat”命令的缺點是只能顯示當前的連接，如果使用“netstat”命令時攻擊者沒有聯(lián)接，則無法發(fā)現(xiàn)攻擊者的蹤跡。為此，可以使用Scheduler建立一個日程安排，安排系統(tǒng)每隔一定的時間使用一次“netstat”命令，并使用netstat>>textfile格式把每次檢查時得到的數(shù)據(jù)寫入一個文本文件中，以便需要追蹤網(wǎng)絡攻擊時使用。

日志數(shù)據(jù)--最詳細的攻擊記錄

系統(tǒng)的日志數(shù)據(jù)提供了詳細的用戶登錄信息。在追蹤網(wǎng)絡攻擊時，這些數(shù)據(jù)是最直接的、有效的證據(jù)。但是有些系統(tǒng)的日志數(shù)據(jù)不完善，網(wǎng)絡攻擊者也常會把自己的活動從系統(tǒng)日志中刪除。因此，需要采取補救措施，以保證日志數(shù)據(jù)的完整性。

Unix和Linux的日志

Unix和Linux的日志文件較詳細的記錄了用戶的各種活動，如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄時間、登錄的終端、執(zhí)行的命令，用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址，是追蹤網(wǎng)絡攻擊的最重要的數(shù)據(jù)。

大部分網(wǎng)絡攻擊者會把自己的活動記錄從日記中刪去，而且UOP和基于X Windows的活動往往不被記錄，給追蹤者帶來困難。為了解決這個問題，可以在系統(tǒng)中運行wrapper工具，這個工具記錄用戶的服務請求和所有的活動，且不易被網(wǎng)絡攻擊者發(fā)覺，可以有效的防止網(wǎng)絡攻擊者消除其活動紀錄。

Windows NT和Windows 2000的日志

Windows NT和Windows 2000有系統(tǒng)日志、安全日志和應用程序日志等三個日志，而與安全相關的數(shù)據(jù)包含在安全日志中。安全日志記錄了登錄用戶的相關信息。安全日志中的數(shù)據(jù)是由配置所決定的。因此，應該根據(jù)安全需要合理進行配置，以便獲得保證系統(tǒng)安全所必需的數(shù)據(jù)。

但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不記錄事件的源，不可能根據(jù)安全日志中的數(shù)據(jù)追蹤攻擊者的源地址。為了解決這個問題，可以安裝一個第三方的能夠完整記錄審計數(shù)據(jù)的工具。

防火墻日志

作為網(wǎng)絡系統(tǒng)中的“堡壘主機”，防火墻被網(wǎng)絡攻擊者攻陷的可能性要小得多。因此，相對而言防火墻日志數(shù)據(jù)不太容易被修改，它的日志數(shù)據(jù)提供最理想的攻擊源的源地址信息。

但是，防火墻也不是不可能被攻破的，它的日志也可能被刪除和修改。攻擊者也可向防火墻發(fā)動拒絕服務攻擊，使防火墻癱瘓或至少降低其速度使其難以對事件做出及時響應，從而破壞防火墻日志的完整性。因此，在使用防火墻日志之前，應該運行專用工具檢查防火墻日志的完整性，以防得到不完整的數(shù)據(jù)，貽誤追蹤時機。

電子郵件追蹤方法

在以上各種紀錄方式中，都沒有電子郵件這項。因為電子信件要等收件者去收信才看得到， 有些情況可能是很緊急的， 沒辦法等你去拿信來看(BSD的Manual Page寫著「when you got mail,it’s already too late...」 :-P)。以上就是syslog各項紀錄程度以及紀錄方式的寫法，各位讀者可以依照自己的需求記錄下自己所需要的內(nèi)容。但是這些紀錄都是一直堆上去的，除非您將檔案自行刪掉，否則這些檔案就會越來越大。有的人可能會在syslogd.conf里寫：*.*/var/log/everything，要是這樣的話，當然所有的情況都被你記錄下來了。但是如果真的系統(tǒng)出事了，你可能要從好幾十MB甚至幾百MB的文字中找出到底是哪邊出問題，這樣可能對你一點幫助都沒有。因此，以下兩點可以幫助你快速找到重要的紀錄內(nèi)容：

1.定期檢查紀錄

養(yǎng)成每周(或是更短的時間，如果你有空的話)看一次紀錄檔的習慣。如果有需要將舊的紀錄檔備份，可以cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等，將過期的紀錄檔依照流水號或是日期存起來，未來考察時也比較容易。

2.只記錄有用的東西

千萬不要像前面的例子一樣,記錄下*.*。然后放在一個檔案中。這樣的結果會導檔案太大，要找資料時根本無法馬上找出來。有人在記錄網(wǎng)路通訊時，連誰去ping他的主機都記錄。除非是系統(tǒng)已經(jīng)遭到很大的威脅，沒事就有人喜歡嘗試進入你的系統(tǒng)，否則這種雞毛蒜皮的小事可以不用記錄。可以提升些許系統(tǒng)效率以及降低硬盤使用量(當然也節(jié)省你的時間)。地理位置的追蹤如何查出入侵者的地理位置?光看IP地址可能看不出來，但是你?？吹脑?，會發(fā)現(xiàn)也會發(fā)現(xiàn)規(guī)律的。在固接式的網(wǎng)路環(huán)境中，入侵者一定和網(wǎng)路提供單位有著密切的關系。因為假設是區(qū)域網(wǎng)路，那么距離絕對不出幾公里。就算是撥接好了，也很少人會花大筆錢去撥外縣市甚至國外的撥接伺服器。因此，只要查出線的單位，入侵者必然離連線單位不遠。

撥接式的網(wǎng)路就比較令人頭疼了。有許多ISP為了吸引客戶,弄了很多什么網(wǎng)絡卡。User這邊只要買了固定的小時數(shù),不需須另外向ISP那邊提出申請，就可以按照卡片上的說明自行撥接上網(wǎng)。這樣當然可以吸引客戶,但是ISP就根本無從得知是誰在用他們的網(wǎng)路。也就是說,雖然以網(wǎng)絡卡提供撥接服務給撥接使用者帶來相當大的便利，但卻是系統(tǒng)安全的大敵，網(wǎng)路管理員的惡夢。如果入侵你的人是使用網(wǎng)絡卡來上網(wǎng)，那……，要從撥號的地點查嗎?入侵者可以不要用自己家里的電話上網(wǎng)。

編者按：

對于老牌黑客，追蹤會相當困難，因為在網(wǎng)絡中技術決定勝敗，老牌黑客有著優(yōu)良的技術與長期的逃跑經(jīng)驗。而對于網(wǎng)絡新手來說，有時日志與常用手法并不一定管用，但本文的觀點會讓讀者了解追蹤黑客的基本套路，對今后的工作和網(wǎng)絡生活能帶來幫助。

【編輯推薦】

1. 網(wǎng)絡追蹤：誰在幕后頻頻的惡意彈窗
2. 三分之二美國人不愿網(wǎng)絡上被追蹤
3. 實例講解：全程追蹤入侵JSP網(wǎng)站服務器