Unix的入侵追蹤 (2)

戶所訪問的內容，當然，也包括入侵者的訪問內容。以最常用的squid代理為例，通常你可以在/usr/local/squid/logs/下找到access.log 這個龐大的日志文件，當然，由于日志記錄添加得很快，在安全事故后應該及時備份它。你可以在以下地址獲得squid的日志分析腳本:http://www.squid-cache.org/Doc/Users-Guide/added/stats.html通過對敏感文件訪問日志的分析，可以知道何人在何時訪問了這些本該保密的內容。

    8.路由器日志

    默認方式下路由器不會記錄任何掃描和登錄，因此入侵者常用它做跳板來進行攻擊。如果你的企業(yè)網(wǎng)被劃分為軍事區(qū)和非軍事區(qū)的話，添加路由器的日志記錄將有助于日后追蹤入侵者。更重要的是，對于管理員來說，這樣的設置能確定攻擊者到底是內賊還是外盜。當然，你需要額外的一臺服務器來放置router.log文件。

    在CISCO路由器上:

    router(config)# logging faclity syslog

    router(config)# logging trap informational

    router(config)# logging [服務器名]

    在log server上：

    I.在/etc/syslog.conf中加入一行:

    *.info /var/log/router.log

    II.生成文件日志文件：

    touch /var/log/router.log

    III.重起syslogd進程:

    kill -HUP `cat /var/run/syslogd.pid`

    對于入侵者來說，在實施攻擊的整個過程中不與目標機試圖建立tcp連接是不太可能的，這里有許多入侵者主觀和客觀的原因， 而且在實施攻擊中不留下日志也是相當困難的。如果我們花上足夠的時間和精力，是可以從大量的日志中分析出我們希望的信息。 就入侵者的行為心理而言，他們在目標機上取得的權限越大，他們就越傾向于保守的方式來建立與目標機的連接 。仔細分析早期的日志，尤其是包含有掃描的部分，我們能有更大的收獲。

    日志審計只是作為入侵后的被動防御手段。主動的是加強自身的學習，及時升級或更新系統(tǒng)。做到有備無患才是最有效的防止入侵的方法。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]