7.1日誌文件的特殊性
要理解日誌文件,首先要從它的特殊性說起,說它特殊是因為這個文件是由系統管理和保護的,壹般情況下普通用戶是不能隨意更改的。我們不能用普通TXT文件的編輯方法來編輯它。比如wps系列,Word系列,寫字板,Edit等。,為什麽不呢?我們甚至不能“重命名”或“刪除”或“移動”它,否則系統會毫不客氣地告訴妳拒絕訪問。當然,在純DOS狀態下,妳可以在上面做壹些常規操作(比如Win98狀態),但是妳很快就會發現,妳的修改根本無濟於事。當妳重啟Windows 98時,系統會自動檢查這個特殊的文本文件,如果不存在,會自動生成壹個;如果存在,日誌記錄將被追加到文本中。
7.1.1為什麽黑客會對日誌文件感興趣?
黑客在獲得服務器的系統管理員權限後,可以隨意破壞系統上的文件,包括日誌文件。但這壹切都會被記錄在系統日誌中,所以黑客要想隱藏入侵痕跡就必須修改日誌。最簡單的方法是刪除系統日誌文件,但這通常是由初級黑客完成的。真正的高級黑客總是使用修改日誌的方法來防止系統管理員跟蹤自己。網絡上有很多專門做這類功能的程序,比如Zap和Wipe。
7.1.2 Windows系列日誌系統簡介
1的日誌文件。視窗98
目前大部分用戶仍然使用Windows 98作為操作系統,所以本節從Windows 98的日誌文件開始。Windows 98下的普通用戶,除非有特殊用途,不需要使用系統日誌。例如,當使用Windows 98建立個人Web服務器時,他們需要啟用系統日誌作為服務器安全的參考。當用戶已經使用Windows 98建立了個人Web服務器時,他們可以執行以下操作來啟用日誌功能。
(1)雙擊控制面板中的個人Web服務器圖標;(您必須已經配置了相關的網絡協議並添加了“個人Web服務器”)。
(2)點擊“管理”選項卡中的“管理”按鈕;
(3)點擊“互聯網服務管理員”頁面中的“WWW管理”;
(4)點擊WWW管理頁面中的日誌選項卡;
(5)選擇“啟用記錄”復選框,並根據需要進行更改。將日誌文件命名為“Inetserver_event.log”。如果日誌文件的目錄未在日誌選項卡中指定,文件將保存在Windows文件夾中。
普通用戶可以在Windows 98的系統文件夾中找到日誌文件schedlog.txt。我們可以通過以下方法找到它。在“開始/查找”中找到它,或者啟動“任務計劃程序”並單擊“高級”菜單中的“查看日誌”來查看它。Windows 98普通用戶的日誌文件非常簡單,只記錄壹些預設的任務運行過程。相對於NT操作系統作為服務器,真正的黑客很少對Windows 98感興趣。所以人們不關註Windows 98下的日誌。
2.2下的日誌系統。windows操作系統
Windows NT是目前被攻擊比較多的操作系統。在Windows NT中,幾乎系統中的每個事務都必須通過日誌文件進行某種程度的審計。Windows NT日誌文件通常分為三類:
系統日誌:跟蹤各種系統事件,記錄Windows NT系統組件產生的事件。例如,啟動期間加載驅動程序的錯誤或其他系統組件的故障會記錄在系統日誌中。
應用程序日誌:記錄應用程序或系統程序產生的事件,比如加載應用程序產生的dll(動態鏈接庫)失敗,這些都會出現在日誌中。
安全日誌:記錄登錄互聯網、註銷互聯網、更改訪問權限、系統啟動和關閉等事件,以及創建、打開或刪除文件等與資源使用相關的事件。系統的事件管理器可以用來指定需要記錄在安全日誌中的事件,安全日誌的默認狀態是關閉。
Windows NT的日誌系統通常放在下面的位置,根據操作系統略有不同。
c:\ systemroot \ system32 \ config \ sys event . evt
c:\ systemroot \ system32 \ config \ sec event . evt
c:\ systemroot \ system32 \ config \ app event . evt
Windows NT使用壹種特殊的格式來存儲日誌文件。這種格式的文件可以由事件查看器讀取,事件查看器可以在控制面板中找到。系統管理員可以使用事件查看器來選擇要查看的日誌條目。查看條件包括類別、用戶和消息類型。
3.3的日誌系統。Windows 2000
和Windows NT壹樣,在Windows 2000中也用事件查看器來管理日誌系統,操作前也需要以系統管理員的身份進入系統,如圖7-1所示。
圖7-1
在Windows 2000中,有許多類型的日誌文件,如應用程序日誌、安全日誌、系統日誌、DNS服務器日誌、FTP日誌、WWW日誌等。,可能會根據服務器開通的服務略有變化。當Windows 2000啟動時,事件日誌服務將自動啟動,所有用戶都可以查看應用程序日誌,但只有系統管理員可以訪問安全日誌和系統日誌。默認情況下,安全日誌是關閉的,但是我們可以使用組策略來啟用安全日誌開始記錄。壹旦安全日誌被打開,它將被無限期地記錄,直到寫滿為止。
Windows 2000日誌文件的默認位置:
應用程序日誌、安全日誌、系統日誌和DNS日誌的默認位置是%systemroot%\sys tem32\config,默認文件大小是512KB,但是有經驗的系統管理員經常會更改這個默認大小。
安全日誌文件:c:\ systemroot \ system32 \ config \ sec event . evt。
系統日誌文件:c:\ systemroot \ system32 \ config \ sys event . evt。
應用程序日誌文件:c:\ systemroot \ system32 \ config \ app event . evt。
Internet信息服務FTP日誌的默認位置:c:\ systemroot \ system32 \ log files \ msftpsvc 1 \。
Internet信息服務的WWW日誌的默認位置:c:\ systemroot \ system32 \ log files \ W3SVC 1 \。
調度器服務器日誌默認位置:c: \ systemroot \ schedlgu.txt .日誌記錄了訪問者的IP、訪問的時間和請求的內容。
由於Windows2000延續了NT日誌文件,並在其基礎上增加了FTP和WWW日誌,本節對FTP日誌和WWW日誌做壹個簡單的描述。FTP日誌以文本文件的形式詳細記錄FTP上傳的文件、來源、文件名等。但是因為日誌太明顯,所以高級黑客根本不會用這種方式傳輸文件,而會用RCP。FTP日誌文件和WWW日誌文件生成的日誌壹般在目錄C:\ Sytem root \ System32 \ log files \ W3SVC 1下,默認是每天壹個日誌文件。
FTP和WWW日誌可以刪除,但是FTP日誌中記錄的所有內容仍然會記錄在系統日誌和安全日誌中。如果用戶需要嘗試刪除這些文件,可以通過壹些不太復雜的方法刪除日誌文件,比如先停止壹些服務。具體方法在本節略。
Windows 2000中提供了壹個名為CyberSafe Log Analyst (CLA)的工具,它具有強大的日誌管理功能。它使用戶能夠通過分類整理出各種事件,而不是在眼花繚亂的日誌中慢慢尋找壹條記錄,讓用戶快速找到所需的項目。它的另壹個突出特點是可以同時分析整個網絡環境中多個系統的各種活動,避免了逐個分析的麻煩。
4.Windows XP日誌文件
當我們談到Windows XP的日誌文件時,首先要說的是Internet Connection Firewall (ICF)的日誌。ICF日誌可以分為兩類:壹類是ICF批準的IP包,另壹類是ICF丟棄的IP包。日誌壹般存儲在Windows目錄下,文件名為pfirewall.log,其文件格式符合W3C擴展日誌文件格式,分為文件頭信息和文件體信息兩部分。文件頭主要是關於文件Pfirewall.log的描述,文件的主體部分要註意。文件的主體部分記錄了每個成功通過ICF審計或者被ICF放棄的IP包的信息,包括源地址、目的地址、端口、時間、協議等信息。理解這些信息需要更多的TCP/IP協議知識。ICF用來生成安全日誌的格式是W3C擴展日誌文件格式,它類似於常見日誌分析工具中使用的格式。當我們在WindowsXP的控制面板中時,打開事件查看器,如圖7-2所示。
可以看到WindowsXP也有三個常用的日誌文件:系統日誌、安全日誌和應用程序日誌。當妳點擊這些文件中的任何壹個時,妳可以在日誌文件中看到壹些記錄,如圖7-3所示。
圖7-2圖7-3
在高級設備中,我們還可以進行壹些日誌文件的存儲地址、大小限制以及壹些相關操作,如圖7-4所示。
圖7-4
要啟用記錄不成功的連接嘗試,請選中記錄丟棄的數據包復選框,否則禁用它。此外,我們還可以使用金山網鏢等工具導出和刪除“安全日誌”。
5.日誌分析
當日誌忠實地為用戶記錄每天系統中發生的壹切時,用戶也需要定期對日誌進行規範和管理,但是龐大的日誌記錄讓用戶無所適從。這時,我們需要使用工具對日誌進行分析和總結。日誌分析可以幫助用戶從日誌記錄中獲取有用的信息,以便用戶根據不同的情況采取必要的措施。
7.2刪除系統日誌
因為操作系統的不同,刪除日誌的方法也略有變化。本文介紹了在Windows 98和Windows 2000這兩個有明顯差異的操作系統中刪除日誌的方法。
7 . 2 . 1 Windows 98下的日誌刪除
在純DOS下啟動計算機,使用壹些常用的修改或刪除命令,可以消除Windows 98日誌記錄。當Windows98重新啟動時,系統將檢查日誌文件是否存在。如果發現日誌文件不存在,系統會自動重建壹個,但是會把原來的日誌文件全部剔除。
7 . 2 . 2 Windows 2000的日誌刪除
Windows 2000的日誌比Windows 98的日誌復雜得多。我們知道,日誌是由系統管理和保護的。壹般情況下,禁止刪除或修改,也與註冊表密切相關。要在Windows 2000中刪除日誌,您必須首先獲得系統管理員的許可,因為安全日誌和系統日誌必須由系統管理員查看才能刪除。
我們將簡要說明應用程序日誌、安全日誌、系統日誌、DNS服務器日誌、FTP日誌和WWW日誌的刪除。要刪除日誌文件,您必須停止系統對日誌文件的保護功能。我們可以使用命令語句刪除除安全日誌和系統日誌之外的日誌文件,但是安全日誌必須通過使用系統中的事件查看器來控制。在控制面板的管理工具中打開事件查看器。在菜單的“操作”項中有壹個名為“連接到另壹臺計算機”的菜單。點擊它,如圖7-5所示。
圖7-5
輸入遠程計算機的IP,然後等待,選擇遠程計算機的安全日誌,並單擊屬性中的“清除日誌”按鈕。
7.3發現入侵痕跡
如何在入侵者試圖或已經實施系統時及時有效地發現痕跡,是當前防止入侵的熱點問題之壹。發現入侵痕跡的前提是要有入侵特征數據庫。我們壹般使用系統日誌,防火墻,檢查IP頭的源地址,檢測郵件的安全性,使用入侵檢測系統(IDS)判斷是否有入侵跡象。
我們來學習壹下如何利用端口常識判斷是否有入侵跡象:
電腦安裝後,如果不調整,其默認端口號為139。如果不打開其他端口,壹般情況下黑客是無法進入系統的。如果正常系統經常檢查病毒,上網時突然感覺電腦反應慢、鼠標不靈、藍屏、系統崩潰等異常情況,我們可以判斷有黑客利用電子郵件或其他方式在系統中植入了特洛伊木馬。此時可以采取壹些措施去除,具體方法可以參考本書相關章節。
入侵的跡象
入侵總是按照壹定的步驟進行的,有經驗的系統管理員可以通過觀察系統是否異常來判斷入侵的程度。
1.掃描標誌
當系統收到連續和重復的端口連接請求時,可能意味著入侵者正在使用端口掃描器從外部掃描系統。高級黑客可能會使用秘密掃描工具來躲避檢測,但實際上,有經驗的系統管理員仍然可以通過各種跡象來判斷壹切。
使用攻擊
當入侵者利用各種程序入侵系統時,系統可能會報告壹些異常情況,並給出相關文件(IDS常用的處理方法)。當入侵者成功後,系統總會留下或多或少的損壞和異常訪問的痕跡,所以應該會發現系統可能被入侵了。
3.DoS或DDoS攻擊的跡象
這是目前入侵者常用的攻擊手段,所以當系統性能突然嚴重下降或者完全停止工作時,我們應該馬上意識到系統可能正在遭受拒絕服務攻擊。壹般跡象是CPU利用率接近90%以上,網絡流量慢,系統出現藍屏,重啟頻繁。
7.3.2合理使用系統日誌進行入侵檢測。
系統日誌的作用和重要性通過以上章節得到了理解。但是,雖然系統自帶的日誌可以告訴我們系統中發生的壹切,但是日誌記錄增加的太快,最終使得日誌只是浪費了大量的磁盤空間,所以日誌並不是可以無限使用的。合理規範的日誌管理是使用日誌的好方法。有經驗的系統管理員會使用壹些日誌審計工具和過濾日誌記錄工具來解決這個問題。
為了充分利用日誌文件,首先需要制定壹個管理計劃。
1.指定的日誌做什麽?
2.開發可以獲得這些記錄細節的觸發器。
7.3.3壹款優秀的日誌管理軟件
為了從眾多的日誌文件中快速找到入侵信息,有必要使用壹些專業的日誌管理工具。Surfstats Log Analyzer4.6就是這樣壹款專業的日誌管理工具。通過它,網絡管理員可以清楚地分析“日誌”文件,看到網站的現狀,而從軟件的“報告”中,他可以看到有多少人去過妳的網站,他們來自哪裏,在系統中大量使用了哪些搜索詞,從而幫助妳準確了解網站的情況。
該軟件的主要功能有:
1,集成了查閱和輸出功能,可以通過屏幕、文件、FTP或E-mail定時輸出結果;
2.可提供30多種匯總信息;
3.可以自動檢測文件格式,支持多種常用日誌文件格式,如MS IIS的W3擴展日誌格式;
4.在“密碼保護”目錄中,添加認證用戶的分析報告;
5.可以按小時、周、月模式分析;
6.六號。DNS數據庫將存儲解析的IP地址;
7.可以為每個分析的圖片設置不同的背景、字體和顏色。
發現入侵痕跡的方法有很多,比如IDS,可以很好的做到這壹點。在下壹節中,我們將詳細解釋入侵檢測系統。
7.4做好系統入侵檢測
7.4.1什麽是入侵檢測系統?
隨著越來越多的人密切接觸網絡,被動防禦已經不能保證系統的安全。鑒於越來越多的網絡入侵,我們需要選擇壹種工具來幫助防火墻防患於未然。該工具要求對潛在入侵進行實時判斷和記錄,能夠在壹定程度上抵禦網絡入侵,擴展系統管理員的安全管理能力,保證系統的絕對安全。大大增強了系統的防範功能,即使已經確認入侵行為,也能自動切斷網絡連接,保護主機的絕對安全。在這種情況下,入侵檢測系統(IDS)應運而生。入侵檢測系統是基於多年對網絡安全防範技術和黑客入侵技術的研究而開發的網絡安全產品。
它可以實時監控網絡傳輸,自動檢測可疑行為,分析來自網絡外部的入侵信號和來自內部的非法活動,在系統受到危害之前發出警告,實時響應攻擊,並提供補救措施,最大程度地保證系統安全。
雀巢手表
這是壹個運行在Windows NT上的日誌管理軟件。它可以從服務器和防火墻導入日誌文件,並以HTML格式向系統管理員提供報告。
7.4.2入侵檢測系統與日誌的區別
系統本身的日誌功能可以自動記錄入侵者的入侵行為,但是不能做好入侵跡象的分析和記錄,不能準確區分正常的服務請求和惡意的入侵行為。例如,當入侵者用CGI掃描主機時,系統安全日誌能夠提供給系統管理員的分析數據少得可憐,幾乎沒有用,而安全日誌文件本身日益龐大的特性,使得系統管理員很難在短時間內使用工具找到壹些攻擊留下的痕跡。入侵檢測系統完全可以做到這壹點。利用入侵檢測系統提供的報告數據,系統管理員將很容易知道入侵者的壹些入侵企圖,並及時采取預防措施。
7.4.3入侵檢測系統的分類
目前,入侵檢測系統根據其功能可以分為四類:
1.系統完整性檢查系統(SIV)
SIV可以自動判斷系統是否被黑客攻擊,可以檢查系統文件是否被系統入侵者更改,是否存在後門(黑客為下次訪問主機留下的),監控針對系統的活動(用戶的命令、登錄/註銷過程、使用的數據等)。).這類軟件壹般由系統管理員控制。
2.網絡入侵檢測系統(NIDS)
NIDS可以實時檢測網絡數據包,及時發現端口是否有黑客掃描的跡象。監控計算機網絡上的事件,然後分析其安全性以判斷入侵企圖;分布式IDS通過分布在各個節點的傳感器或代理來監控整個網絡和主機環境,中央監控平臺從各個節點收集信息來監控這個網絡中的數據流和入侵企圖。
3.日誌分析系統(LFM)
日誌分析系統對於系統管理員采取系統安全防範措施是非常重要的,因為日誌記錄了系統每天發生的各種事情,用戶可以通過日誌記錄查看錯誤的原因或者攻擊者留下的痕跡。日誌分析系統的主要功能有:審計和監控、跟蹤入侵者等。日誌文件也會因為大量的記錄導致系統管理員用壹些專業的工具來分析日誌或者告警文件。此時,日誌分析系統就可以發揮作用了,它幫助系統管理員從日誌中獲取有用的信息,以便管理員可以針對攻擊威脅采取必要的措施。
4.欺騙系統
普通系統管理員日常只能預測和識別入侵者的攻擊,而無法反擊。但是,欺騙系統(DS)可以幫助系統管理員為反擊鋪平道路。欺騙系統(DS)通過模擬壹些系統漏洞來欺騙入侵者。當系統管理員通過壹些方法獲得黑客企圖入侵的跡象時,使用欺騙系統可以獲得良好的效果。比如在nt上重命名管理員賬號,然後設置壹個沒有權限的假賬號讓黑客攻擊。當入侵者感覺被騙時,管理員會知道入侵者的壹舉壹動和他的水平。
7.4.4入侵檢測系統的檢測步驟
入侵檢測系統通常使用基於特征的檢測方法和異常檢測方法。在判斷系統是否被入侵之前,入侵檢測系統需要先收集壹些信息。信息往往是從各個方面收集的。比如掃描網絡或主機上的安全漏洞,尋找未經授權使用網絡或主機系統的企圖,從幾個方面判斷是否存在入侵。
檢測系統隨後會檢查網絡日誌文件,因為黑客非常容易在日誌文件中留下蛛絲馬跡,所以網絡日誌文件信息往往作為系統管理員檢測是否有入侵的主要方法。在獲得系統的管理權後,黑客最喜歡做的事情就是破壞或修改系統文件。這時,SIV會迅速檢查系統中是否有異常變化的跡象,從而判斷入侵的嚴重程度。將系統的運行情況與常見入侵程序造成的後果數據進行對比,從而發現是否被入侵。比如系統受到DDoS攻擊後,短時間內系統性能會嚴重下降,此時檢測系統可以判斷已經被入侵。
入侵檢測系統還可以使用壹些系統命令來檢查和搜索系統本身是否受到攻擊。當收集到足夠多的信息時,入侵檢測系統會自動匹配已知的入侵模式和自身數據庫中設置的相關參數,檢測準確率相當高,這讓用戶感到不方便,需要不斷升級數據庫。否則我們跟不上網絡時代入侵工具的步伐。入侵檢測的實時防護功能非常強大。作為壹種“主動預防”的檢測技術,該檢測系統可以快速對系統攻擊、網絡攻擊和用戶誤操作提供實時保護,在預測到入侵企圖時進行自我攔截並提醒管理員進行預防。
7.4.5發現系統被入侵後的步驟
1.仔細查明入侵者是如何進入系統的,並設法堵塞這個安全漏洞。
2.檢查所有系統目錄和文件是否被篡改,並盡快修復。
3.修改系統中的壹些密碼,防止再次暴力破解密碼造成的漏洞。
7.4.6常用入侵檢測工具介紹
1.網絡徘徊者
作為世界級的互聯網安全技術制造商,賽門鐵克的產品涉及網絡安全的各個方面,尤其是在安全漏洞檢測、入侵檢測、互聯網內容/電子郵件過濾、遠程管理技術和安全服務方面。賽門鐵克的先進技術真是太神奇了!NetProwler是賽門鐵克基於網絡入侵檢測開發的工具軟件。NetProwler采用先進的專利動態信號狀態檢測(SDSI)技術,使用戶能夠設計獨特的攻擊定義。即使是最復雜的攻擊也可以通過其直觀的攻擊定義界面生成。
(1)NetProwler的體系結構
NetProwler具有多層架構,由代理、控制臺和管理器三部分組成。代理負責監控其網段中的網絡數據包。將檢測到的攻擊和所有相關數據發送給管理者,安裝時要結合企業的網絡結構和安全策略。控制臺負責從代理收集信息並顯示有關攻擊的信息,以便您可以配置和管理屬於管理器的代理。管理器響應配置和攻擊警告信息,執行控制臺發出的命令,並將代理發出的攻擊警告發送到控制臺。
當NetProwler發現攻擊時,它會立即記錄攻擊事件,斷開網絡連接,創建報告,通過文件或電子郵件通知系統管理員,最後將事件通知主機入侵檢測管理器和控制臺。
(2)網絡小偷檢測技術。
NetProwler采用擁有專利技術的SDSI(Stateful Dynamic Signature Inspection Stateful Dynamic Feature Detection)入侵檢測技術。在該設計中,每個攻擊特征是壹組指令集,由SDSI虛擬處理器通過使用緩存條目來描述當前用戶狀態和當前從網絡接收的數據包來執行。每個受監控的網絡服務器都有壹小組相關的攻擊特征,這些特征是根據服務器的操作和服務器支持的應用程序建立的。Stateful可以根據監控到的網絡傳輸內容,通過比較上下文,有效地分析和記錄復雜事件。
基於SDSI技術的NetProwler工作流程如下:
步驟1: SDSI虛擬處理器從網絡數據中獲取今天的數據包;
步驟2:將獲得的數據包放入屬於當前用戶或應用會話的狀態緩沖區;
第三步:從專門為優化服務器性能而設計的特征緩沖區中執行攻擊特征;
步驟4:當檢測到攻擊時,處理器立即觸發響應模塊執行相應的響應措施。
(3)NetProwler工作模式
因為是基於網絡的IDS,所以根據不同的網絡結構,NetProwler的數據采集部分(也就是代理)有很多不同的連接形式:如果網段是通過基於總線的hub連接的,那麽可以簡單的連接到hub的壹個端口。
(4)系統安裝要求
用戶在特殊的Windows NT工作站上安裝NetProwler代理。如果NetProwler和其他應用程序運行在同壹臺主機上,兩個程序的性能都會受到嚴重影響。網絡入侵檢測系統占用大量資源,所以廠商壹般推薦使用專門的系統來運行驅動引擎,要求它有128M RAM和Intel Pentium II或主頻400MHz的Pentium。