作者:張欽
文章摘要:
只要有人和你的主機進(jìn)行通訊(寄信或是telnet、ftp過(guò)來(lái)都算) 你就應該會(huì )知道對方的位址,如果對方用了防火墻來(lái)和你通訊,你最少也能夠知道防火墻的位置關(guān)于ID排目錄的問(wèn)題。。也正因為只要有人和你連線(xiàn),你就能知道對方的位址,那么要不要知道對方位置只是要做不做的問(wèn)題而已。
入侵者的追蹤(Intruder Tracing)在區域網(wǎng)路上可能你聽(tīng)過(guò)所謂「廣播模式」的資料發(fā)送方法,此種方法不指定收信站,只要和此網(wǎng)路連結的所有網(wǎng)路設備皆為收信對象關(guān)于ID排目錄的問(wèn)題。。但是這僅僅在區域網(wǎng)路上能夠實(shí)行,因為區域網(wǎng)路上的機器不多(和Internet比起來(lái) )。如果象是Internet上有數千萬(wàn)的主機,本就不可能實(shí)施資料廣播(至于IP Multicast算是一種限定式廣播Restricted Broadcast,唯有被指定的機器會(huì )收到, Internet上其他電腦還是不會(huì )收到)。假設Internet上可以實(shí)施非限定廣播,那隨便一個(gè)人發(fā)出廣播訊息,全世界的電腦皆受其影響,豈不世界大亂?因此,任何區域網(wǎng)路內的路由器或是類(lèi)似網(wǎng)路設備都不會(huì )將自己區域網(wǎng)路內的廣播訊息轉送出去。萬(wàn)一在WAN Port收到廣播訊息,也不會(huì )轉進(jìn)自己的LAN Port中。而既然網(wǎng)路皆有發(fā)信站與收信站,用以標示信息發(fā)送者與信息接收者,除非對方使用一些特殊的封包封裝方式或是使用防火墻對外連線(xiàn),那么只要有人和你的主機進(jìn)行通訊(寄信或是telnet、ftp過(guò)來(lái)都算) 你就應該會(huì )知道對方的位址,如果對方用了防火墻來(lái)和你通訊,你最少也能夠知道防火墻的位置。也正因為只要有人和你連線(xiàn),你就能知道對方的位址,那么要不要知道對方位置只是要做不做的問(wèn)題而已。如果對方是透過(guò)一臺UNIX主機和你連線(xiàn),則你更可以透過(guò)ident查到是誰(shuí)和你連線(xiàn)的。在實(shí)行TCP/IP通訊協(xié)定的電腦上,通??梢杂胣etstat指令來(lái)看到目前連線(xiàn)的狀況。(各位朋友可以在win95、Novell以及UNIX試試看(注一),在下面的連線(xiàn)狀況中,netstat指令是在win95上實(shí)行的,以看到目前自己機器(Local Address處)的telnetport有一臺主機workstation.variox.int 由遠端(Foreign Address處)連線(xiàn)進(jìn)來(lái)并且配到1029號tcp port.而cc unix1主機也以ftpport連到workstation.variox.int去。所有的連線(xiàn)狀況看得一清二楚。(如A、B)
A.在UNIX主機(ccunix1.variox.int)看netstat
B.另一端在Windows95(workstation.variox.int)看netstat,
當然關(guān)于ID排目錄的問(wèn)題。,如果你想要把網(wǎng)路連線(xiàn)紀錄給記錄下來(lái),你可以用cron table定時(shí)去跑:
netstat>>filename,但是UNIX系統早已考慮到這一個(gè)需求,因此在系統中有一個(gè)專(zhuān)職記錄系統事件的Daemon:syslogd,應該有很多朋友都知道在UNIX系統的/var/adm下面有兩個(gè)系統紀錄檔案:syslog與messages,一個(gè)是一般系統的紀錄,一個(gè)是核心的紀錄關(guān)于ID排目錄的問(wèn)題。。但是這兩個(gè)檔案是從哪邊來(lái)的,又要如何設定呢?
系統的紀錄基本上都是由syslogd (System Kernel LogDaemon)來(lái)產(chǎn)生,而syslogd的控制是由/etc/syslog.conf來(lái)做的關(guān)于ID排目錄的問(wèn)題。。syslog.conf以?xún)蓚€(gè)欄位來(lái)決定要記錄哪些東西,以及記錄到哪邊去。一個(gè)最標準的syslog.conf,第一欄寫(xiě)「在什么情況下」以及「什么程度」。然后用TAB鍵跳下一欄繼續寫(xiě)「符合條件以后要做什么」。這個(gè)syslog.conf檔案的作者很誠實(shí),告訴你只能用TAB來(lái)作各欄位之間的分隔(雖然看來(lái)好像他也不知道為什么)。第一欄包含了何種情況與程度,中間小數點(diǎn)分隔。另外,星號就代表了某一細項中的所有選項。詳細的設定方式如下:
1.在什么情況:各種不同的情況以下面的字串來(lái)決定關(guān)于ID排目錄的問(wèn)題。。
auth 關(guān)于系統安全與使用者認證方面
cron 關(guān)于系統自動(dòng)排程執行(CronTable)方面
daemon 關(guān)于背景執行程式方面
kern 關(guān)于系統核心方面
lpr 關(guān)于印表機方面
mail 關(guān)于電子郵件方面
news 關(guān)于新聞?dòng)懻搮^方面
syslog 關(guān)于系統紀錄本身方面
user 關(guān)于使用者方面
uucp 關(guān)于UNIX互拷(UUCP)方面
上面是大部份的UNIX系統都會(huì )有的情況,而有些UNIX系統可能會(huì )再分出不同的項目出來(lái)關(guān)于ID排目錄的問(wèn)題。。
2.什么程度才記錄:
下面是各種不同的系統狀況程度,依照輕重緩急排列關(guān)于ID排目錄的問(wèn)題。。
none 不要記錄這一項
debug 程式或系統本身除錯訊息
info 一般性資訊
notice 提醒注意性
err 發(fā)生錯誤
warning 警告性
crit 較嚴重的警告
alert 再?lài)乐匾稽c(diǎn)的警告
emerg 已經(jīng)非常嚴重了
同樣地,各種UNIX系統可能會(huì )有不同的程度表示方式關(guān)于ID排目錄的問(wèn)題。。有些系統是不另外區分crit與alert的差別,也有的系統會(huì )有更多種類(lèi)的程度變化。在記錄時(shí),syslogd 會(huì )自動(dòng)將你所設定程度以及其上的都一并記錄下來(lái)。例如你要系統去記錄 info等級的事件,則notice、err.warning、crit、alert、emerg等在info等級以上的也會(huì )一并被記錄下來(lái)。把上面所寫(xiě)的1、2項以小數點(diǎn)組合起來(lái)就是完整的「要記錄哪些東西」的寫(xiě)法。例如mail.info表示關(guān)于電子郵件傳送系統的一般性訊息。auth.emerg就是關(guān)于系統安全方面相當嚴重的訊息。
lpr.none表示不要記錄關(guān)于列表機的訊息(通常用在有多個(gè)紀錄條件時(shí)組合使用)關(guān)于ID排目錄的問(wèn)題。。另外有三種特殊的符號可供應用:
1.星號(*)
星號代表某一細項中所有項目關(guān)于ID排目錄的問(wèn)題。。例如mail.*表示只要有關(guān)mail的,不管什么程度都要記錄下來(lái)。而*.info會(huì )把所有程度為info的事件給記錄下來(lái)。
2.等號(=)
等號表示只記錄目前這一等級,其上的等級不要記錄關(guān)于ID排目錄的問(wèn)題。。例如剛剛的例子,平常寫(xiě)下info等級時(shí),也會(huì )把位于info等級上面的notice、err.warning、crit、alert、emerg等其他等級也記錄下來(lái)。但若你寫(xiě)=info則就只有記錄info這一等級了。
3.驚嘆號(!) 驚嘆號表示不要記錄目前這一等級以及其上的等級關(guān)于ID排目錄的問(wèn)題。。
一般的syslogd都提供下列的管道以供您記錄系統發(fā)生的什么事:
1.一般檔案
這是最普遍的方式關(guān)于ID排目錄的問(wèn)題。。你可以指定好檔案路徑與檔案名稱(chēng),但是必須以目錄符號「/」開(kāi)始,系統才會(huì )知道這是一個(gè)檔案。例如/var/adm/maillog表示要記錄到/var/adm下面一個(gè)稱(chēng)為maillog的檔案。如果之前沒(méi)有這個(gè)檔案 ,系統會(huì )自動(dòng)產(chǎn)生一個(gè)。
2.指定的終端機或其他設備
你也可以將系統紀錄寫(xiě)到一個(gè)終端機或是設備上關(guān)于ID排目錄的問(wèn)題。。若將系統紀錄寫(xiě)到終端機,則目前正在使用該終端機的使 用者就會(huì )直接在螢幕上看到系統訊息(例如/dev/console或是/dev/tty1.你可以拿一個(gè)螢幕專(zhuān)門(mén)來(lái)顯示系統訊息 )。若將系統紀錄寫(xiě)到印表機,則你會(huì )有一長(cháng)條印滿(mǎn)系統紀錄的紙(例如/dev/lp0)。
3.指定的使用者
你也可以在這邊列出一串使用者名稱(chēng),則這些使用者如果正好上線(xiàn)的話(huà),就會(huì )在他的終端機上看到系統訊息( 例如root,注意寫(xiě)的時(shí)候在使用者名稱(chēng)前面不要再加上其他的字)關(guān)于ID排目錄的問(wèn)題。。
4.指定的遠端主機
這種寫(xiě)法不將系統訊息記錄在連接本地機器上,而記錄在其他主機上關(guān)于ID排目錄的問(wèn)題。。有些情況系統碰到的是硬碟錯誤,或是萬(wàn)一有人把主機推倒,硬碟摔壞了,那你要到哪邊去拿系統紀錄來(lái)看呢?而網(wǎng)路卡只要你不把它折斷,應該是比硬碟機耐摔得多了。因此,如果你覺(jué)得某些情況下可能紀錄沒(méi)辦法存進(jìn)硬碟里,你可以把系統紀錄丟到其他的主機上。如果你要這樣做,你可以寫(xiě)下主機名稱(chēng),然后在主機名稱(chēng)前面加上「@」符號(例如 @ccunix1.variox.int,但被你指定的主機上必須要有syslogd)。
在以上各種紀錄方式中,都沒(méi)有電子郵件這項關(guān)于ID排目錄的問(wèn)題。。因為電子信件要等收件者去收信才看得到, 有些情況可能是很緊急的, 沒(méi)辦法等你去拿信來(lái)看(BSD的Manual Page寫(xiě)著(zhù)「when you got mail,its already too late...」 )。以上就是syslog各項紀錄程度以及紀錄方式的寫(xiě)法,各位讀者可以依照自己的需求記錄下自己所需要的內容。但是這些紀錄都是一直堆上去的,除非您將檔案自行刪掉,否則這些檔案就會(huì )越來(lái)越大。有的人可能會(huì )在syslogd.conf里寫(xiě):*.*/var/log/everything,要是這樣的話(huà),當然所有的情況都被你記錄下來(lái)了。但是如果真的系統出事了,你可能要從好幾十MB甚至幾百MB的文字中找出到底是哪邊出問(wèn)題,這樣可能對你一點(diǎn)幫助都沒(méi)有。因此,以下兩點(diǎn)可以幫助你快速找到重要的紀錄內容:
1.定期檢查紀錄
養成每周(或是更短的時(shí)間,如果你有空的話(huà))看一次紀錄檔的習慣關(guān)于ID排目錄的問(wèn)題。。如果有需要將舊的紀錄檔備份,可以cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等,將過(guò)期的紀錄檔依照流水號或是日期存起來(lái),未來(lái)考察時(shí)也比較容易。
2.只記錄有用的東西
千萬(wàn)不要像前面的例子一樣,記錄下*.*關(guān)于ID排目錄的問(wèn)題。。然后放在一個(gè)檔案中。這樣的結果會(huì )導檔案太大,要找資料時(shí)根本無(wú)法馬上找出來(lái)。有人在記錄網(wǎng)路通訊時(shí),連誰(shuí)去ping他的主機都記錄。除非是系統已經(jīng)遭到很大的威脅,沒(méi)事就有人喜歡嘗試進(jìn)入你的系統,否則這種雞毛蒜皮的小事可以不用記錄。可以提升些許系統效率以及降低硬盤(pán)使用量(當然也節省你的時(shí)間)。地理位置的追蹤如何查出入侵者的地理位置?光看IP地址可能看不出來(lái),但是你??吹脑?huà),會(huì )發(fā)現也會(huì )發(fā)現規律的。在固接式的網(wǎng)路環(huán)境中,入侵者一定和網(wǎng)路提供單位有著(zhù)密切的關(guān)系。因為假設是區域網(wǎng)路,那么距離絕對不出幾公里。就算是撥接好了,也很少人會(huì )花大筆錢(qián)去撥外縣市甚至國外的撥接伺服器。因此,只要查出線(xiàn)的單位,入侵者必然離連線(xiàn)單位不遠。
撥接式的網(wǎng)路就比較令人頭疼了關(guān)于ID排目錄的問(wèn)題。。有許多ISP為了吸引客戶(hù),弄了很多什么網(wǎng)絡(luò )卡。User這邊只要買(mǎi)了固定的小時(shí)數,不需須另外向ISP那邊提出申請,就可以按照卡片上的說(shuō)明自行撥接上網(wǎng)。這樣當然可以吸引客戶(hù),但是ISP就根本無(wú)從得知是誰(shuí)在用他們的網(wǎng)路。也就是說(shuō),雖然以網(wǎng)絡(luò )卡提供撥接服務(wù)給撥接使用者帶來(lái)相當大的便利,但卻是系統安全的大敵,網(wǎng)路管理員的惡夢(mèng)。如果入侵你的人是使用網(wǎng)絡(luò )卡來(lái)上網(wǎng),那……,要從撥號的地點(diǎn)查嗎?入侵者可以不要用自己家里的電話(huà)上網(wǎng)。來(lái)話(huà)者電話(huà)偵測(Caller ID)各位讀者家中有ISDN嗎?如果你用過(guò)ISDN的Caller ID功能,會(huì )發(fā)現真是方便極了,對方的號碼馬上就顯示出來(lái)給你看。看到女朋友打電話(huà)來(lái),馬上就接了起來(lái);而雜志社的打來(lái)催稿,就打開(kāi)電話(huà)答錄機假裝不在家…… .但是Caller ID依然有失效的時(shí)候。有以下測試,是看CallerID可以顯示出哪些號碼的(受測機種為Zyxel,終端機使用Windows NT的Hyper Terminal):要顯示來(lái)話(huà)方號碼的前提是,對必須是透過(guò)數位交換機打到你這邊,有些地區目前仍然使用機械式交換機,如果你打電話(huà)的交換路徑中,有經(jīng)過(guò)這些機械式的交換機,那么依然無(wú)法顯示出號碼來(lái)。其他電話(huà)還沒(méi)有做測試。如何靠IP地址或Domain Name找出入侵者位置?雖然電話(huà)不一定查得出來(lái),但是至少你會(huì )知道他的IP地址。IP地址的使用必須向InterNIC登記,而Domain Name要向當地直屬的網(wǎng)路管理中心登記。在Internet上的網(wǎng)路管理中心共有三個(gè)層級(單位性質(zhì)一定為NET):
1.國際等級
021yin.com/)。
2.洲際等級
021yin.com/)。
3.國家等級
021yin.com/),但由于InterNIC位于美國,因此美國的DomainName由InterNIC直轄。有一個(gè)特別的例外是掛.mil的美國軍方網(wǎng)路的資料是由ddn.mil(美國軍事防衛網(wǎng)路)來(lái)管理,不由InterNIC管理,當您得到某個(gè)Domain Name或是IP地址后,可以使用whois來(lái)查出資料,語(yǔ)法如下:
whois -h<whois服務(wù)器><查詢(xún)對象>
021yin.com 關(guān)于ID排目錄的問(wèn)題。,需輸入:
021yin.com whois
也可能使用下列語(yǔ)法:
whois <查詢(xún)對象>@<whois伺服器>
021yin.com查詢(xún)ntu.edu.tw需輸入:
021yin.com
目前在Slackware Linux附上的為后者關(guān)于ID排目錄的問(wèn)題。。
Domain Name命名的三種情況
雖然同樣是 Domain Name,可能你會(huì )遇到三種命名的不同情況關(guān)于ID排目錄的問(wèn)題。。在許多國家*.edu.*是由NIC以外的單位所管理( 如育部),而屬性也不一定是三個(gè)字母,甚至沒(méi)有屬性。在判斷單位性質(zhì)時(shí)讀者宜多加注意,以免找不到資料。
1.標準國碼+三碼屬性碼(或沒(méi)有國碼關(guān)于ID排目錄的問(wèn)題。,僅有屬性碼)
021yin.com 021yin.com 、*.edu。
2.標準國碼+二碼屬性碼
021yin.com .jp 就會(huì )發(fā)生錯誤(注:在國際通信范例中,無(wú)論是無(wú)線(xiàn)電通信、國際越洋電 話(huà)、乃至于網(wǎng)際網(wǎng)路等,均將臺灣與中國大陸劃分為兩個(gè)不同國家。在此將中國大陸與臺灣區分,除突顯此一 特性外,并無(wú)其他涵義,請大家勿需自行揣測其他意義)。
3.僅有標準國碼關(guān)于ID排目錄的問(wèn)題。,未有任何屬性碼
021yin.com。當你知道某臺主機的Domain Name以后,可以依照下面順序查出連線(xiàn)單位的電話(huà)住址等資料。
021yin.com021yin.com021yin.com)。另外,如果你要查美國軍事單位的聯(lián)絡(luò )明細(假如某天你發(fā)現有人利用美國海軍的網(wǎng)路來(lái)入侵你的電腦)則你需要向nic.ddn.mil查詢(xún),方可查到資料。例如查出美國陸軍的資料:但FBI等調查機構屬政府單位,非軍事單位 ,查詢(xún)時(shí)需注意: 由DomainName查出資料, 如您能從nslookup查出某一IP地址之FQDN,則可以直接向當地NIC查出入侵者網(wǎng)路之資料:
1.由美國入侵的例子:
021yin.com 入侵由主機名稱(chēng)發(fā)現未有國碼,因此直接向InterNIC查詢(xún)關(guān)于ID排目錄的問(wèn)題。。由此我們可以查到America Online的技術(shù)負責人以及電話(huà)、傳真等資料,把你的系統紀錄檔準備好,發(fā)封傳真去告狀吧!
2.由臺灣入侵的例子:
021yin.com 查詢(xún)會(huì )這樣:
只有IP地址的查法
若某天您發(fā)現由168.95.109.222有人入侵,假設您不知道這是哪里的網(wǎng)路,而這個(gè)IP地址也沒(méi)有Domain Name 的話(huà),則須先將IP地址分等級,再向InterNIC查詢(xún): (以下作為范例之位址均為虛構,如有雷同,純屬巧合)關(guān)于ID排目錄的問(wèn)題。。
1.由15.4.75.2入侵的例子:
此IP地址是15開(kāi)頭,為一個(gè)ClassA網(wǎng)路,故向InterNIC查詢(xún)15.0:查出此IP地址為惠普公司所有
2.由140.111.32.53入侵的例子:
021yin.com查詢(xún)140.111.32.0:
3.由203.66.35.1入侵的例子
021yin.com詢(xún)問(wèn)203.66.35.0:查了三次以后,終于查到203.66.35.0 為在一堆資料中查到203.66.35.1,此一IP地址為ForwardnessTechnologyCo.Ltd.所有,電話(huà)地址也一并附在上面由以上的查法,可以由任一主機名稱(chēng)或IP地址查到連線(xiàn)者網(wǎng)路單位的資料,如果您發(fā)現該網(wǎng)路單位下屬主機對您的網(wǎng)路有攻擊行為,請檢具資料告訴對方的系統管理員(對方不一定接受)。下面是Windows95的hosts檔案:當您沒(méi)有DNS的時(shí)候,您可以拿這個(gè)來(lái)將DomainName<->IP地址的對應工作做好。寫(xiě)法就和UNIX樣。Microsoft的這個(gè)hosts檔案寫(xiě)的是給chicago用的,這是windows95的開(kāi)發(fā)代號,看見(jiàn)沒(méi)?(看來(lái)Microsoft出windows95時(shí)太趕,忘了修正這些小東西), 不過(guò)各位讀者要注意的是, 原先的hosts檔案檔名是hosts.sam,您要自己將檔名改成hosts才能用。
注:幾乎所有使用TCP/IP通訊協(xié)定的機器都會(huì )有hosts、network等檔案關(guān)于ID排目錄的問(wèn)題。。這是所有TCP/IP系統的共通習慣(但只有 Microsoft的軟體會(huì )有lmhosts來(lái)配合Microsoft自己的wins域名解譯系統)。如果讀者有注意到的話(huà),可以發(fā)現 Novell Netware服務(wù)器也有一個(gè)etc目錄,還有hosts等檔案!