第四篇攻击的检测与响应第8章攻击的检测与响应实验8-1:Windows中的日志分析在入侵行为发生时或者发生之后,需要网络管理人员和网络安全人员进行详细的分析、取证工作。日志在分析、取证工作中占有相当重要的地位。因为日志文件记录了网络中的事件以及黑客攻击的痕迹,所以黑客如果想要将自己的攻击痕迹清除,必须要删除受害系统中的日志文件。实验8-1:Windows中的日志分析1、日志的定义:日志是记录所发生事件(任何有意义事情的发生叫事件)的清单。多数操作系统都已经有内置的记录事件的能力,只不过在默认情况下没有开启而已。通过开启日志记录的功能,可以查看、分析日志,从而获得网络维护所需要的信息。根据服务器所开启的不同服务,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、日志等不同类型。当黑客用流光探测时(比如IPC$等探测),就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等;用FTP探测时,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要的msvcp60.dll动态链接文件也会被记录(如果服务器没有该文件都会在日志里记录下来)。所以很多国内黑客不拿国内主机探测,因为管理员记下黑客的IP后会很容易地找到黑客。此外,还有Scheduler日志也很重要,经常使用的srv.exe就是通过这个服务来启动的,它记录着由Scheduler服务启动的所有行为(如服务的启动和停止等)。实验8-1:Windows中的日志分析2、日志文件默认位置:日志分为应用程序日志、安全日志、系统日志、DNS日志等。日志文件的默认位置是%Systemroot%\System32\Config,默认文件大小512KB,一般管理员都会改变这个默认大小。(1)安全日志文件:%Systemroot%\System32\Config\SecEvent.evt。(2)系统日志文件:%Systemroot%\System32\Config\SysEvent.evt。(3)应用程序日志文件:%Systemroot%\System32\Config\AppEvent.evt。(4)在Internet信息服务环境中FTP站点日志文件的默认存储位置是%Systemroot%\System32\Logfiles\Msftpsvc1\,默认每天产生一个日志文件。(5)在Internet信息服务环境中站点日志文件的默认存储位置是%Systemroot%\System32\Logfiles\W3svc1\,默认每天产生一个日志文件。(6)Scheduler服务日志默认位置:%Systemroot%\Schedlgu.Txt。实验8-1:Windows中的日志分析3、日志在注册表里的位置:主要指应用程序日志,安全日志,系统日志,DNS服务器日志等文件的位置。默认情况下这些Log文件在注册表中的位置是在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog下。有的管理员很可能将这些日志重定位。其中EventLog下面有很多的子表,里面可查到以上日志的定位目录。默认情况下Schedluler服务的日志存在于注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent下。实验8-1:Windows中的日志分析4、FTP和日志:FTP日志和日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex001023,表示2000年10月23日产生的日志,用记事本就可直接打开它。实验8-1:Windows中的日志分析(1)FTP日志实例:#Software:MicrosoftInternetInformationServices5.0(表示微软IIS5.0)#Version:1.0(表示版本1.0)#Date:200010230315(表示服务启动时间日期)#Fields:timecipcsmethodcsuristemscstatus0315127.0.0.1[1]USERadministator331(表示IP地址为127.0.0.1,用户名为administator的用户试图登录)0318127.0.0.1[1]PASS–530(表示登录失败)032:04127.0.0.1[1]USERnt331(表示IP地址为127.0.0.1,用户名为nt的用户试图登录)032:06127.0.0.1[1]PASS–530(表示登录失败)032:09127.0.0.1[1]USERcyz331(表示IP地址为127.0.0.1用户名为cyz的用户试图登录)0322127.0.0.1[1]PASS–530(表示登录失败)0322127.0.0.1[1]USERadministrator331(表示IP地址为127.0.0.1用户名为administrator试图登录)0324127.0.0.1[1]PASS–230(表示登录成功)0321127.0.0.1[1]MKDnt550(表示新建目录失败)0325127.0.0.1[1]QUIT–550(表示退出FTP程序)从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知黑客的入侵时间、IP地址以及探测的用户名。如:上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。实验8-1:Windows中的日志分析(2)日志实例:服务一样,默认情况下产生的日志也是存储在%Systemroot%/System32/LogFiles/W3SVC1目录下。默认情况下每天产生一个日志文件,下面是一个日志文件。#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:091#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:091192.168.1.26192.168.1.3780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:094192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个名为iisstart.asp的页面,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt。实验8-1:Windows中的日志分析(3)取证:有经验的管理员就可通过安全日志、FTP日志和地址以及入侵时间。即使黑客删掉FTP和日志,还是会在系统日志和安全日志里记录下来。但是在系统日志和安全日志中只是记录了黑客的机器名,并没有黑客的IP地址。一、实验目的掌握配置计算机系统以记录事件,能够查看并且分析系统事件。二、实验设备2台主机:一台WindowsXPProfessional,另一台Windows2KServer(可以是WIN2000或WIN2003)。Win2000Winxp三、实验步骤1、在Windows2KServerPC机上建立审核。在Windows中默认情况下没有建立安全审核,需要配置想要记录的事件。开始-程序-管理工具-本地安全策略-本地策略-审核策略-审核帐号登录事件。(1)选中“成功”复选框。(2)选中“失败”复选框并选择“确定”钮,关闭本地安全策略窗口。三、实验步骤2、注销并重新登录Win2K主机,执行将会产生日志条目的任务。(1)从Win2K主机上注销。(2)用一个并不存在的用户帐号qjy身份登录,屏幕出现不能登录的错误提示,进行(3)步。(3)用一个存在的用户帐号zff身份登录,但登录时使用一个错误的密码,屏幕出现不能登录的错误提示,进行(4)步。(4)现在以一个正式用户zff、输入正确密码的方式登录进去。(5)注销。(6)以管理员身份重新登录。三、实验步骤3、在Windows2kServer上分析日志条目。(1)单击开始-程序-管理工具-事件查看器-选中安全日志,如图8-1。图8-1事件查看器(2)在详细信息窗格中,双击底部的条目来打开事件属性,如图8-2。图8-2失败事件详细信息注意:该日志条目是未能登录的企图,它也带有尝试登录的用户名。(3)关闭日志条目。(4)双击倒数第二个失败的事件。注意:这次看到的是一个正确的用户名,但密码不对。(5)关闭事件。(6)双击zff审核成功事件,如图8-3。图8-3成功事件详细信息注意:这次以正确的用户名和密码登入。这可能表示用户第一次输错了密码而后又记起了正确的密码,还有可能表示一个针对密码的攻击是在失败几次之后成功的。(7)关闭事件查看器。三、实验步骤4、扩展:可以将此实验进行扩展,在访问默认Web站点、默认FTP站点时观察安装IIS的主机上产生什么样的日志。四、实验小结将日志记录功能由默认的不启动变为启动的话,可以查看出网络中的很多事件。通过这些事件可以获得是否在网络中有用户对主机进行猜口令攻击等黑客行为。同理,本实验还可以扩展到FTP和HTTP站点的日志中去。当然,如果采用第三方日志审核工具效果会更好。实验8-2:使用基于主机的入侵检测系统Blackice入侵检测系统(IntrusionDetectionSystem,简称IDS),是对入侵行为进行检测的软件与硬件的组合。它通过收集和分析计算机网络或计算机系统中的信息流,检查网络或主机系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统位于防火墙之后,可对网络活动进行实时检测。它可以记录和禁止网络活动,被看作是防火墙的延续,可以与防火墙系统配合工作。IDS可扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤主机网卡上的流量,提供实时报警。在发现入侵后,IDS会及时做出响应(如:切断网络连接、记录到时间日志中并报警等)。一个成功的IDS不但可以使系统管理员实时了解网络系统的动态变化,还能为安全策略的制定提供参考。实验8-2:使用基于主机的入侵检测系统Blackice常见的入侵检测系统有两种架构类型:NIDS系统和HIDS系统。1、基于网络的IDS系统(NIDS):这种架构要求监控网络的计算机的网卡被设置为“混杂模式”。这样,该机就可以侦听到整个网络中所有的数据(代表产品有:Snort和SessionWall等)。NIDS系统会扫描并实时监控整个子网内所有的通信。NIDS系统对黑客扫描和DOS攻击很有效,但是在交换的网络和ATM网络中效果不理想。NIDS系统对非法登录、木马攻击、帐号密码的篡改、日志文件的篡改等攻击行为效果也不理想。使用NIDS时应该注意以下几点:(1)NIDS系统应该和其他监控的网络使用集线器连接在一起,这样才能捕获到网络中所有的数据包。(2)如果网络设备使用的是交换机,可以通过两种方法实现对网络的监控:①可以通过交换机配置把所有其他端口上的数据包复制并转发一份到“镜像”端口,并让该端口与NIDS相连。否则,NIDS只能够捕获到该主机所连接的交换机端口上的所有数据包。②把交换机的“镜像”端口级联到集线器上,再把NIDS接到集线器上。实验8-2:使用基于主机的入侵检测系统Bla