|
|
|
|
移动端

1.7 iptables 日志分析(1)

《UNIX/Linux网络日志分析与流量监控》第1章网络日志获取与分析,本章将介绍如何获取并分析各类系统的日志。学习好本章内容,将为后续章节的案例分析打下良好的基础。本节为大家介绍iptables 日志分析。

作者:李晨光来源:机械工业出版社|2014-11-26 18:36

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


1.7 iptables 日志分析(1)

防火墙除了能进行有效控制网络访问之外,还有一个很重要的功能就是能清晰地记录网络上的访问,并自动生成日志进行保存。虽然日志格式会因防火墙厂商的不同而形态各异,但记录的主要信息大体上却是一致的。无论是后面我们谈到的PIX、ASA 还是CheckPoint防火墙,其产生的日志内容均类似。这就表明,任何连接或者请求,例如TCP、UDP、ICMP 连接记录、连接的流量信息、连接建立时间等,防火墙日志都会将其逐一体现。所以归纳起来,防火墙日志大致包含消息发送源IP 地址、消息目的IP、消息流向、消息的内容,以及应用几方面。

防火墙每天要产生很大的日志文件,防火墙管理员针对未经任何处理和分析的庞大的日志进行管理是很困难的。因此,日志的统计和分析现在已经成为防火墙功能中必不可少的一项,管理员不但可以按照不同的需求来查找日志、审计日志,还可以分析网络带宽的利用率、各种网络协议和端口的使用情况等。防火墙日志还会产生安全警告及一些对网络安全管理很有帮助的信息。这极大地方便了管理员对防火墙的安全管控。

本节以Linux 下的iptables 为例讲解防火墙日志。

下面看一段iptables 日志:

  1. Jun 19 17:20:04 web kernel: NEW DRAP IN=eth0 OUT=MAC=00:10:4b:cd:7b:b4:00:e0:le:b9:04:  
  2. al:08:00 SRC=192.168.150.1 DST=192.168.150.152 LEN=20 TOS=0X00 PREC=0x00 TTL=249 ID=10492 
  3. DF PROTO=UDP SPT=53 DPT=32926 LEN=231 

对此日志的解释见表1-8。

表1-8 iptables 防火墙日志分析

(续)

从表1-8 中可看出iptables 日志、记录的信息很多而且凌乱,分析时面临以下几个问题:

(1)MAC 的表示过于简单,把目标MAC、源MAC 及长度类型全部混在一起,不利于阅读。

(2)在表中的序号..中TOS 和PREC 的值都为0x00,标志位表示方式混乱。

(3)在日志中没有记录数据包内容,特别是对一些被拒绝的数据包,如果有记录数据包内容将有助于查找攻击方式、方法。

(4)没有记录规则号,对于被记录的数据包,当需要查看它因为满足什么条件被记录时,将变得比较困难。

(5)LEN、DPT 标志同时出现在IP 头、TCP 头中,在分析处理日志时会容易出现混乱。

在Linux 下单独记录iptables 的方法是编辑/etc/syslog.conf 文件,在其中加入一行:

  1. kern.warning /var/log/iptables.log 

然后重启syslog 服务:

  1. #/etc/init.d/syslog restart 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

精通ASP+XML+CSS网络开发混合编程

《精通ASP+XML+CSS网络开发混合编程》介绍当前网络开发的主流平台与技术之一的ASP+CSS+XML的知识与应用,全书各知识点均配以实例,按照基础...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊