|
|
|
|
移动端

2.1.1 IP 追踪工具和技术

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍IP 追踪工具和技术。

作者:李晨光来源:机械工业出版社|2014-11-26 19:43

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


2.1.1 IP 追踪工具和技术

IP 追踪是指通过一定的技术手段,根据相关信息定位攻击流的真正来源,以及推断攻击数据包经过的完整路径。数据包的来源可能是发出数据包的实际主机或者网络,也可能是实施追踪的网络中的被攻击者控制的某台路由器。在后面的案例中会有详细案例说明如何追踪IP,这里先看几个简单的工具和技术。

1.Netstat 收集系统内核中的网络状态

无论是哪种网络操作系统,都可以使用“netstat”命令获得所有联机被测主机网络用户的IP 地址。使用“netstat”命令的缺点是只能显示当前的连接,如果使用该命令时攻击者没有连接,则无法发现攻击者的踪迹。

网络状态存放在核心表中,它不仅能提供当前网络连接的重要信息,也能提供监听进程的重要信息。一旦攻击者启动一个非法网络进程,进行未经授权的连接建立,网络安全人员就需要用命令了解这些非法连接。在UNIX/Linux 和Windows 系统中,使用netstat 命令来捕获这些信息:

  1. #netstat -p 

netstat 提供了系统的状态、正在连接的计算机名称,以及其他系统服务的详细信息。使用netstat 还能显示路由表:

  1. #netstat -rn 

2.Traceroute

Traceroute 是一个系统命令,它决定了接下来的一个数据包到达目的系统的路由。

Traceroute 由IP 的TTL 字段引起ICMP 超时响应来判断到达目标主机路径中的每一个路由器。可以根据TTL 值的变化来确定目标系统的位置。

3.可视化路由追踪工具

网络追踪的一种有效武器就是查路由信息,当入侵者访问了一连串站点后一定会在路由器上留下他的IP 记录。当然不是谁想去ISP 路由器那里查日志都行的,从法律上讲,要公安部门才可以;从技术上讲,在ISP 路由器上查日志会非常消耗资源,导致网络转发数据包效率严重下降。这里给普通用户推荐一个好用的工具:VisualRoute 网络路径结点回溯分析工具(适用于各种平台),它可以通过在世界地图上显示连接路径,让你知道当无法连上某些网站IP 时的真正问题所在。

4.Whois 数据库

Whois 数据库包含了在Internet 上注册的每个域的联系信息。使用Whois 数据库可识别哪个机构、公司、大学和其他实体拥有IP 地址,并获得了连接点。后续章节将会有实例讲解。

5.日志数据记录

服务器系统的登录日志记录了详细的用户登录信息。在追踪网络攻击时,这些数据是最直接、有效的证据。但有些系统的日志数据不完善,网络攻击者也常会把自己的活动从系统日志中删除。因此,需要采取特殊的补救措施,以保证日志数据的完整性。

6.防火墙日志

防火墙日志可能被攻击者删除和修改。因此,在使用防火墙日志之前,有必要用专用工具检查防火墙日志的完整性,以免得到不完整的数据,贻误追踪时机。

7.利用搜索引擎

利用搜索引擎能查询到网络攻击者的源地址,因为黑客们在Internet 上有自己的虚拟社区,他们在那儿讨论网络攻击技术方法,炫耀攻击战果,这样会暴露攻击源的信息。因此,往往可以用这种方法意外地发现网络攻击者的IP。

8.对AS 的交叉索引查询

在查询路由时,经常需要查询AS(自治系统号码),以便追踪和收集路由器与网络信息,查看Internet 的上下行连接信息。可以在http://fixedorbit.com/search.htm 对AS 号进行交叉索引。

9.IP 地址信誉评价(IP Reputation Analysis)

在第14 章将介绍一种IP 地址评价系统,它能基本反映出互联网中IP 地址的信誉度。IPreputation 过滤器由Postini Threat Identification Network (PTIN)支持,这是一个记录那些曾经有过邮件攻击行为的IP 的实时信息资源。当一些防垃圾邮件系统,例如McAfee 防垃圾邮件模块发现有来自“恶意”IP 地址的信息时,设备就会即刻拒收该信息。如图2-1所示。

OSSIM 中反映出的IP 特征与IP 地址相关,包括IP 地址的域名、地理位置、操作系统和提供的服务功能等,通过这些信息基本可构建出全球IP 信誉系统。如果没有OSSIM 系统,也可以到http://www.commtouch.com/check-ip-reputation/查询。例如查询结果显示:

  1. This IP address has not been used for sending Spam 

这代表这个IP 地址没有被用来发送垃圾邮件。

全球许多组织维护了几个黑名单,用来跟踪记录IP 的信誉度,目前还有个反滥用项目(www.anti-abuse.org/multi-rbl-check),这个网站可以自动利用50 多个黑名单检查IP 和域名。如果有个IP 出现在多个黑名单上,则可以确定是有问题的IP。

一旦找到了有嫌疑的IP 地址就需要确定以下四个问题:

IP 地址的地理位置位于何处?

什么组织机构负责该IP 地址?

该地址的不良信誉如何?

哪些DNS 条目指向了这个IP?

针对这四个问题会在后面的案例讲解。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

设计模式:可复用面向对象软件的基础(双语版)

《设计模式:可复用面向对象软件的基础》(双语版)是引导读者走入软件设计迷宫的指路明灯,凝聚了软件开发界几十年的设计经验。四位顶尖的...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊