|
|
|
|
移动端

2.6 案例二:谁动了我的胶片(4)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例二:谁动了我的胶片。

作者:李晨光来源:机械工业出版社|2014-11-26 20:57

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


2.6 案例二:谁动了我的胶片(4)

疑点分析

张坤迅速打开终端,用SSH 登录到服务器,使用root 用户和口令,成功登录系统了。张坤很容易就查到access.log 文件,现在他可以查出任何一个登录过该服务器的人。

  1. squidbox#1s -1 /usr/local/squid/logs/access.log  
  2. -rw-rw-r-- 1 squid squid 2838159 Sep 11 03:25 access.log 

这时问题出现了,由于Squid 服务器工作时间长,squid.log 的日志非常庞大,查个IP 也不是容易的事,如何将access.log 的IP 提取出来呢?张坤使用以下命令:

  1. squidbox#awk '{print $3;}' access.log 

张坤看到了他最不愿看到的事—该文件最后一次修改的时间是今天的凌晨3:00。现在应该看看这个文件:

  1. squidbox# tail /usr/local/squid/logs/access.log  
  2. 892710014.016 14009 10.100.4x.5x TCP_MISS/304 126 GET http://192.168.2.3/completed/less.avi -- 

显然,在公司网络以外的人通过代理服务器进入过后期制作的Web 服务器。通过日志文件,张坤清楚地知道黑客在昨天夜里访问过两部电影的胶片。他非常希望这个黑客能够在今晚再次“造访”,以便抓个正着。

张坤赶紧跑到王磊的办公室,把这个消息告诉了他。找到了“凶手”,王磊感到轻松了许多,同时希望能够找到更多关于这个黑客的信息。张坤建议说,他们应该拔掉代理服务器外网的接口,防止黑客卷土重来。王磊同意张坤的建议,至少他们不能再泄露更多胶片文件。张坤回到小机房,拔掉代理服务器外网口的网线(这段是连接互联网的)。然后回到自己的座位决定做一些侦察工作。他想继续跟踪这个黑客,并且一定要给他一点儿颜色看看。因为此类入侵事件具有时效性,错过这个村就没这个店。这时张坤决定架设一套蜜罐系统来诱捕黑客,以便获得更多的证据。

诱捕入侵者

由于IDS 等网络设备昂贵,他们所在的公司无力更换新的安全设备,所以他设计了虚拟机下的蜜罐系统。下面的内容讲述了架设蜜罐系统的注意事项。

一般情况下,蜜网由蜜网网关、入侵检测系统及若干个蜜罐主机组成。其中蜜网网关是控制蜜网网络的枢纽,在网关上安装多种工具软件,对数据进行重定向、捕获、控制和分析处理,如iptables、Snort、SebekServer、Walleye 等。访问业务主机的流量不经过蜜网网关,而访问蜜罐的网络连接,都由重定向器引向蜜网,而攻击者往往无法察觉。本文描述的是在单一主机上模拟出整个蜜罐系统的解决方案,它是基于最新虚拟机软件VMware 9 和虚拟蜜网技术,构建集网络攻击和防御于一体的网络安全平台。虚拟蜜网部分,除管理计算机外,其他都是基于虚拟机之上。安装虚拟机系统的宿主计算机(蜜网网关)的配置要求稍高,这样可更好地运行多个虚拟蜜罐操作系统。

接口描述:在虚拟蜜网网关中,有3 个网络接口。

Eth0 是面向业务网络的外部接口。

Eth1 是面向多虚拟蜜罐系统的内部接口,Eth0 和Eth1 在网桥模式,均无IP 地址,数据包经过网关时TTL 值不会变化,也不会提供自身的MAC 地址,因此蜜网网关对于攻击者是透明不可见的,入侵者不会识别出其所攻击的网络是一个蜜网系统。

Eth2 是用作远程管理,具有实际IP 地址,可把出入虚拟蜜罐系统的数据包及蜜网系统日志转发给一台作远程管理的主机。

架构详情如图2-10 所示。

架设好蜜网系统,就等神秘人再次“造访”,以便获取更多有价值的日志信息。张坤先使用nslookup 查看了该IP 的DNS 服务器的主机名、域名、地址。

  1. #nslookup 10.100.4x.5x  
  2. Server: ns1.movie.com  
  3. Address: 10.1.1.11  
  4. Name: chewie.someisp.ru  
  5. Address: 10.100.4x.5x 

经过综合分析,比较邮件头信息和蜜罐系统中找到的IP,完全吻合,这回发送者IP 终于找到了,张坤松了口气。下面只要通过电信找到这个人是在哪里拨号上网的,就能找到申请人电话、住址及姓名。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Visual Studio 2005+SQL Server 2005数据库应用系

本书主要介绍采用Visual Studio 2005的C#语言为前台,SQL Server 2005数据库为后台的数据库系统开发技术。 全书分为15章,内容包括走进.NE...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊