荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题: 入侵检测的方法(简单篇)
发信站: 荔园晨风BBS站 (Wed Oct 22 14:04:37 2003), 站内信件

入侵检测方法
因为UNIX系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵
、保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下
,如何去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检
查方法:
? 检查系统进程 #ps -aef or #ps aux
? 检查网络连接和监听端口 #netstat -an
? 检查系统日志,日志文件的属性和前后连续性
? 大量的端口扫描、帐号扫描,往往预示攻击的出现
?发现named或者syslogd等进程莫名其妙地掉了下来
? 检查系统中的core文件。#find / -name core -exec ls -l {} \; 根目录下有sysl
ogd,
  或者ftpd等产生的不明core文件往往也暗示了攻击或者入侵的出现
? 检查系统中的suid程序 #find / -perm -004000 -exec ls -l {} \;
? 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l {} \;
? 检查所有的.rhosts文件 #find / -name .rhosts -exec ls -l {} \;
? 检查所有的.forward文件
?检查/etc/hosts.equiv文件的内容
? 检查系统中的帐号 #more /etc/passwd; #awk -F: '$3==0 {print $1}' /etc/passw
d
? 检查系统帐号的口令设置
    2 空口令帐号 #awk -F: 'length($2)==0 {print $1}' /etc/shadow
    2 对比初始安装系统,确认系统缺省帐号的口令正确设置
    2 检查脆弱口令 #./john -single /etc/shadow
    2 检查是否有本来口令域为NP的系统帐号的口令域变为13个BASE64可显示字符
? 检查帐号口令shell设置的正确性。空表示sh。管理员应该对自己系统中
  拥有正常shell的帐号非常清楚。
? 使用初始签名文件做比较,检查关键执行程序的完整性,如/bin/login, /bin/who,
  /bin/netstat, etc
? 某主机的一个服务端口上出现拥塞现象,此时应该检查绑定在该端口上的服务类型。
淹没式
  和denial of service 式的攻击通常是欺骗攻击的先兆(或是一部分)。
? 日志中有人企图利用老的sendmail就是比较明显的攻击的信息,即有人在端口25上发

  了两三个命令,这些命令可能是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形
式发
  送给入侵者,另外show mount命令有可能是有人在收集计算机的信息。等等。
# 经验是最不可替代的。
的确,经验对于系统管理员来说太重要了,机器前面操作的经验是多少书本知识也无法

代替的。如果想在网络安全方面成为一个高手,那么准备好自己的精力吧。


--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店