 |
|
 |
您现在的位置: 精品下载 >> 安全 >> 网络安全 >> 安全中心正文 |  用户登录  新用户注册 |
|
||||
| 入侵检测windump 的使用技巧 | ||||
| 作者:佚名 安全中心来源:不详 点击数: 更新时间:2007-10-10 | ||||
现在的网络入侵行为日益猖獗,传统的系统级安全检测,在很多时候已经失去了作用。 现在模拟一个网络环境:一台Windows 2000 Server操作系统的web服务器。一般这种服务器都在网络的非军事区(DMZ)中,它被攻击的可能性最大,至少目前的攻击一般都是基于这种服务器的。 在这台服务器上有个内核级后门Hxdef100(这个后门大家应该听说过吧!不仅它自己能隐藏在Windows系统中,而且能隐藏服务,端口,进程等等),对于这种情况,一般的系统管理员很难发现它。 但是,从数据流来看,就很简单,连接信息如下图所示: C:> windump –vv –i 2 –n 13:45:13.956853 192.168.1.1.3164 > 192.168.1.2.1864: S 87334271:87334271(0) win 65535 (DF) 13:45:14.059243 192.168.1.2.1864 > 192.168.1.1.3164: S 4138420249:4138420249(0) ack 87334272 win 32120 (DF) 13:45:14.059475 192.168.1.1.3164 > 192.168.1.2.1864: . 87334272:87334272(0) ack 4138420250 win 65535 (DF) 入侵者192.168.1.1用nc连接192.168.1.2:1864,由于在服务器192.168.1.2中有Rootkit屏蔽了端口1864,所以在使用netstat –na这个命令时,就不会显示1021的连接信息,而通过windump就会发现连接信息,以上就是nc的三次握手的情况。 其实,有很多管理员他们仅仅考虑的是系统级安全,用netstat –na检测系统信息,对于系统内核级后门而言,这些信息会被屏蔽,或者这些检测工具已经被木马化了,这就是他们的盲区,而我认为数据流级的安全,就像windump的抓包这样的检测,相比之下更为重要了! |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)