如何追踪黑客的网络攻击
2015-11-13 16:35:05
来源:
[导读] 网络是个大舞台,这个舞台中不光有安全人员也有黑客份子所组成。对于一些重要的部门,一旦网络遭到攻击,如何追踪网络攻击,追查到攻击者
系统的纪录基本上都是由syslogd (System Kernel LogDaemon)来产生,而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东 西,以及记录到哪边去。一个最标准的syslog.conf,第一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要 做什么」。这个syslog.conf档案的作者很诚实,告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。第一栏包含了何种情 况与程度,中间小数点分隔。另外,星号就代表了某一细项中的所有选项。详细的设定方式如下:
1.在什么情况:各种不同的情况以下面的字串来决定。 auth 关于系统安全与使用者认证方面 cron 关于系统自动排程执行(CronTable)方面 daemon 关于背景执行程式方面kern 关于系统核心方面 lpr 关于印表机方面 mail 关于电子邮件方面 news 关于新闻讨论区方面 syslog 关于系统纪录本身方面 user 关于使用者方面
uucp 关于UNIX互拷(UUCP)方面
上面是大部份的UNIX系统都会有的情况,而有些UNIX系统可能会再分出不同的项目出来。
2.什么程度才记录:
下面是各种不同的系统状况程度,依照轻重缓急排列。 none 不要记录这一项debug 程式或系统本身除错讯息 info 一般性资讯 notice 提醒注意性 err 发生错误 warning 警告性 crit 较严重的警告 alert 再严重一点的警告 emerg 已经非常严重了
同样地,各种UNIX系统可能会有不同的程度表示方式。有些系统是不另外区分crit与alert的差别,也有的系统会有更多种类的程度变化。在记录 时,syslogd 会自动将你所设定程度以及其上的都一并记录下来。例如你要系统去记录 info等级的事件则notice、err.warning、crit、alert、emerg等在info等级以上的也会一并被记录下来。把上面所写的 1、2项以小数点组合起来就是完整的「要记录哪些东西」的写法。例如mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是 关于系统安全方面相当严重的讯息。lpr.none表示不要记录关于列表机的讯息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用:
1.星号(*)
星号代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。
2.等号(=)
等号表示只记录目前这一等级,其上的等级不要记录。例如刚刚的例子,平常写下info等级时,也会把位于info等级上面的notice、 err.warning、crit、alert、emerg等其他等级也记录下来。但若你
