新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     >>W3CHINA.ORG讨论区<<     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> 帮助大家解决各类计算机故障,比如:安装双系统,ADSL上网故障,病毒防火墙,删除3721、木马,上网故障,播放器故障、电脑黑屏、注册表修改等。
    [返回] W3CHINA.ORG讨论区 - 语义网·描述逻辑·本体·RDF·OWL休息区『 网友互助 』 → [转帖]教您没有IDS如何发现黑客入侵。 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 6449 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: [转帖]教您没有IDS如何发现黑客入侵。 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     hjx_221 帅哥哟,离线,有人找我吗?
      
      
      威望:7
      等级:博士一年级
      文章:4607
      积分:24021
      门派:XML.ORG.CN
      注册:2004/8/30

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给hjx_221发送一个短消息 把hjx_221加入好友 查看hjx_221的个人资料 搜索hjx_221在『 网友互助 』的所有贴子 引用回复这个贴子 回复这个贴子 查看hjx_221的博客楼主
    发贴心情 [转帖]教您没有IDS如何发现黑客入侵。

    教您没有IDS如何发现黑客入侵。

      下面介绍在没有入侵检测系统的时候如何发现黑客入侵。黑客入侵的特征信息一般来自以下四个方面,如果黑客入侵了系统,可以在以下的四个方面找到入侵的踪迹。

      黑客入侵的手段有多种,而计算机被入侵之后相应的症状特征也是不同的。黑客入侵大致有两种目的,一种是以窃取资料情报及他人的隐私为目的,这类攻击对于被入侵的计算机系统的影响并没有明显的特征,往往要经过一段时间以后才可能被人发觉。另外一类攻击是以破坏计算机系统的功能为目的,被入侵的计算机系统往往会出现莫名其妙的故障,这类攻击的特征是比较明显的。

      1. 系统和网络日志文件

      黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵过系统。通过查看日志文件,就能够发现成功的入侵或入侵企图。

      日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含了登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。所谓不正常的或不期望的行为就是指重复登录失败、登录到不期望的位置以及非授权的访问企图等等。日志文件也是黑客入侵留下信息最多的地方,因此要经常检查自己的日志文件,及时发现可疑的行为记录。

      2. 目录和文件中的不正常的改变

      网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据的文件经常是黑客修破坏的目标。如果目录和文件中发生了不期望的改变(包括修改、创建和改或删除),特别是那些正常情况下限制访问的,那么很可能就是一种入侵产生的指示和信号。

      黑客经常替换、访问权的系统文件,同时为了隐藏在系统中活动痕迹,都会尽力去替换系统程序或修改系统日志文件。这就要求我们要熟悉自己的文件系统,注意检查系统目录文件或者重要数据目录文件的变动情况。最好自己能有相关的记录,这样如果有什么改动发生,就可以据此来推断系统有没有被入侵过。

      3. 程序执行中的不期望行为

      网络系统上运行的程序一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器等。每个在系统上执行的程序一般由一到多个进程来实现,每个进程运行在具有不同权限的环境中,这种一个进程的执行行为由它运行时执行的操作来表现,操作的方式不同,所利用的系统资源也就不同。操作包括数据计算、文件传输及网络间的通讯等等。

      当一个进程出现了不期望的行为就可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败,或者是使之违背用户或管理员意图运行。有时候系统变得不稳定或莫名其妙地死机,或者处理速度降低等等。只要我们能够留心是很容易发现这类疑点的。当然了,有很多其他因素会导致这种现象,所以具体问题要具体分析。

      4. 物理形式的入侵信息

      这包括两个方面的内容,一是未授权的网络硬件连接;二是对物理资源的未授权访问。

      通常情况下,黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。这些设备或者软件就成为黑客入侵的后门,黑客可以从这里随意进出网络。

      这种入侵一般可以找到可疑的网络设备连接,另外,黑客也有可能利用网络设备的电磁泄漏来窃取信息或者入侵系统,这种设备就可能不是和系统设备直接地物理连接了。

      另外,黑客还可以寻找网上由用户加上去的“不安全”设备,然后利用这些设备访问网络。例如,用户在家里可能安装 Modem 以便于远程访问办公室的计算机,而这时如果黑客正利用自动识别工具来查找连接到电话线上的 Modem。恰巧此时有一个拨号访问的数据通过自动识别工具,那么黑客就可以找到这个Modem,进而可利用这个后门来访问办公室所在内部网,这样就越过了办公室内部网络的防火墙。接下来黑客就这种可以进行捕获网络数据流、偷取信息、攻击系统等活动了。这种入侵的起因突破点在于网络设备的非正常的使用,对于以上介绍的远程攻击实例,我们可以在自己的电话清单中查找到可疑的连接。


       收藏   分享  
    顶(0)
      




    ----------------------------------------------
    初从文,三年不中;后习武,校场发一矢,中鼓吏,逐之出;遂学医,有所成。自撰一良方,服之,卒~ 
    http://hjx221.blogger.org.cn/

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2010/4/20 19:17:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 网友互助 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/25 21:24:54

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    46.875ms