追踪与反追踪技术

追踪与反追踪技术内容提要：随着网络技术的迅速发展及广泛运用，网络空间的侦察与反侦察斗争，将在 未来战场上占据越来越重要的地位。网络侦察的主要手段：一是利用计算机硬件通过信息流时所产生的电磁进行 探测，二是利用对方计算机网络的安全漏洞，三是截获敌方有线或无线信道中信 息。而网络反侦察，则是通过各种技术与手段，防止敌方获取己方系统信息、电 磁信号等情报，或削弱敌方计算机网络侦察技术效果而采取的综合性防御行动。 从网络技术的发展和运用来看，网络反侦察通常可采用以下几种手段：一是信息 阻塞法。当发现对方实施网络侦察时，可故意向对方信息系统倾泻大量伪信息、 废信息，通过制造“信息洪流”，阻塞、挤占对方信息传输信道，使其无法及时 有效地获取、传输、处理所需要的信息。二是信息诱骗法。即故意将一些在对方 看来很重要的假情报，经过精心设置，并在外部装一定的防火墙之后暴露给对方 ，诱骗对方的侦察，而对真正的情报系统则通过换名、设置更高防火墙、采用特 殊线路、小范围联网等方式加以隐蔽，以此达到以假乱真的目的。三是干扰压制 法。当发现对方侦察设备正在侦察己方计算机信号，而己方却无法采取有效措施 防止电磁泄露时，可利用一定功率的干扰释放假信号，扰乱对方的微波探测，或 直接干扰对方探测设备的正常工作，必要时还可以对对方探测设备进行压制，使 对方无法准确侦察计算机网络数据和参数。网络反侦察，重要的是要在技术上筑起屏障。一般说来，可以通过计算机屏 蔽技术、防信息泄露技术、电磁相关干扰技术等，提高设备抗入侵、抗干扰能力 。也可以采用信息认证、访问控制技术，鉴别验证使用者身份、限制其使用范围 ，防止非法用户入侵。还可以采用网络分段技术，建立安全的网络拓朴结构，通 过相互分离，确保整体性安全。除此之外，通过加强密码管理和技术检测，也不 失为确保网络系统安全之一法。对于网络反侦察而言，能不能实现预期目标，最关键的还是要有防范意识。 相比较而言，思想上的疏忽比技术上的落后更为可怕。只有建立牢固的思想防线 ，才能筑起真正的网络安全屏障。关键词：网络安全，反追踪，追踪一、本地追踪方法追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变等虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。（一）、netstat命令-实时查看攻击者使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。如图在windows系统下执行netstat /ano /p tcp只显示tcp监听和已连接的信息。使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstattextfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。（二）、日志数据-最详细的攻击记录系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。1、Unix和Linux的日志Unix和Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息等。通过这些信息可以提供ttyname(终端号)和源地址，是追踪网络攻击的最重要的数据。大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求和所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。2、Windows NT和Windows 2000的日志Windows NT和Windows 2000有系统日志、安全日志和应用程序日志等三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。下图为IIS日志主要记录WEB服务信息下图为服务器应用程序日志主要记录应用程序信息服务器安全性日志主要记录用户登录情况信息服务器系统日志3、防火墙日志作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。但是，防火墙也不是不可能被攻破的，它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。（三）、电子邮件追踪方法在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到， 有些情况可能是很紧急的， 没办法等你去拿信来看(BSD的Manual Page写着when you got mail,its already too late. :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里写：*.*/var/log/everything，要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：1.定期检查纪录养成每周(或是更短的时间，如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份，可以cploglog.1,cploglog.2.或是cploglog.971013,cploglog.980101.等，将过期的纪录档依照流水号或是日期存起来，未来考察时也比较容易。2.只记录有用的东西千万不要像前面的例子一样,记录下*.*。然后放在一个档案中。这样的结果会导档案太大，要找资料时根本无法马上找出来。有人在记录网路通讯时，连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁，没事就有人喜欢尝试进入你的系统，否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低硬盘使用量(当然也节省你的时间)。地理位置的追踪如何查出入侵者的地理位置?光看IP地址可能看不出来，但是你常看的话，会发现也会发现规律的。在固接式的网路环境中，入侵者一定和网路提供单位有着密切的关系。因为假设是区域网路，那么距离绝对不出几公里。就算是拨接好了，也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此，只要查出线的单位，入侵者必然离连线单位不远。拨接式的网路就比较令人头疼了。有许多ISP为了吸引客户,弄了很多什么网络卡。User这边只要买了固定的小时数,不需须另外向ISP那边提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。也就是说,虽然以网络卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网路管理员的恶梦。如果入侵你的人是使用网络卡来上网，那，要从拨号的地点查吗?入侵者可以不要用自己家里的电话上网。邮件信息头，如图如下图我们看到一个邮件头信息，邮件是先邮68开始发送到，然后邮中转到收件人邮箱服务器,由此我们很容易查到此邮件的发送者ip地址。二、反追踪技术在入侵时最重要就是隐藏好自己的IP地址，一般的方法是利用跳板(肉鸡)来进行入侵，最后把留在肉鸡上的日志删除，然后离开。对于没有肉鸡的可以利用代理服务器来隐藏自己的IP地址，建议最好利用国外的代理服务器。上面两种都是比较常用的方法，可以满足一般的要求，而如果对方不惜一切代价要查的话，那是肯定可以查到的。这是因为我们上网的所有信息其实在路由器上都有记录，所以查询路由器的信息就可以很快确定出入侵者的IP地址，真正的高手不仅会用到上面两种方法，同时他在入侵服务器之前，也会把他所要入侵的服务器之间的一些路由器干掉，在删除肉鸡的日志同时还会把路由器上的所有信息删除。就算对方把整个网络监控了也没有办法，即使利用IDS也很难查到你的IP地址，所以路由器的入侵在这里扮演了很重要的惧色，控制了对方的路由器就等于控制了对方的网络，剩下的只有任人宰割。可以把三者结合起来，以保证自己的最大安全。(1)熟练运用Sniffer，并灵活运用这些技巧，可以令我们更安全。(2)使用跳板。有时我们的hack活动可能会被发现，我就遇到过两次。我们正在hack的站点可能因为某些原因被关掉，这时什么都别管尽快清除痕迹离开，一般不会有什么事情。但如果他们想追踪我们的来路(原因可能是想抓住你，也可能是想看看你的跳板强壮性)就很危险了。这种情况下，如果你使用跳板入侵的话就会给他们的追踪造成困难！下面我说一下跳板的要求：拥有管理员权限；只作跳板使用，平时不用；定期更换其它的服务器做跳板，至少一个月不在使用原来的跳板。这样他们就很难追踪到我们的痕迹了。使用多层跳板，他们想追踪就必须一个一个的突破。(3)堡垒主机。什么是堡垒主机？它是你的多层跳板中直接和你正在使用的主机建立了连接的主机，也就是和你最近的一层跳板。一旦他们能追踪到你的堡垒主机，你就有麻烦了。因为，警察只要调查一下就能发现你的存在。因此，堡垒主机应该尽量稳固，并且尽量用国外主机(跳板也应该尽量用国外的)。当然，最根本的是决不能让他们追踪的你的堡垒主机。(4)如果你入侵的服务器使用了专门的log主机，那么会麻烦一点，一般的log主机很难攻入，这时可以用DoS让它停止工作。(5)查看一下主机是否安装了其它的log软件，如果有的话，应该修改它们生成的logs。(6)攻入系统后，要时不时的看看管理员是否登陆了，如果管理员登陆了，我们就应该尽快跑路了。(7)注意蜜罐，好的蜜罐系统是很难发现异常的。这种情况遇到的很少，但不排除可能性。如何发现蜜罐，就看你的思维是否清晰、头脑是否冷静、对系统是否熟悉、敏锐的洞察力、还有的就是运气