对于中小型企业来说病毒问题,黑客问题越来越让网络管理员烦恼,网络中充斥着简单容易用的黑客攻击攻击,很多人都通过漏洞扫描工具实现攻击企业内部计算机和服务器的目的,甚至一些内部无聊者也会没事用扫描器扫扫内部网段,访问别人的隐私。目前来说使用IPS类入侵防御系统往往可以有效的追踪入侵者的足迹,正巧笔者所在公司购买了一套价格高昂的IPS入侵防御硬件系统,接下来笔者就将自己在日常维护与管理过程中遇到的几次真实的追踪入侵者的经历写出来和各位IT168安全频道的读者分享。
一,设备简介:
IPS也叫入侵防御系统,通过IPS我们可以在第一时间发现入侵者并根据入侵者的信息进行防御和封锁,从而避免黑客或漏洞型病毒对内网计算机的攻击,笔者使用的产品是华为3COM公司的Tippingpoint 400入侵防御系统,他可以容许最大支持400Mbps带宽速度的网络,同时支持连接四个网段分支,支持10/100/1000BaseT线缆以及SX或LX型的光缆。(如图1)
二,用IPS追踪入侵者:
下面笔者就从实际出发讲解一次真正的发现入侵者并通过IPS入侵防御系统来防范入侵攻击的例子。
第一步:通过管理地址和正确的用户名,密码访问IPS管理界面。
第二步:由于本文主要讲解的是如何通过IPS找到攻击入侵者,所以我们首先冲日志记录中寻找蛛丝马迹——LOG SUMMARY。笔者选择audit log(登录记录)。(如图2)
小提示:
不管内网遭受到什么样的攻击,只要我们的IPS正常工作并且合理配置过滤规则,基本上都可以有效的防范对应的入侵,因此IPS自身的安全往往成为网络管理员关注的话题,攻击入侵黑客也往往利用一些工具直接对IPS设备进行攻击,毕竟IPS被入侵后将其作为跳板攻击内网其他网络设备将变得更加轻松。
第三步:在audit log登录信息记录日志中我们可以清晰的看到成功登录以及密码验证错误的次数,在登录时尝试使用的用户名字段也可以通过右边的显示查看出来,同时尝试登录用户的访问方式以及自身IP地址还有访问时间都历历在目。(如图3)
第四步:经过分析我们发现了在最近一段时间总有如下几个IP地址对IPS进行了扫描,这说明这几个IP地址在对IPS进行攻击——2008-09-03 17:36:35
206.186.79.97,2008-09-03 12:36:35 203.189.89.116,2008-09-02 20:13:59 85.17.137.5。这些攻击者使用的登录方式都是CLI命令行访问方式,结合IPS来说就是SSH或者telnet。
第五步:笔者又通过IPS自身的日志备份功能把这些日志信息保存到了本地硬盘,通过Download按钮下载。(如图4)
1 2 下一页
安全中国首页 > 文章中心 > 网管天地