通過網(wǎng)絡(luò)監(jiān)控檢測內(nèi)核入侵攻擊
問:大約在上個月,我遇到了一次常規(guī)的內(nèi)核入侵攻擊,而且很明顯的是這次攻擊來自世界各地許多不同的IP。現(xiàn)在,我正從路由器防火墻安全日志中獲取相關(guān)的信息。在這些攻擊中,偶爾也有掃描和登陸攻擊。經(jīng)過調(diào)查,ISP建議我將此事報告給警察機關(guān)負(fù)責(zé)電子犯罪的部門,我已經(jīng)這樣做了。不過,我認(rèn)為他們也無能為力。
雖然ISP的確將我的動態(tài)IP改為一個靜態(tài)IP了,但這些攻擊仍在繼續(xù)。我把LAN組件上運行的反病毒和反間諜軟件徹底檢查了一遍,都沒有找到有關(guān)攻擊的記錄。我的電腦開啟了ESET殺毒軟件,我還有一臺本地服務(wù)器,但我在變更IP地址時該服務(wù)器并沒有聯(lián)網(wǎng)。這些攻擊究竟是怎樣發(fā)生的?請問你有什么建議來解決此問題嗎?
答:只檢查了路由器防火墻日志記錄,為什么你就認(rèn)為出了問題呢?從這些攻擊中,你發(fā)現(xiàn)系統(tǒng)存在什么問題?聽起來好像日志中的大多數(shù)記錄都是有關(guān)阻斷攻擊的通知。你一直沒有得到警察部門的任何回應(yīng),原因可能是因為你并沒有拿出任何受到傷害、損失或?qū)嶋H入侵的證據(jù)。如果攻擊者針對的不是你或你的IP地址,不管是用動態(tài)IP還是靜態(tài)IP都不會阻止這類內(nèi)核入侵攻擊。
最可能的攻擊目標(biāo)是大量的IP或網(wǎng)絡(luò),所以改變你的IP并不會讓攻擊者停止掃描,他們最終會掃描到你的新IP。
如果你仍然認(rèn)為你的系統(tǒng)是攻擊目標(biāo),或者具備內(nèi)核入侵攻擊的其它證據(jù),下一步就應(yīng)該更深入地分析網(wǎng)絡(luò)流量。如果你不想使用當(dāng)前的反惡意軟件,或者在安全模式下掃描系統(tǒng),那么你可以監(jiān)測意外的網(wǎng)絡(luò)流量,從而幫助你判斷系統(tǒng)是否存在阻止反惡意軟件發(fā)揮作用的惡意軟件。
請確保你有適當(dāng)?shù)臋?quán)限來監(jiān)測自己的網(wǎng)絡(luò)。有許多開源工具可以用于網(wǎng)絡(luò)監(jiān)控,只需在一臺未使用的計算機上運行裝有啟動程序的Live CD即可。你可能想要對網(wǎng)絡(luò)進行連續(xù)幾天的監(jiān)視,以便獲得較好的流量分析樣本,可是捕獲的流量越多,分析數(shù)據(jù)所花費的精力就越多。在某臺電腦不用時,請監(jiān)測是否有網(wǎng)絡(luò)流量產(chǎn)生。從中很可能會發(fā)現(xiàn)一些流向微軟的流量、反惡意軟件供應(yīng)商進行更新的流量,或給新的反惡意軟件進行定義的流量,或其它類似的正當(dāng)后臺操作。在剛開始的時候,你可能想在短時間內(nèi)獲得一定的網(wǎng)絡(luò)流量,然后再慢慢加大監(jiān)控力度。你需要為進行監(jiān)測的計算機做個鏡像,或者獲得流量的復(fù)本,以便對流量進行分析,并判斷自己的網(wǎng)絡(luò)上是否在傳輸可疑的數(shù)據(jù)。
【編輯推薦】
