第十一篇 面对攻击的应对之道.pdfVIP

面对攻击的必备工具箱 第十一章 面对攻击的必备工具箱 1 11.1 丰富的系统本地深入分析工具 1 11.2 利用 SNIFFER 演绎TCP/IP 的美妙 10 11.2.1 一次难忘的 SNIFFER PRO 解决酒店网络故障案例 10 11.2.2 利用SNIFFER 来分析一次拒绝服务攻击事件 12 11.2.3 利用SNIFFER 来分析一次网络广播风暴 16 11.2.4 针对应用层分析工具 IRIS 的使用介绍 18 11.3 文件反删除恢复工具 23 11.4 系统快照的重要价值 26 第十一章 面对攻击的必备工具箱 作者：SQL 关于本书的任何建议与指正欢迎给我邮件 caopeng@ 前面章节已经为读者介绍了很多实用的工具软件和分析方法，在本章节是介绍当管理员 维护的系统遭受攻击后还有哪些可以采用的应急工具。 11.1 丰富的系统本地深入分析工具 首先为大家先介绍几个在做本地分析的时候经常会采用的工具软件。本章节前面所介 绍的工具方法都是在攻击发生前进行的工作，还有很多检测方法可能是在攻击发生以后或者 是怀疑服务器遭到攻击后会用到的，例如前面章节的 WEB 日志分析就是典型的一种检测手 段。这里我们简单的想象一个实际环境，假如管理员今天怀疑自己所管理的一台 WINDOWS2003的服务器遭到了攻击，有可能攻击者已经远程利用漏洞获取到了系统管理员权 限甚至还有可能已经在本地安装了一些高级别的后门木马，连杀毒软件也无法检测出来。这 时候我们该如何工作和应对呢。 首先登场的 IceSword 是一款专门用来检测系统未知后门的强大工具。可能读者之前也 用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来 越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，很多分析工具根本无法发 现这些“幕后黑手”。IceSword 使用大量新颖的内核技术，使得这些后门躲无可躲。 面对攻击的必备工具箱 图 11.1 如图 11.1 欲察看当前进程，请点击“进程”按钮，在右部列出的进程中，隐藏的进程会以 红色醒目地标记出，以方便查找隐藏自身的系统级后门。 图 11.2 面对攻击的必备工具箱 如图 11.2 在端口选项中是进程端口关联查看，它与 netstat -an 类似，但是多了打开该端 口的进程信息显示。在“进程 ID”一栏中，出现0 值是指该端口已关闭，处于“TIME_WAIT” 状态，由于 2000 上使用技术 XP/2003有所不同，所以前者与后二者上的显示可能些微差别。 IceSword 破除系统级后门的端口隐藏，只要进程使用 Windows 系统功能打开了端口，就逃 不出查找。 图 11.3 如图 11.3 启动组里是当前系统注册表中定义的会随着系统启动而运行的软件。 图 11.4 如图 11.4 服务进程列表是当前系统中所有注册服务的运行状态。