犯罪现场调查.docVIP

犯罪现场调查 　　本文可以学到 　　1 网络安全工程师如何处理公司信息泄露的技术 　　2 如何解决保护服务器日志技巧 　　3 掌握分析攻击者入侵行为的技巧 　　 　　什么是Sniffer 　　Sniffer(嗅探)是一种常用的收集有用数据方法，这些数据可以是用户的账号和密码，可以是一些商用机密数据，也可以是检测内网错误信息等等。最主要应用于管理人员监视公司网络，并可以随时掌握网络的实际情况。在网络性能急剧下降的时候，可以通过Sniffer工具来分析原因，找出造成网络阻塞的来源。当然嗅探也是一把双刃剑，被恶意攻击者利用的话就可能窃取公司机密信息，就如同这次公司档案外泄的案件就是被攻击者在内网使用嗅探技术得到内网中的公共信息导致的。 　　 　　为什么机密信息也能截获？ 　　Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局，通过Sniffer可以轻易地得到非加密处理的内网中很多机密信息。 　　 　　容易泄露的秘密 　　1.口令:这是攻击者使用Sniffer的必然因素，由于Sniffer可以记录到明文传送的userid(用户名)和passwd(密码)，我们的服务器管理账号就是在这里被攻击者截取的。 　　2.金融账号:现在公司很多时候需要在网上使用自己的信用卡或现金账号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin. 　　3.邮件和协同办公数据:通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的E-mail会话过程。一些公司员工的协同办公数据丢失。 　　 　　Sniffer工具下载 　　Sniffer: /html/211902001032602.html 　　MSN Chat Monitor Sniffer:/download/downContent/2005-03-01/13154.shtml 　　重要提示:Sniffer软件运行有一定风险，同时对局域网会有比较大的负面影响，有可能会拖慢整个网络，请您慎重选用。 　　 　　★小编有话说：“天生我才之网络天才”栏目，已经伴随着读者朋友走过了近一年的时间，相信坚持阅读这个栏目的朋友已经初步掌握了网管所需要的一些技能。同时，有一些朋友已经不满足于现状，希望学习更高一级的网络安全工程师的内容。为此，我们决定将“网络天才”定位到“网络安全工程师”，我们专门找到了具有丰富实战经验的网络安全工程师，请他们给您实战演示一下真正的“黑客对抗”！本期我们的话题将是“偷窥”技术…… 　　 　　周日的下午，CSI集团的网络安全工程顾问――“白大虾”与几位同行相约在一个幽静的小酒吧里聚首。当“白大虾”赶到酒吧时，听到以前共事的老朋友正在神侃一段当年自己侦破公司内部资料失窃的光辉历史…… 　　 　　机密被盗 　　那是两年前的事情了，小白刚刚开始从事网络安全分析师这份工作就遇到棘手的工作。也是一个周日的下午，公司副总裁忽然气急败坏的打电话到网络部吼到:“你们网络部的技术员都是吃白饭的啊！公司的客户列表居然被对手拿到了，限你们1天内把情况搞清楚，否则全部滚蛋！” 　　 　　公司有“内鬼”？ 　　工程师老刘听到副总的暴怒的内容脑子中闪现出:“内网嗅探数据劫持”。只有公司内部的员工计算机才有可能访问到内网服务器获取重要的信息资料，但是公司内应该没有这种级别的计算机知识人员啊。老刘带着小白进入机房打开服务器细心地检查起来。半个小时过去了，老刘松了一口气说:“终于找到原因了，还好没造成很大的损失。”这次事故估计是竞争对手搞的小动作，攻击者通过WEB服务器进入内网后利用嗅探技术窃取了客户列表，但是由于WEB服务器不是域网关，权限不够，所以没有拿到客户完整资料。由此可以确定不是公司内部员工出的问题，公司分配给WEB服务器的权限远小于数据服务器，而有机会接触服务器的人都有读取数据库的权限。 　　 　　★思路总结: 　　只丢失部分资料→用户权限不足→不是“内鬼”→权限较小的服务器是什么？→Web服务器可能最大→能接触Web服务器的人有嫌疑。 　　 　　顺藤摸瓜 　　“噢，我明白了，这次公司资料外泄的最大元凶就是嗅探导致的了！但是攻击者是如何进行的嗅探呢？”小白问到。“恩，跟我来，在服务器上我给你讲解一下。”老刘打开(域网关服务器)，说到:“Sniffer在内网工作时，要求嗅探程序运行在网关服务器上才能完全收集到所有(～55)内网用户的信息。根据Sniffer的工作原理可知道，这次针对公司数据的攻击者是在得到内网服务器的权限后才实现的信息窃取。我们来模拟一下黑客攻击的过程: