入侵特征与分析 ()Stephen Northcutt等著 林琪译.pdfVIP

第 1 页 第 章　　阅读 日志文件 你小的时候应该看过周六下午关于西部牛仔 的电视节 目吧？还记得其 中的这样一些镜 头吗？跟踪者只需将耳朵放在铁轨上就能熟练地分辨 出火车何时经过 ，或者根据沙滩上 的 足迹就能准确地说 出一匹马上驮 了几个人 。不必惊讶 ，你也可 以成为这样 的人 ，不过时间 要调转到 世纪。记号到处都是，而且一清二楚，你的任务就是发现它们并做出相应解释。 本书首先介绍 由 ，入侵检测系统）、防火墙和其他操作 系统所创建的一组 日志格式 。刚开始学习时，可能会觉得它 比较枯燥 ，不过毕竟这是一本 关于攻击特征和分析的书。既然要学习当一名跟踪者，那么就从现在开始吧。 路 由器、 都需要在 日志中记录所发生 的事件 ，甚至运行各种 网络转储工具的不 同 版本也会记录 日志，不过具体 的记录方式则各有千秋。正确地理解 日志文件，同时识 别其文件来源，对于有效地利用其中的数据是至关重要的。 在学习完本章之后，你应该能够做到以下几点： 理解如何正确地解释 日志文件 识别文件来源 了解信息的危险程度 本章包括 了以下几种 日志格式： ，存取控制列表 ） 日志文件 商业 防火墙 日志文件 在实现入侵检测时可 以使用一组免费的系统 （如 和 ，其 中 包括基于主机和基于网络两种类型。在查看 ，全 球 事件分析 中心） ）的信 息或者 的事件 列表 时 ，你会 发现这 些工 具 即为 实现入 侵检 测 的主要 工 具 。这 一 章首先讨 论 是 由劳伦斯 巴克利国家实验室的网络研究组开发的，在实现网络数据流转储 时，这是最常用的工具。尽管 一般总作为 （如 和 ）的基础 ，不 过它也可 以独立运行 。程序本身提供 了多个选项，从而使用户可 以选择不 同的冗余度实现 网络数据流 的转储 。在 下单独运行 将得到 以下输出结果 （见图 。注 意 第 2 页 这里的数据流是无恶意的，它只是一个友好 的 数据包 。 这里只列出了其 中的几行，但 “麻雀虽小，五脏俱全 ”，在此 已经包括 了一些重要的信 息。先来逐一地分析这个例子： 图 跟踪格式 这是发现数据包的时间， 的作用是更加准确地记录事件，因为在某 秒 内很可 能发生许多事件 。其设计思想是为每个数据包设置一个惟一的时间戳 。这意味着如果在一 个文件 中收集 小时以内的跟踪记录 ，那么若在一个数据包集合 中寻找某个数据包，就起 码需要提供一个查找关键字 。 并不会设置 日期戳 ，因此必须利用文件名来处理 日 期 。 这是一个被监控接 口。根据操作系统不同，接 口名将有所变化。例如， 中一般为 中则一般为 ，而基于 的系统则根据网卡类型的不同而有所调整。 这是源 地址和源端 口 （ 。大多数情况下，你可 以根据端 口判断哪个系统是客 户 ，哪个系统是服务器 。当客户 向服务器请求某种服务时，如