返回
网络入侵检测步骤和思路

网络入侵检测步骤和思路

ID:19765887

大小:32.00 KB

页数:8页

时间:2018-10-06

网络入侵检测步骤和思路_第1页
网络入侵检测步骤和思路_第2页
网络入侵检测步骤和思路_第3页
网络入侵检测步骤和思路_第4页
网络入侵检测步骤和思路_第5页
资源描述:

《网络入侵检测步骤和思路》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络入侵检测步骤及思路俗话说:知己知彼,百战不殆。意为如果对敌我双方的情况都能了解透彻,打起仗来百战都不会有危险。大家看了此文章,能够更好的了解防护知识了。第一步:进入系统1.扫描目标主机。2.检查开放的端口,获得服务软件及版本。3.检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。4.检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。5.检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下一步。6.利用服务软件是否

2、可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否则进入下一步。7.服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。8.扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。第二步:提升权限1.检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。2.检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。3.检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进入下一步。4.检查重要文件的权限是

3、否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。5.检查配置目录(*2)中是否存在敏感信息可以利用。6.检查用户目录中是否存在敏感信息可以利用。7.检查临时文件目录(*3)是否存在漏洞可以利用。8.检查其它目录(*4)是否存在可以利用的敏感信息。9.重复以上步骤,直到获得root权限或放弃。第三步:放置后门最好自己写后门程序,用别人的程序总是相对容易被发现。第四步:清理日志最好手工修改日志,不要全部删除,也不好使用别人写的工具。附加说明:*1例如WWW服务的附属程序就包括CGI程序等*2这里指存在

4、配置文件的目录,如/etc等*3如/tmp等,这里的漏洞主要指条件竞争*4如WWW目录,数据文件目录等/*****************************************************************************/好了,大家都知道了入侵者入侵一般步骤及思路那么我们开始做入侵检测了。第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器,搜集服务器的信息,以便进一步入侵该系统。系统信息被搜集的越多,此系统就越容易被入侵者入侵。所以我们做入侵检测时,也

5、有必要用扫描器扫描一下系统,搜集一下系统的一些信息,来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦:)第二步、扫描完服务器以后,查看扫描的信息---->分析扫描信息。如果有重大漏洞---->修补(亡羊补牢,时未晚),如果没有转下一步。第三步、没有漏洞,使用杀毒工具扫描系统文件,看看有没有留下什么后门程序,如:nc.EⅩE、srv.EⅩE......如果没有转下一步。第四步、入侵者一般入侵一台机器后留下后门,充分利用这台机器来做一些他想做的事情,如:利用肉鸡扫描内网,进一步扩大战果,利用肉鸡作跳板入侵

6、别的网段的机器,嫁祸于这台机器的管理员,跑流影破邮箱......如何检测这台机器有没有装一些入侵者的工具或后门呢?查看端口(偏好命令行程序,舒服)1、fport.EⅩE--->查看那些端口都是那些程序在使用。有没有非法的程序,和端口winshell.EⅩE8110晕倒~后门netuse谁在用这个连接我?2、netstat-an---->查看那些端口与外部的ip相连。23x.x.x.x没有开23端口,怎么自己打开了??黑客!?3、letmain.EⅩEip-admin-d列出本机的administrato

7、rs组的用户名查看是否有异常。怎么多了一个hacker用户??<==>netuserid4、pslist.EⅩE---->列出进程<==>任务管理器5、pskill.EⅩE---->杀掉某个进程,有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。6、login.EⅩE---->列出当前都有那些用户登录在你的机器上,不要你在检测的同时,入侵者就在破坏:(7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志记录了入侵者扫描的信息和合法用户的正确请求Find“scirpts/..

8、”C:WINNTsystem32LogFilesW3SVC1ex010705.log--解码漏洞??谁在扫描我?8、查看Web目录下文件改动与否留没有留aspphp后门......查看存放日志文件的目录DOSdir/aGUI查看显示所有文件和文件夹技巧:查看文件的修改日期,我两个月没有更新站点了(好懒:),怎么Web目录下有最近修改文件的日期??奇怪吧?:)###################################

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。