返回
通过web日志安全分析追踪攻击者

通过web日志安全分析追踪攻击者

ID:33943058

大小:1.20 MB

页数:11页

时间:2019-03-02

通过web日志安全分析追踪攻击者_第1页
通过web日志安全分析追踪攻击者_第2页
通过web日志安全分析追踪攻击者_第3页
通过web日志安全分析追踪攻击者_第4页
通过web日志安全分析追踪攻击者_第5页
资源描述:

《通过web日志安全分析追踪攻击者》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、通过WEB日志安全分析追踪攻击者2013-03-2016:38:36摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。WEB日志作为WEB服务器重要的组成部分,详细地记录了服务器运行期间客户端对WEB应用的访问请求和服务器的运行状态。同样,攻击者对网站的入侵行

2、为也会被记录到WEB日志中。因此,在网站日常运营和安全应急响应过程中,我们可以通过分析WEB日志并结合其他一些情况来跟踪攻击者,还原攻击过程。WEB日志结构在对WEB日志进行安全分析之前,我们需要先了解下WEB日志的结构。从目前主流WEB服务器支持的日志类型来看,常见的有两类:1.Apache采用的NCSA日志格式,2.IIS采用的W3C日志格式。其中,NCSA日志格式又分为NCSA普通日志格式(CLF)和NCSA扩展日志格式(ECLF)两类,具体使用哪一种可以在WEB服务器配置文件中定义。Apache也支持自定义日志格式,用户可以在

3、配置文件中自定义日志格式,如在Apache中可以通过修改httpd.conf配置文件来实现,如图1。图1接着我们来看一条Apache的访问日志:192.168.1.66--[06/Sep/2012:20:55:05+0800]"GET/index.htmlHTTP/1.1"404287"-""Mozilla/5.0(WindowsNT6.1;rv:15.0)Gecko/20100101Firefox/15.0"其具体的解释为:192.168.1.66:表示客户端IP地址[06/Sep/2012:20:55:05+0800]:访问时间及

4、服务器所在时区GET:数据包提交方式为GET方式,常见的有GET和POST两种类型。/index.html:客户端访问的URLHTTP/1.1:协议版本信息404:WEB服务器响应的状态码。404表示服务器上无此文件,200表示响应正常,500表示服务器错误。287:此次访问传输的字节数Mozilla/5.0(WindowsNT6.1;rv:15.0)Gecko/20100101Firefox/15.0:客户端浏览器和系统环境等信息。IIS访问日志格式及保存路径可以在IIS管理器中配置,如下图2所示。图2下图3是IIS的W3C扩展日志

5、格式。图3值得注意的是,IIS的W3C日志格式中的访问时间采用的是格林威治时间,和我们的北京时间差8个小时,而且没有办法修改。WEB日志安全分析原理通过上面的知识,我们知道WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为。那么我们如何区分正常用户和恶意攻击者呢?通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,如图4所示。图4当有人对网站进行SQL注入漏洞探测时,WEB访问日志中通常会

6、出现如下日志,如图5所示:图5因此,我们可以通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为。但是,WEB访问日志并不是万能的,有些攻击行为并不会被记录到WEB访问日志中,比如POST型SQL注入就不会记录在WEB访问日志中。这时我们就需要通过其他手段来监测这种攻击行为。WEB日志安全分析思路在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。一、首先确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程,如图6。图6二

7、、一般攻击者在入侵网站后,通常会上传一个后门文件,以方便自己以后访问,我们也可以以该文件为线索来展开分析,如图7。图7WEB日志安全分析技巧WEB日志文件通常比较大,包含的信息也比较丰富。当我们对WEB日志进行安全分析时,我们通常只关注包含攻击特征的日志,其他的日志对于我们来说是无用的。这时我们可以通过手工或借助工具来将我们关注的日志内容提取出来单独分析,以提高效率。在日志分析中经常用到的几个命令有”find”、”findstr”、”grep”和”egrep”等,关于这几个命令的用法请自行查找相关资料。1.将数据提交方式为“GET”的

8、日志提取出来,如图8图8上面这条命令的意思是从iis.log这个文件中查找存在GET字符的日志内容,并将结果保存到iis_get.log中,得到的结果如图9。图92.查找WEB日志中是否存在利用IIS写权限漏洞的攻击行为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。