返回
计算机网络安全技术实验教程 第8章 攻击检测与响应

计算机网络安全技术实验教程 第8章 攻击检测与响应

ID:43811112

大小:4.40 MB

页数:51页

时间:2019-10-15

计算机网络安全技术实验教程 第8章 攻击检测与响应_第1页
计算机网络安全技术实验教程 第8章 攻击检测与响应_第2页
计算机网络安全技术实验教程 第8章 攻击检测与响应_第3页
计算机网络安全技术实验教程 第8章 攻击检测与响应_第4页
计算机网络安全技术实验教程 第8章 攻击检测与响应_第5页
资源描述:

《计算机网络安全技术实验教程 第8章 攻击检测与响应》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第四篇攻击的检测与响应第8章攻击的检测与响应实验8-1:Windows中的日志分析在入侵行为发生时或者发生之后,需要网络管理人员和网络安全人员进行详细的分析、取证工作。日志在分析、取证工作中占有相当重要的地位。因为日志文件记录了网络中的事件以及黑客攻击的痕迹,所以黑客如果想要将自己的攻击痕迹清除,必须要删除受害系统中的日志文件。实验8-1:Windows中的日志分析1、日志的定义:日志是记录所发生事件(任何有意义事情的发生叫事件)的清单。多数操作系统都已经有内置的记录事件的能力,只不过在默认情况下没有

2、开启而已。通过开启日志记录的功能,可以查看、分析日志,从而获得网络维护所需要的信息。根据服务器所开启的不同服务,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等不同类型。当黑客用流光探测时(比如IPC$等探测),就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等;用FTP探测时,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要的msvcp60.dll动态链接文件也会被记录(如果服务器没有该文件都会在日志里记录下来)

3、。所以很多国内黑客不拿国内主机探测,因为管理员记下黑客的IP后会很容易地找到黑客。此外,还有Scheduler日志也很重要,经常使用的srv.exe就是通过这个服务来启动的,它记录着由Scheduler服务启动的所有行为(如服务的启动和停止等)。实验8-1:Windows中的日志分析2、日志文件默认位置:日志分为应用程序日志、安全日志、系统日志、DNS日志等。日志文件的默认位置是%Systemroot%System32Config,默认文件大小512KB,一般管理员都会改变这个默认大小。(1)安全

4、日志文件:%Systemroot%System32ConfigSecEvent.evt。(2)系统日志文件:%Systemroot%System32ConfigSysEvent.evt。(3)应用程序日志文件:%Systemroot%System32ConfigAppEvent.evt。(4)在Internet信息服务环境中FTP站点日志文件的默认存储位置是%Systemroot%System32LogfilesMsftpsvc1,默认每天产生一个日志文件。(5)在Inter

5、net信息服务环境中WWW站点日志文件的默认存储位置是%Systemroot%System32LogfilesW3svc1,默认每天产生一个日志文件。(6)Scheduler服务日志默认位置:%Systemroot%Schedlgu.Txt。实验8-1:Windows中的日志分析3、日志在注册表里的位置:主要指应用程序日志,安全日志,系统日志,DNS服务器日志等文件的位置。默认情况下这些Log文件在注册表中的位置是在HKEY_LOCAL_MACHINESystemCurrentContr

6、olSetServicesEventlog下。  有的管理员很可能将这些日志重定位。其中EventLog下面有很多的子表,里面可查到以上日志的定位目录。默认情况下Schedluler服务的日志存在于注册表中  的HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent下。实验8-1:Windows中的日志分析4、FTP和WWW日志:FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期

7、)。例如ex001023,表示2000年10月23日产生的日志,用记事本就可直接打开它。实验8-1:Windows中的日志分析(1)FTP日志实例:#Software:MicrosoftInternetInformationServices5.0(表示微软IIS5.0)#Version:1.0(表示版本1.0)#Date:200010230315(表示服务启动时间日期)#Fields:timecipcsmethodcsuristemscstatus0315127.0.0.1[1]USERadminis

8、tator331(表示IP地址为127.0.0.1,用户名为administator的用户试图登录)0318127.0.0.1[1]PASS–530(表示登录失败)032:04127.0.0.1[1]USERnt331(表示IP地址为127.0.0.1,用户名为nt的用户试图登录)032:06127.0.0.1[1]PASS–530(表示登录失败)032:09127.0.0.1[1]USERcyz331(表示IP地址为127.0.0.1用户名为cyz的用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。