龔春鳳

（湖南商務(wù)職業(yè)技術(shù)學(xué)院，湖南 長(zhǎng)沙 410205）

1.引言。在網(wǎng)絡(luò)技術(shù)日新月異的今天，基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來(lái)，網(wǎng)上黑客的攻擊活動(dòng)增長(zhǎng)很快。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

2.網(wǎng)絡(luò)入侵的途徑。計(jì)算機(jī)病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統(tǒng)修改型和外殼附加型四種方式，而對(duì)網(wǎng)絡(luò)入侵來(lái)講主要分為主動(dòng)入侵和被動(dòng)入侵。

主動(dòng)入侵主要是指用戶(hù)主動(dòng)去執(zhí)行病毒以及木馬程序，例如瀏覽網(wǎng)站中植入了惡意病毒及其木馬程序的網(wǎng)頁(yè)，這些木馬程序（病毒）大多是利用操作系統(tǒng)的漏洞，當(dāng)用戶(hù)訪問(wèn)網(wǎng)頁(yè)時(shí)，將會(huì)主動(dòng)下載該類(lèi)木馬程序并執(zhí)行；還有就是目前比較流行的優(yōu)盤(pán)病毒，通過(guò)優(yōu)盤(pán)來(lái)進(jìn)行傳播和執(zhí)行，這種類(lèi)型的攻擊非常隱蔽，不易察覺(jué)，當(dāng)用戶(hù)連接互聯(lián)網(wǎng)時(shí)，木馬（病毒）的服務(wù)端可以對(duì)感染木馬（病毒）的客戶(hù)端進(jìn)行控制。被動(dòng)入侵主要是指由入侵者主動(dòng)發(fā)動(dòng)的攻擊，例如掃描系統(tǒng)口令，利用系統(tǒng)存在的遠(yuǎn)程溢出漏洞進(jìn)行溢出攻擊，SQL注入攻擊等。如果用戶(hù)具有一定安全意識(shí)，被成功入侵的幾率較低。

3.入侵后的保護(hù)措施。不管是個(gè)人普通電腦還是公司用電腦，保護(hù)好入侵現(xiàn)場(chǎng)是十分必要的，入侵現(xiàn)場(chǎng)作為經(jīng)濟(jì)損失評(píng)估和追蹤入侵者的重要證據(jù)。發(fā)生網(wǎng)絡(luò)入侵后，如果有安全事件應(yīng)急方案，應(yīng)當(dāng)按照應(yīng)急方案或者措施執(zhí)行。

3.1 報(bào)告上司、網(wǎng)警、公安部門(mén)或國(guó)家安全局。在計(jì)算機(jī)被入侵后，一般采用三種方式處理：一種就是徹底格式化硬盤(pán)，重新安裝操作系統(tǒng)和軟件；另外一種方法是安裝一些木馬查找軟件，查殺木馬和病毒后繼續(xù)使用，最后一種就是利用原來(lái)系統(tǒng)中的Ghost備份進(jìn)行恢復(fù)。正確的方法應(yīng)該是評(píng)估計(jì)算機(jī)中資料的價(jià)值，根據(jù)其計(jì)算機(jī)的重要情況，一旦發(fā)現(xiàn)計(jì)算機(jī)被入侵后，應(yīng)立刻將網(wǎng)絡(luò)斷開(kāi)，并報(bào)告公司安全部門(mén)或網(wǎng)警或國(guó)家安全局等處理網(wǎng)絡(luò)安全事件的部門(mén)，然后再做相應(yīng)的處理。

3.2 保留證據(jù)。在發(fā)生網(wǎng)絡(luò)入侵后，一個(gè)很重要的步驟就是保留證據(jù)，面對(duì)入侵，最可能留下證據(jù)的就是硬盤(pán)，下面給出一些可供參考的保留證據(jù)步驟：

①使用軟驅(qū)啟動(dòng)并克隆整個(gè)硬盤(pán)。在選擇克隆硬盤(pán)時(shí)通過(guò)軟盤(pán)啟動(dòng)并克隆是為了保證系統(tǒng)的時(shí)間不被更改。操作系統(tǒng)的一些文件會(huì)在啟動(dòng)計(jì)算機(jī)時(shí)進(jìn)行時(shí)間的更新，為了保證時(shí)間的準(zhǔn)確性，應(yīng)該從軟驅(qū)啟動(dòng)并通過(guò)軟盤(pán)來(lái)克隆硬盤(pán)中的系統(tǒng)盤(pán)以及其它物理盤(pán)。②將被入侵硬盤(pán)存封，保留最直接證據(jù)。③還原操作系統(tǒng)使被攻擊服務(wù)器或者個(gè)人電腦恢復(fù)正常。④修改在本機(jī)上使用的相關(guān)軟件以及操作系統(tǒng)賬號(hào)的登錄密碼。⑤如果是服務(wù)器，則需要通知網(wǎng)絡(luò)用戶(hù)更改相應(yīng)的密碼。

4.具體的安全檢查方法

4.1 檢查計(jì)算機(jī)用戶(hù)。在被入侵的計(jì)算機(jī)中，極有可能添加了新用戶(hù)或者對(duì)用戶(hù)進(jìn)行了克隆。

4.2 查看網(wǎng)絡(luò)連接情況。使用"netstat-an->netlog-1.txt"命令將目前端口開(kāi)放情況以及網(wǎng)絡(luò)連接情況生成netlog-1文本文件，便于查看網(wǎng)絡(luò)開(kāi)放的端口和連接的IP地址等，可以用來(lái)追蹤入侵者。

4.3 查看遠(yuǎn)程終端服務(wù)。Windows2000/XP/2003默認(rèn)的遠(yuǎn)程終端服務(wù)都是手動(dòng)的。

4.4Web服務(wù)器的安全檢查

①SQLServer2000等數(shù)據(jù)庫(kù)安全檢查。目前對(duì)Web服務(wù)器進(jìn)行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQLServer2000等數(shù)據(jù)庫(kù)中的臨時(shí)表，通過(guò)HDSI等軟件進(jìn)行SQL注入攻擊，在數(shù)據(jù)庫(kù)中會(huì)留下臨時(shí)表。因此可以通過(guò)數(shù)據(jù)庫(kù)的企業(yè)管理器或者查詢(xún)處理器進(jìn)行表的瀏覽，直接查看最新創(chuàng)建表的情況。

②Web日志文件檢查。如果Web服務(wù)設(shè)置日志記錄，則系統(tǒng)會(huì)在缺省的"%SystemRoot%system32Logfiles"目錄下對(duì)用戶(hù)訪問(wèn)等信息進(jìn)行記錄。日志文件能夠記錄入侵者所進(jìn)行的操作以及入侵者的IP地址等。

4.5 使用事件查看器查看安全日志等。事件查看器中有安全性、系統(tǒng)和應(yīng)用程序三類(lèi)日志文件，可以通過(guò)在運(yùn)行"eventvwr.msc"調(diào)用事件查看器。安全性日志中包含了特權(quán)使用、用戶(hù)、時(shí)間和計(jì)算機(jī)等信息，這些信息可以作為判斷入侵者入侵時(shí)間以及采用什么方式進(jìn)行登陸等信息。不過(guò)默認(rèn)情況下，日志文件記錄的選項(xiàng)較少，需要通過(guò)組策略進(jìn)行設(shè)置。

4.6 查看硬盤(pán)以及系統(tǒng)所在目錄新近產(chǎn)生的文件。如果及時(shí)發(fā)現(xiàn)入侵，則可以通過(guò)以下一些方法來(lái)查看入侵者所上傳或安裝的木馬程序文件。

①查看系統(tǒng)目錄文件，可以使用DOS命令"dir/od/a"或者資源管理器查看最新文件。DOS命令"dir/od/a"查看系統(tǒng)最新文件（包含隱藏文件）以日期進(jìn)行排序。

②查看系統(tǒng)盤(pán)下用戶(hù)所在文件的臨時(shí)目錄temp，如 "D:Documents and SettingssimeonLocal SettingsTemp"，該目錄下會(huì)保留操作的一些臨時(shí)文件。

③查看歷史文件夾，歷史文件夾中會(huì)保留一些入侵者訪問(wèn)網(wǎng)絡(luò)的一些信息，可以通過(guò)訪問(wèn)用戶(hù)所在的目錄如"D:DocumentsandSettingssimeonLocal SettingsHistory"進(jìn)行查看。

④查看回收站，回收站可能會(huì)存在入侵者刪除的一些文件記錄。通過(guò)查看文件創(chuàng)建日期和跟蹤文件所在位置來(lái)進(jìn)行入侵時(shí)間等判斷。

⑤查看recent文件夾，recent文件夾中會(huì)保留一些最近操作時(shí)的一些快捷方式。通過(guò)這些快捷方式可以了解入侵者進(jìn)行的一些操作。

4.7 使用port/mport/fport等工具檢查端口開(kāi)放情況。port/mport/fport等都是用來(lái)檢查端口開(kāi)放情況以及端口由哪些程序打開(kāi)。

4.8 檢查Rootkit。Rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪問(wèn)權(quán)限的工具，利用Rootkit技術(shù)而編寫(xiě)的木馬程序，功能強(qiáng)大，且具有較高的隱蔽性，危害非常大，目前可以通過(guò)Rootkit Revealer、Blacklight以及 Klister等 Rootkit檢測(cè)工具檢測(cè)系統(tǒng)是否存在Rootkit類(lèi)型的木馬。

結(jié)束語(yǔ)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，本文給出了一些計(jì)算機(jī)被入侵后的一些常規(guī)的安全檢查方法，通過(guò)這些安全檢查方法可以檢測(cè)入侵者留在被入侵計(jì)算機(jī)上的"痕跡"，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開(kāi)發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

[1]《網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)》.胡昌振.北京理工大學(xué)出版

[2]《網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)》.唐正軍等.電子工業(yè)出版社

[3]《計(jì)算機(jī)網(wǎng)絡(luò)安全》.劉遠(yuǎn)生.清華大學(xué)出版社