Linux入侵痕跡檢測方案華為雲技術分享

掃瞄是一切入侵的基礎，通過掃瞄來發現目標主機是否為活動主機、作業系統是什麼版本、開放了哪些服務等。掃瞄技術紛繁複雜，新的掃瞄技術也層出不窮，不可能窮舉所有掃瞄技術，下面按入侵步驟對主機掃瞄、埠掃瞄和服務掃瞄技術做乙個簡要分類與概述。

活動主機掃瞄可分為兩類：1）icmp echo掃瞄與broadcast icmp掃瞄；埠掃瞄也分為兩類：1）開放掃瞄，這類掃瞄會產生大量的審計資料，容易被對方發現，但其可靠性高（例如tcp connect掃瞄）；2）秘密掃瞄，這類掃瞄能有效的避免對方入侵檢測系統和防火牆的檢測，但這種掃瞄使用的資料報在通過網路時容易被丟棄從而產生錯誤的探測資訊（例如syn、fin、ack、null等掃瞄）；最後一類為針對特定服務掃瞄，指對特定系統（os型號與版本）的特定服務（網路服務與服務版本）的特定漏洞進行掃瞄，現有掃瞄軟體一般都會以外掛程式形式來增加對特定漏洞掃瞄支援，一旦掃瞄確認漏洞存在後可直接利用。例如針對web伺服器的掃瞄，或針對ftp伺服器掃瞄。

不同的掃瞄技術與掃瞄方式，有不同的檢測方法。但檢測的總體思路是一致的，即利用iptables的配置策略來記錄日誌（具體配置策略請參考檢測思路中不同場景的配置），再通過對日誌的分析查詢來檢測可疑的掃瞄並發出報警。下面檢測方案中，針對不同的掃瞄技術與掃瞄方式，利用不同的檢測方案進行檢查。

使用icmp echo或broadcast icmp進行活動主機探測，會被配置了iptables的系統記錄在日誌中

針對broadcast icmp包：

在配置了iptable的系統中，配置如下的日誌記錄策略：

iptables -a input -p icmp --icmp-type echo-request -j log

查詢協議型別為icmp echo request的廣播包，若發現此型別包的記錄，發出報警。

針對icmp echo包：

思路1：

若能確定許可的ip位址範圍，用白名單來發現可疑行為並報警；

思路2：

若不能確定ip位址白名單，查詢非工作時段（例如深夜）記錄，若找到發出相應的可疑行為報警。

使用tcp三步握手來探測是否開放相應的埠與服務

思路1：

首先維護作業系統與業務系統正常執行所需要開放的埠的白名單，並配置相應的iptables日誌記錄策略：

iptables -a input -p tcp -m state --state new，established -j log

在記錄的日誌中查詢，若日誌中記錄的埠不在白名單中，發出報警。

思路2：

用統計方法檢測，分別針對低速掃瞄（1小時—2天發乙個包）和常規掃瞄（1分鐘—1小時會發n個包）有兩種設定統計檢測的方法。第一種針對常規掃瞄，若發現一段時間內（建議值為5分鐘，可選範圍為1—60分鐘），來自同一ip位址對不同目標埠的記錄超過一定計數閾值（建議值為3，建議範圍為》3的值），則報警，以5分鐘為步進值持續對日誌進行統計查詢；第二種針對低速掃瞄，若一段時間內（建議值為6小時，可選範圍1小時—2天），來自同一ip位址對不同目標埠的記錄超過一定計數閾值（建議值為3，建議範圍為》3的值），則報警，

注：時間閾值和計數閾值的具體值還應根據實際情況設定

利用get請求web伺服器發現伺服器版本、漏洞等資訊，進一步利用這些漏洞入侵對linux的web服務apache，這種掃瞄會在web伺服器日誌access.log中記錄，特點明顯。即同乙個ip持續10分鐘每秒產生10多個get請求，很明顯的web掃瞄痕跡。可以用時間閾值（建議值為5分鐘，建議範圍建議範圍為1—1440分鐘）與計數閾值（建議值為10，建議範圍為》3的值）來過濾該ip的請求日誌，分析攻擊者是否入侵。另外，對於sql注入、xss注入、命令注入和路徑遍歷掃瞄可根據日誌中的關鍵字識別潛在的web掃瞄與攻擊痕跡。

注：時間閾值和計數閾值的具體值還應根據實際情況設定，且可變更

周杰倫新歌《說好不哭》上線，程式設計師哭了......【華為雲分享】

了解 mongodb 看這一篇就夠了【華為雲分享】

高頻linux命令小結（新手向）

linux系統通過ftp進行文件基本操作【華為雲分享】

100 個網路基礎知識普及，看完成半個網路高手

如果讓你手寫個棧和佇列，你還會寫嗎？

python面試的一些心得，與python練習題分享

Linux入侵痕跡檢測方案華為雲技術分享

Linux 入侵痕跡清理技巧

linux中如何清除入侵痕跡？

Linux系統入侵痕跡分析取證

Linux入侵痕跡檢測方案 華為雲技術分享

Linux 入侵痕跡清理技巧

linux中如何清除入侵痕跡？

Linux系統入侵痕跡分析取證

相關推薦

Linux入侵痕跡檢測方案華為雲技術分享