最後防線 Linux主機入侵外連行為檢測

主機入侵檢測系統系列：這一篇講述檢測外連行為的原理和技術，可統一檢測宿主機和docker子機

一台主機入侵後，入侵者往往會把資料傳送出去或啟動reverse shell。一般在idc的出口防火牆都會有檢測異常外連行為，可能由於中間有nat，並不一定知道是哪台機器過來，但即使是知道哪台機器過來的，也不知道是該台機器哪個程式發起的外連行為。

通常的操作，都是用netstat命令來獲取

[root@bogon-agent test]# netstat -anp4 active internet connections (servers and established) proto recv-q send-q local address foreign address state pid/program name tcp 0 0 127.0.0.1:42485 0.0.0.0:* listen 33041/node tcp 0 0 0.0.0.0:22 0.0.0.0:* listen 1640/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* listen 1885/master tcp 0 0 127.0.0.1:55622 127.0.0.1:42485 established 25101/sshd: buckxu@ tcp 0 0 127.0.0.1:42485 127.0.0.1:50352 established 33041/node tcp 0 0 127.0.0.1:42485 127.0.0.1:55622 established 25171/node tcp 0 0 127.0.0.1:50354 127.0.0.1:42485 established 128902/sshd: buckxu tcp 0 0 192.168.190.129:45782 192.168.190.128:1514 established 2109/ossec-agentd tcp 0 0 127.0.0.1:50352 127.0.0.1:42485 established 128902/sshd: buckxu tcp 0 0 192.168.190.129:22 192.168.190.1:62331 established 25087/sshd: buckxu tcp 0 0 127.0.0.1:42485 127.0.0.1:50354 established 128969/node tcp 0 0 127.0.0.1:42485 127.0.0.1:55620 established 33041/node tcp 0 0 192.168.190.129:22 192.168.190.1:52429 established 128898/sshd: buckxu tcp 0 0 127.0.0.1:55620 127.0.0.1:42485 established 25101/sshd: buckxu@

udp 0 0 0.0.0.0:68 0.0.0.0:* 103880/dhclient

但如果放在hids（主機入侵檢測系統）實現，就不可能呼叫命令，原因如下：

有些linux機器可能沒有安裝netstat命令

即使有netstat命令，也可能由於之前的操作，導致netstat執行時依賴的so庫缺失或符號缺失，導致無法執行這個命令

netstat命令執行有異常，變成殭屍程序

netstat命令在宿主機是沒辦法查到docker裡的外連行為

按照unix哲學，一切皆檔案，像埠和程序資訊這些內容都可以從/proc檔案系統下找到，所以hids是會/proc獲取這些資訊。

下面拿上面命令結果的2109/node來做例子展示這種手段。

最後防線 Linux主機入侵外連行為檢測

最後防線 Linux程序實時監控

守好最後防線企業電子文件加密系統綜述

補強後防線中超新軍武漢卓爾簽約兩名內援

最後防線 Linux主機入侵外連行為檢測

最後防線 Linux程序實時監控

守好最後防線 企業電子文件加密系統綜述

補強後防線 中超新軍武漢卓爾簽約兩名內援

相關推薦

守好最後防線企業電子文件加密系統綜述

補強後防線中超新軍武漢卓爾簽約兩名內援