攻擊檢測和防範方法之日誌分析

2021-12-30 05:12:51 字數 1110 閱讀 8253

1. 引言

針對linux伺服器攻擊主要包括溢位提權攻擊、埠掃瞄、後門程式植入等攻擊手段,而針對web應用程式的攻擊則覆蓋更加廣泛,包括sql注入、xss、命令執行、檔案包含、木馬上傳等漏洞。本文主要考慮如何通過日誌分析技術實現對攻擊的檢測和防範技術。

2. 常見攻擊手段

常見的作業系統攻擊和web攻擊如下:

圖1:攻擊手段分類

作業系統攻擊方法和web的攻擊防範很多,本文僅考慮上傳攻擊手段的檢測和防範技術。

環境如下:

作業系統:centosrelease 6.4 (final)

資料庫系統:mysql ver 14.14 distrib 5.1.66

中介軟體環境:apache/2.2.15(unix)

web應用程式環境:dvwa1.0.8

3. 日誌配置方法 3.1 linux作業系統日誌

日誌是linux安全結構中的乙個重要內容,是提供攻擊發生的唯一真實證據。linux中日誌包括以下幾類:登入時間日誌子系統、程序統計日誌子系統、錯誤日誌子系統等。

登入時間日誌子系統:登入時間通常會與多個陳旭的執行產生關聯,一般情況下,將對應的記錄寫到/var/log/wtmp和/var/run/utmp中。為了使用系統管理員能夠有效地跟蹤誰在合適登入過系統,一旦觸發login等程式,就會對wtmp和utmp檔案進行相應的更新。

程序統計日誌子系統:主要由系統核心實現完成記錄操作。當乙個程序終止時,系統就自動記錄該程序,往程序統計檔案或中寫乙個紀錄。程序統計的目的是為系統中的基本服務提供命令使用統計。.

錯誤日誌子系統:其主要由系統進曾syslogd(以及替換版本rsyslogd)實現操作有各個應用系統(ftp、samba等)的守護程序、系統核心來自動利用syslog向/var/log/secure中新增紀錄,用來記錄系統錯誤日誌。

審計子系統:審計子系統提供了一種記錄系統安全資訊的方法,為系統管理員在使用者違反系統安全法則時提供及時的警告資訊。在使用者空間,審計系統由auditd、ausearch等應用程式組成。審計後台auditd應用程式通過netlink機制從核心中接收審計訊息,然後,通過乙個工作執行緒將審計訊息寫入到審計日誌檔案中,其中,還有一部分訊息通過訊息分發後台程序dispatcher呼叫syslog寫入日誌系統。

表1:常見日誌總結

ARP攻擊防範方法

0001 靜態繫結閘道器mac 0002 arp防火牆 0003 vlan和交換機埠繫結 1 靜態繫結閘道器mac 方法一 手工繫結 1 確定使用者計算機所在網段 2 查出使用者網段閘道器ip 3 根據閘道器ip查出使用者網段閘道器mac 4 用命令 arp s 閘道器ip 閘道器mac靜態繫結閘道...

記憶體洩漏的防範和檢測方法

本文出自 至簡李雲 部落格,請務必保留此出處 在c c 程式設計中記憶體洩漏是乙個非常普遍和令人頭痛的問題,這一問題在嵌入式系統中更為突出。那麼如何採用一種好的方法來防範和檢測記憶體洩漏呢?常用的做法有以下幾種。1 採用 審查的方式進行控制。這種方法是最容易想到的,但是效果也是相當的有限的。當程式複...

CC攻擊的思路及防範方法

url 說了攻擊原理,大家肯定會問,那麼怎麼防禦?使用硬體防火牆我不知道如何防範,除非你完全遮蔽頁面訪問,我的方法是通過頁面的編寫實現防禦.1.使用cookie認證.這時候朋友說cc裡面也允許cookie,但是這裡的cookie是所有連線都使用的,所以啟用ip cookie認證就可以了.2.利用se...