日志探测(tcptump,iptables)
traceroute,路由追踪
MTU:最大传输单元(使用ICMP 告诉设备设置MTU所需的值)
多模终端:可以接入到多个网络
异构网络(Heterogeneous Network)是一种类型的网络,其是由不同制造商生产的计算机,网络设备和系统组成的,大部分情况下运行在不同的协议上支持不同的功能或应用。
正确监视系统:
1.在后台运行可靠的守护进程,不能引入竞争条件并导致服务器失败
2.不占用过多磁盘空间
数据包嗅探工具tcpdump
将流量分成更小的数据块,了解哪些内容通过了网络
(1)想要获取ping:当一台计算机对服务器执行ping操作时,可以使用下列命令:
# /usr/sbin/tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo
(注意,第一个是eth0零,最后的是etho,字母o)
A机(192.168.247.130,作为客户端)pingB机(192.168.247.129,服务器端)中:
B机(服务器端)获取ping:
(2)tcpdump的ICMP数据包嗅探功能,同时拾取traceroute:(ping依赖请求和答复,如果服务器防火墙阻止某些ICMP流量,使用traceroute时会记录一个admin prohibited错误)
# /usr/sbin/tcpdump ip proto \\icmp
如下:客户端 正在探测服务器是否在线
服务器接收到来自客户端(192.168.247.130 )的探测
iptables命令
https://www.cnblogs.com/ilinuxer/p/6364064.html
->这里不知为何没有出现应该有的内容
# iptables -I INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j LOG
--log-level=1 --log-prefix "Pings Logged"
在/var/log/messages文件中可以看到ping流量交换中所包含的目标IP地址源(SRC,DST)
<-
使用traceroute或者iptables记录流量应该尽量减少日志文件大小,这样可以阻止黑客企图创建大型日志文件来造成磁盘空间问题(在攻击者使用ICMP(控制消息协议)流量淹没了某一服务器之后),并且减少噪音级别
这部分没操作
从日志中剥离无用噪音
syslog是Linux系统默认的日志守护进程。默认的主配置文件和辅助配置文件分别是/etc/syslog.conf和/etc/sysconfig/syslog文件。
当前,Red Hat 和Debian等都默认使用syslog服务器rsyslog
–log-prefix "Pings Logged "
将所有内核警告信息保存到一个新日志文件中:
打开文件/ect/rsyslog.conf,向RULES部分或靠近该部分增加:
kern.warning
/var/log/iptables.log
(涉及操作文本文件可以使用快速Shell脚本或者grep,awk,sed命令行工具实现许多不同结果)
为避免出现临时磁盘空间问题,硬件时长导致短时间记录上千万条警告,不要视图记录所有来自内核的警告信息
创建新的syslog配置文件,命名为/etc/rsyslog.d/iptables-pings-logging.conf(这个怎么创建?)
(某些情况下,startwith ,regex可以代替contains运算符)
代码
:msg, contains, “Pings”
/var/log/iptables-pings.log
& ~
第一行捕获所有包含“Ping”的条目,要求syalog将它们写入文件/var/log/iptables-pings.log
第二行告诉syslog软件忽略前一行代码所捕获的任何条目,这样不能额外增加日志内容
想要在其他地方进行记录,就省略第二行代码
上面这部分完成将相关内容保存到一个日志文件并且过滤特定的iptables事件。
记录取证分析的一切内容
(1)记录所有入站连接:
# iptables -I INPUT -m state --state NEW -j LOG
--log-prefix "Logged
Traffic: "
这种情况下/var/log/messages文件很快变得很大,奥尽快通过刷新规则,禁用日志功能
(2)对输出流量进行跟踪:
# iptables -I OUTPUT -m state --state NEW -j LOG
--log-prefix "Logged
Traffic: "
(3)记录流量,同时对服务器日志记录的流量类型进行限速:
每分钟仅仅记录下对应流量类型的5个数据包
(通常在循环开始前最初几次探测是由信息的)
# iptables -I INPUT -p icmp -m limit 5/min -j LOG --log-prefix
"Blocked ICMP Traffic: " --log-level 7
将-p icmp 改为-p tcp 或-p udp可以分别获取TCP和UDP数据包。
“Ping of Death”攻击:向一个已知的IP地址发送大量(超过65536个字节)ICMP数据包,使远程计算机崩溃
"MITM"中间人攻击。也被称为Smurf攻击,是一种放大攻击,
善于使用中间人,是攻击的原始来源无法确认。该攻击目的是使宽带饱和,导致服务拒绝。中间人发送的是伪造的数据包,即使是日志也无法追捕到它们的来源。
解决方案:
# iptables -I INPUT -p icmp -m limit --limit 30/minute --limit-burst
# iptables -I INPUT -p icmp -m limit --limit 6/minute --limit-burst
10 -j LOG
# iptables -I INPUT -p icmp -j DROP