|
|
|
|
|
|
|
|
,则可以确定攻击服务器和攻击者的位置。
管理员还可以通过监视端口使用情况的办法来进行入侵监测。常见的D.o.S工具一般都会有自己特定的通讯方式。例如trin00程序通讯时,经常会用到一些特定端口,例如UDP 31335、UDP 27444、TCP 27665等。本地机中这些端口处于监听状态,则系统很可能已经受到了侵袭。即使黑客已经对端口的位置进行了一定的修改,但如果外部的主机主动向网络内部的高标号端口发起连接请求,则系统很有可能已经受到侵入。这种过程可以通过对防火墙进行设置来加以监测和过滤。 另外,攻击时使用的数据包一般会有一些特征。例如,超长或畸形的ICMP或UDP包等。一般来说,这种包往往是用来进行拒绝服务攻击时才会产生。另外,如果发现数据包本身比较正常,但其中的数据比较特异,例如存在某种加密特性时,很可能是攻击控制器向攻击器所发布的攻击命令。
最后,可通过一些统计的方法来得到攻击来源。例如,在攻击之前,目标网络的域名服务器往往会接到远远超出正常数量的反向和正向的地址查询。这些查询往往意味着攻击的到来。还可以通过数据流量来判断。比如,在攻击时,攻击数据的来源地页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
