通過網絡監控檢測內核入侵攻擊
問:大約在上個月,我遇到了一次常規的內核入侵攻擊,而且很明顯的是這次攻擊來自世界各地許多不同的IP。現在,我正從路由器防火墻安全日志中獲取相關的信息。在這些攻擊中,偶爾也有掃描和登陸攻擊。經過調查,ISP建議我將此事報告給警察機關負責電子犯罪的部門,我已經這樣做了。不過,我認為他們也無能為力。
雖然ISP的確將我的動態IP改為一個靜態IP了,但這些攻擊仍在繼續。我把LAN組件上運行的反病毒和反間諜軟件徹底檢查了一遍,都沒有找到有關攻擊的記錄。我的電腦開啟了ESET殺毒軟件,我還有一臺本地服務器,但我在變更IP地址時該服務器并沒有聯網。這些攻擊究竟是怎樣發生的?請問你有什么建議來解決此問題嗎?
答:只檢查了路由器防火墻日志記錄,為什么你就認為出了問題呢?從這些攻擊中,你發現系統存在什么問題?聽起來好像日志中的大多數記錄都是有關阻斷攻擊的通知。你一直沒有得到警察部門的任何回應,原因可能是因為你并沒有拿出任何受到傷害、損失或實際入侵的證據。如果攻擊者針對的不是你或你的IP地址,不管是用動態IP還是靜態IP都不會阻止這類內核入侵攻擊。
最可能的攻擊目標是大量的IP或網絡,所以改變你的IP并不會讓攻擊者停止掃描,他們最終會掃描到你的新IP。
如果你仍然認為你的系統是攻擊目標,或者具備內核入侵攻擊的其它證據,下一步就應該更深入地分析網絡流量。如果你不想使用當前的反惡意軟件,或者在安全模式下掃描系統,那么你可以監測意外的網絡流量,從而幫助你判斷系統是否存在阻止反惡意軟件發揮作用的惡意軟件。
請確保你有適當的權限來監測自己的網絡。有許多開源工具可以用于網絡監控,只需在一臺未使用的計算機上運行裝有啟動程序的Live CD即可。你可能想要對網絡進行連續幾天的監視,以便獲得較好的流量分析樣本,可是捕獲的流量越多,分析數據所花費的精力就越多。在某臺電腦不用時,請監測是否有網絡流量產生。從中很可能會發現一些流向微軟的流量、反惡意軟件供應商進行更新的流量,或給新的反惡意軟件進行定義的流量,或其它類似的正當后臺操作。在剛開始的時候,你可能想在短時間內獲得一定的網絡流量,然后再慢慢加大監控力度。你需要為進行監測的計算機做個鏡像,或者獲得流量的復本,以便對流量進行分析,并判斷自己的網絡上是否在傳輸可疑的數據。
【編輯推薦】
