网络监测 如何查看系统记录以及追踪入侵者

记录到哪边去?

　　一般的syslogd都提供下列的管道以供您记录系统发生的什么事：

　　1.一般档案

　　这是最普遍的方式。你可以指定好档案路径与档案名称，但是必须以目录符号「/」开始，系统才会知道这是 一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ，系统会自动产生一个。

　　2.指定的终端机或其他设备

　　你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机，则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统纪录写到印表机，则你会有一长条印满系统纪录的纸(例如/dev/lp0)。

　　3.指定的使用者

　　你也可以在这边列出一串使用者名称，则这些使用者如果正好上线的话，就会在他的终端机上看到系统讯息( 例如root，注意写的时候在使用者名称前面不要再加上其他的字)。

　　4.指定的远端主机

　　这种写法不将系统讯息记录在连接本地机器上，而记录在其他主机上。有些情况系统碰到的是硬碟错误，或是万一有人把主机推倒，硬碟摔坏了，那你要到哪边去拿系统纪录来看呢?而网络卡只要你不把它折断，应该是比硬碟机耐摔得多了。因此，如果你觉得某些情况下可能纪录没办法存进硬碟里，你可以把系统纪录丢到其他的主机上。如果你要这样做，你可以写下主机名称，然后在主机名称前面加上「@」符号(例如@ccunix1.variox.int，但被你指定的主机上必须要有syslogd)。

　　在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到， 有些情况可能是很紧急的， 没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it’s already too late...」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删除掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里面写：*.*/var/log/everything要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：

　　1.定期检查纪录

　　养成每周(或是更短的时间，如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份，可以 cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等，将过期的纪录档依照流水号或是日期存起来，未来考察时也比较容易。

　　2.只记录有用的东西

　　千万不要像前面的例子一样,记录下*.*。然后放在一个档案中。这样的结果会导致档案太大，要找资料时根本无法马上找出来。有人在记录网络通讯时，连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁，没事就有人喜欢尝试进入你的系统，否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低硬盘使用量(当然也节省你的时间)。

　　地理位置的追踪

　　如何查出入侵者的地理位置?光看IP地址可能看不出来，但是你常看的话，会发现也会发现规律的。在固接式的网络环境中，入侵者一定和网络提供单位有着密切的关系。因为假设是局域网络，那么距离绝对不出几公里。就算是拨接好了，也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此，只要查出线的单位，入侵者必然离连线单位不远。

　　拨接式的网络就比较令人头疼了。有许多ISP为了吸引客户,弄了很多什么网络卡。

　　User这边只要买了固定的小时数,不需须另外向ISP那边提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。也就是说,虽然以网络卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网络管理员的恶梦。如果入侵你的人是使用网络卡来上网，那……，要从拨号的地点查吗?入侵者可以不要用自己家里的电话上网。管它是偷是抢，或是盗打王八机，反正查到的发话来源绝不是入侵者自己的电话。

来话者ID侦测(Caller ID)

　　各位读者家中有ISDN吗?如果你用过ISDN的Caller ID功能,会发现真是方便极了，对方的号码马上就显示出来给你看。看到女朋友打电话来，马上就接了起来;而杂志社的打来催稿,就打开电话答录机假装不在家…… :-P.但是Caller ID依然有失效的时候。有以下测试,是看CallerID可以显示出哪些号码的(受测机种为Zyxel,终端机使用Windows NT的Hyper Terminal)：要显示来话方号码的前提是，对必须是透过数位交换机打到你这边，有些地区目前仍然使用机械式交换机，如果你打电话的交换路径中，有经过这些机械式的交换机，那么依然无法显示出号码来。其他电话还没有做测试。

　　如何靠IP地址或Domain Name找出入侵者位置?

　　虽然电话不一定查得出来，但是至少你会知道他的IP地址。IP地址的使用必须向InterNIC登记，而Domain Name要向当地直属的网络管理中心登记。在Internet上的网路管理中心共有三个层级(单位性质一定为NET)：

　　1.国际等级

　　国际等级只有InterNIC一个，全球各国的NIC以及洲际NIC均由其管理。

　　2.洲际等级

　　InterNIC并不直接管理整个Internet，其下的网络资源会再做分区。例如台湾、日本、香港等亚太地区国家 ，由亚太洲际网络管理中心(Asian-PacificNIC,APNIC，位于日本)来管理，并不直接由InterNIC管理 。

　　3.国家等级

　　Domain Name后面不挂国码的不是由InterNIC管理就是由洲际的NIC管理,但是有挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如中国的国码为CN，则中国网络管理中心为CNNIC，但由于InterNIC位于美国，因此美国的DomainName由InterNIC直辖。有一个特别的例外是挂.mil的美国军方网络的资料是由ddn.mil(美国军事防卫网络)来管理,不由InterNIC管理，当您得到某个Domain Name或是IP地址后，可以使用whois来查出资料，语法如下：

　　whois -h<查询对象>

　　例如向whois.internic.net查询hp.com，需输入：

　　whois -h whois.internic.nethp.com whois

　　也可能使用下列语法：

　　whois <查询对象>@

　　例如向whois.twnic.net查询ntu.edu.tw需输入：

　　whois ntu.edu.tw@whois.twnic.net

　　目前在Slackware Linux附上的为后者。

　　Domain Name命名的三种情况

　　虽然同样是 Domain Name，可能你会遇到三种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理( 如育部)，而属性也不一定是三个字母，甚至没有属性。在判断单位性质时读者宜多加注意，以免找不到资料。

　　1.标准国码+三码属性码(或没有国码，仅有属性码)

　　普遍使用于欧洲，美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw，美国的*.com、*.edu。

　　2.标准国码+二码属性码

　　以日本例，公司属性为co，社团属性为or，和三码定义的com、org略有不同。如日本万代公司之Homepage 为www.bandai.co.jp，如果读者要使用公司名称拼凑出完整主机名称时，需注意日本为仅有两码属性码之地区，否则若猜测其为www.bandai.com.jp就会发生错误(注：在国际通信范例中，无论是无线电通信、国际越洋电 话、乃至于网际网络等,均将台湾与中国大陆划分为两个不同国家。在此将中国大陆与台湾区分,除突显此一 特性外，并无其他涵义，请大家勿需自行揣测其他意义)。

　　3.仅有标准国码，未有任何属性码

　　如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码后面直接接上单位名称。

　　由Domain Name查出连线单位资料

　　在Internet上惯例由whois服务来查询连线单位的登记资料，whois本来应该是用来查某人的电话或是其他资料的，但是在NIC方面是用来查出连线单位的电话以及住址，技术联络人等。符合该NIC管理权限的单位资料会存放于该单位的whois主机中，惯例是whois+NIC名称+net。例如亚太地区网络管理中心whois server为whois.apnic.net,台湾网络中心whois server为whois.twnic.net,我过网络中心whois server是whois.cnnic.net。当你知道某台主机的Domain Name以后，可以依照下面顺序查出连线单位的电话住址等资料。

　　第一步，先看有没有国码。

　　没有国码的，向whois.internic.net问;有国码的,向whois.国码nic.net问

　　(ex.whois.twnic.net)。

　　另外,如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网络来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查出美国陆军的资料：但FBI等调查机构属政府单位，非军事单位，查询时需注意：由DomainName查出资料，如您能从nslookup查出某一IP地址之FQDN，则可以直接向当地NIC查出入侵者网络之资料：

　　1.由美国入侵的例子：

　　由 xxx.aol.com入侵由主机名称发现未有国码， 因此直接向InterNIC查询。由此我们可以查到America Online的技术负责人以及电话、传真等资料，把你的系统纪录档准备好，发封传真去告洋状吧!

　　2.由台湾入侵的例子：

　　由HopeNet入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了，故请改由dbms.seed.net.tw查出hope.com.tw之中文名称，再打104询问该公司的电话!现在如果直接由whois.twnic.net 查询会这样：