网络监测 如何查看系统记录以及追踪入侵者
只有IP地址的查法
若某天您发现由168.95.109.222有人入侵,假设您不知道这是哪里的网络,而这个IP地址也没有Domain Name 的话,则须先将IP地址分等级,再向InterNIC查询:
1.由15.4.75.2入侵的例子:
此IP地址是15开头,为一个ClassA网络,故向InterNIC查询15.0:查出此IP地址为惠普公司所有
2.由140.111.32.53入侵的例子:
此IP地址为ClassB,需查询两次。先向InterNIC查询140.111.0:查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0:
3.由203.66.35.1入侵的例子
这是一个ClassCIP,因此必须查询至少二次,一般是三次。顺序为国际->洲际->所属国家。先查203.0:出来一大堆,怎么办?有的情况只好再追问ClassB。由于InterNIC将部份ClassC交给洲际管理机构来负责配给,因此有些ClassC的资料会在洲际管理机构,此时先向InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网络,于是向whois.apnic.net询问203.66.35.0:查了三次以后,终于查到203.66.35.0 为:
在一堆资料中查到203.66.35.1,此一IP地址为ForwardnessTechnologyCo.Ltd.所有,电话地址也一并附在上面。
由以上的查法,可以由任一主机名称或IP地址查到连线者网络单位的资料,如果您发现该网络单位下属主机对您的网络有攻击行为,请检具资料告诉对方的系统管理员(对方不一定接受)。下面是Windows95的hosts档案:当您没有DNS的时候,您可以拿这个来将DomainName<->IP地址的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的,这是windows95的开发代号,看见没?(看来Microsoft出windows95时太赶,忘了修正这些小东西), 不过各位读者要注意的是,原先的hosts档案档名是hosts.sam,您要自己将档名改成hosts才能用。
注:几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话,可以发现 Novell Netware服务器也有一个etc目录,还有hosts等档案!
- 基于Linux操作系统下的TCP/IP网络通信研究与应用(01-10)
- 巧解无线路由器不正常工作技巧(02-13)
- 排忧解难 让宽带路由更好“服务”自己 (03-05)
- 网站安全课程:DDOS攻击防御全攻略(03-11)
- TCP/IP基础(03-17)
- IP地址系列知识------IPv4地址和IPv6地址(03-17)