问:大约在上个月,我遇到了一次常规的内核入侵攻击,而且很明显的是这次攻击来自世界各地许多不同的IP。现在,我正从路由器防火墙安全日志中获取相关的信息。在这些攻击中,偶尔也有扫描和登陆攻击。经过调查,ISP建议我将此事报告给警察机关负责电子犯罪的部门,我已经这样做了。不过,我认为他们也无能为力。
虽然ISP的确将我的动态IP改为一个静态IP了,但这些攻击仍在继续。我把LAN组件上运行的反病毒和反间谍软件彻底检查了一遍,都没有找到有关攻击的记录。我的电脑开启了ESET杀毒软件,我还有一台本地服务器,但我在变更IP地址时该服务器并没有联网。这些攻击究竟是怎样发生的?请问你有什么建议来解决此问题吗?
答:只检查了路由器防火墙日志记录,为什么你就认为出了问题呢?从这些攻击中,你发现系统存在什么问题?听起来好像日志中的大多数记录都是有关阻断攻击的通知。你一直没有得到警察部门的任何回应,原因可能是因为你并没有拿出任何受到伤害、损失或实际入侵的证据。如果攻击者针对的不是你或你的IP地址,不管是用动态IP还是静态IP都不会阻止这类内核入侵攻击。
最可能的攻击目标是大量的IP或网络,所以改变你的IP并不会让攻击者停止扫描,他们最终会扫描到你的新IP。
如果你仍然认为你的系统是攻击目标,或者具备内核入侵攻击的其它证据,下一步就应该更深入地分析网络流量。如果你不想使用当前的反恶意软件,或者在安全模式下扫描系统,那么你可以监测意外的网络流量,从而帮助你判断系统是否存在阻止反恶意软件发挥作用的恶意软件。
请确保你有适当的权限来监测自己的网络。有许多开源工具可以用于网络监控,只需在一台未使用的计算机上运行装有启动程序的Live CD即可。你可能想要对网络进行连续几天的监视,以便获得较好的流量分析样本,可是捕获的流量越多,分析数据所花费的精力就越多。在某台电脑不用时,请监测是否有网络流量产生。从中很可能会发现一些流向微软的流量、反恶意软件供应商进行更新的流量,或给新的反恶意软件进行定义的流量,或其它类似的正当后台操作。在刚开始的时候,你可能想在短时间内获得一定的网络流量,然后再慢慢加大监控力度。你需要为进行监测的计算机做个镜像,或者获得流量的复本,以便对流量进行分析,并判断自己的网络上是否在传输可疑的数据。
【编辑推荐】