通过网络监控检测内核入侵攻击

安全
本文中专家介绍了通过网络流量监控来检测内核入侵攻击的方法。

问:大约在上个月,我遇到了一次常规的内核入侵攻击,而且很明显的是这次攻击来自世界各地许多不同的IP。现在,我正从路由器防火墙安全日志中获取相关的信息。在这些攻击中,偶尔也有扫描和登陆攻击。经过调查,ISP建议我将此事报告给警察机关负责电子犯罪的部门,我已经这样做了。不过,我认为他们也无能为力。

虽然ISP的确将我的动态IP改为一个静态IP了,但这些攻击仍在继续。我把LAN组件上运行的反病毒和反间谍软件彻底检查了一遍,都没有找到有关攻击的记录。我的电脑开启了ESET杀毒软件,我还有一台本地服务器,但我在变更IP地址时该服务器并没有联网。这些攻击究竟是怎样发生的?请问你有什么建议来解决此问题吗?

答:只检查了路由器防火墙日志记录,为什么你就认为出了问题呢?从这些攻击中,你发现系统存在什么问题?听起来好像日志中的大多数记录都是有关阻断攻击的通知。你一直没有得到警察部门的任何回应,原因可能是因为你并没有拿出任何受到伤害、损失或实际入侵的证据。如果攻击者针对的不是你或你的IP地址,不管是用动态IP还是静态IP都不会阻止这类内核入侵攻击。

最可能的攻击目标是大量的IP或网络,所以改变你的IP并不会让攻击者停止扫描,他们最终会扫描到你的新IP。

如果你仍然认为你的系统是攻击目标,或者具备内核入侵攻击的其它证据,下一步就应该更深入地分析网络流量。如果你不想使用当前的反恶意软件,或者在安全模式下扫描系统,那么你可以监测意外的网络流量,从而帮助你判断系统是否存在阻止反恶意软件发挥作用的恶意软件。

请确保你有适当的权限来监测自己的网络。有许多开源工具可以用于网络监控,只需在一台未使用的计算机上运行装有启动程序的Live CD即可。你可能想要对网络进行连续几天的监视,以便获得较好的流量分析样本,可是捕获的流量越多,分析数据所花费的精力就越多。在某台电脑不用时,请监测是否有网络流量产生。从中很可能会发现一些流向微软的流量、反恶意软件供应商进行更新的流量,或给新的反恶意软件进行定义的流量,或其它类似的正当后台操作。在刚开始的时候,你可能想在短时间内获得一定的网络流量,然后再慢慢加大监控力度。你需要为进行监测的计算机做个镜像,或者获得流量的复本,以便对流量进行分析,并判断自己的网络上是否在传输可疑的数据。

【编辑推荐】

  1. 正确区分主机及网络入侵检测系统
  2. 关于Linux内核安全入侵侦察系统的使用问题
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2010-07-23 09:19:04

Linux内核

2013-12-27 10:37:01

2021-09-28 07:12:09

Linux内核入口

2022-12-23 14:05:41

2013-07-18 14:11:20

2024-11-25 15:46:01

2010-08-26 10:41:07

2020-03-25 09:45:23

DDoS攻击僵尸网络零日漏洞

2010-08-26 10:47:05

2010-11-22 08:39:12

2010-08-26 10:36:44

2021-01-31 09:52:49

SSH监控网络攻击

2009-10-21 14:44:11

2020-09-04 06:36:58

人工智能安全检测器

2020-08-27 14:17:38

人工智能入侵安全

2010-09-25 14:50:34

2009-02-10 09:28:37

2011-10-28 16:03:06

2010-08-26 09:12:01

2010-08-26 09:40:00

点赞
收藏

51CTO技术栈公众号