今天分享{黑客24小时在线接单网站}的知识,会对入侵网站服务器解释,如果解决了您的问题可以收藏本站。
如何追踪局域网入侵?
在没有接网线的情况下
运行CMD-netstat -n 会显示现在连接的地址(由于没有接网所以全是本机IP也就是内网地址)
然后接上网线,等到你发现被入侵了,不管他干什么,只要不是在强行FORMAT硬盘之类的恐怖袭击就不管他。
在CMD里再次输入 netstat -n就可以看到外网或局域网的访问IP地址
然后有了他的IP地址…………弄死!
怎么追踪入侵者IP?要追踪详细的信息
如果入侵了他没有动作你是很难查出来的,当他正在控制你的电脑时就开启监听软件,查找你的应用程序没有用到的那个IP地址。这个得具备一定的基础知识。入侵手段很多,如果别人用的是木马远控,而且还是个加壳高手,那时防火也墙也无能为力,看日志是看不出来个什么东东的,如果是木马只能看到开启了一项服务而已,不注意的人往往会认为是系统服务,然而木马却悄悄进入城堡,慢慢的将你吞噬…,入侵后做的第一件事就是毁灭证具,不能全看日志.但碰到哪个骇客勿略了这件事,日志就会全部纪录下来了,嘎嘎
如何追踪系统入侵者
只有IP地址的查法
若某天您发现由168.95.109.222有人入侵,假设您不知道这是哪里的网络,而这个IP地址也没有Domain Name 的话,则须先将IP地址分等级,再向InterNIC查询: (以下作为范例之位址均为虚构,如有雷同,纯属巧合)。
1.由15.4.75.2入侵的例子:
此IP地址是15开头,为一个ClassA网络,故向InterNIC查询15.0:查出此IP地址为惠普公司所有
2.由140.111.32.53入侵的例子:
此IP地址为ClassB,需查询两次。先向InterNIC查询140.111.0:查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0:
3.由203.66.35.1入侵的例子
这是一个ClassCIP,因此必须查询至少二次,一般是三次。顺序为国际->洲际->所属国家。先查203.0:出来一大堆,怎么办?有的情况只好再追问ClassB。由于InterNIC将部份ClassC交给洲际管理机构来负责配给,因此有些ClassC的资料会在洲际管理机构,此时先向InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网络,于是向whois.apnic.net询问203.66.35.0:查了三次以后,终于查到203.66.35.0 为:
在一堆资料中查到203.66.35.1,此一IP地址为ForwardnessTechnologyCo.Ltd.所有,电话地址也一并附在上面。
由以上的查法,可以由任一主机名称或IP地址查到连线者网络单位的资料,如果您发现该网络单位下属主机对您的网络有攻击行为,请检具资料告诉对方的系统管理员(对方不一定接受)。下面是Windows95的hosts档案:当您没有DNS的时候,您可以拿这个来将DomainName<->IP地址的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的,这是windows95的开发代号,看见没?(看来Microsoft出windows95时太赶,忘了修正这些小东西), 不过各位读者要注意的是,原先的hosts档案档名是hosts.sam,您要自己将档名改成hosts才能用。
注:几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话,可以发现 Novell Netware服务器也有一个etc目录,还有hosts等档案!
如何进行入侵追踪?
谈到入侵检测系统的响应模块,人们经常会提出一个有趣的问题,那就是入侵的追踪。攻击者为了避免身份的暴露,惯用的手法是首先攻破一个系统,然后使用网络跳转(HOP)的办法利用它作为平台来攻击另一个系统,很多情况下甚至经过多次跳转才到达真正的攻击目标。这种情况下,无论是目标系统的安全管理员,还是政府的安全部门,都希望能够追查到攻击者的真实来源,为入侵行为责任的判定提供保证。
给定一系列的主机H1,H2,…,Hn(n2),当攻击者顺序从Hi连接到Hi+1(i=1,2,…,n-1),我们称 H1,H2,…,Hn 为一个连接链(connection chain),追踪的任务就是给定Hn,要找出Hn-1,…,H1的部分或全部。追踪入侵者是一项艰巨的任务,由于目前Internet所采用的协议本身(IPv4)没有考虑到身份认证等问题,并且在实际工作中不同的网络处在不同的管理之下,要做到及时的追踪是很困难的。从技术上讲目前还没有很好的解决这个问题,但是已经有了若干研究成果。
作为一种网络安全机制,入侵追踪应该建立在网络资源的相互信任的基础上,应该具有抵抗攻击的健壮性。由于网络的特点,追踪必然是一个分布式的,需要多节点的有效协调的体系。现在的网络入侵是发生在网络上,入侵过程需要的时间可能非常短,这就要求追踪必须是高效的和准确的。并且,追踪系统应该能够以最小的代价提供一个快速的响应机制。
一般的说,目前的追踪方法可以分为两个大的种类,基于主机的和基于网络的,其中每一种又可以分为主动式的和被动式的,下表根据这种分类给出了一些追踪系统的例子:
DIDS是UC Davis开发的一种分布式入侵检测系统,这种系统提供了一种基于主机的追踪机制,凡是在DIDS监测下的主机都能够记录用户的活动,并且将记录发往一个中心计算节点进行分析,因此DIDS具有在自己监测网络下的入侵追踪能力,但是在Internet范围内大规模的部署这样的检测系统是不现实的,尤其是这套系统需要一个中心控制节点。
CIS(Caller Identification System)是另一种基于主机的追踪系统,它使用了真正的分布模型来代替DIDS的中心控制机制,每一个主机都保留了一个连接链的记录,例如当用户从n-1个节点要登录到第n个节点的时候,第n个节点要向节点n-1 询问该用户的连接链,然后向n-2,…,1节点询问连接链,只有当所有的信息都匹配的时候,用户才能登录到主机n,很显然这种追踪方式大大加重了网络和系统的负担。
Caller ID是一种很有趣的基于主机的追踪方式,据说这种方式是美国空军采用的,这种方法其实就是采用黑客手段沿着连接链对各个主机进行攻击,如果攻击者沿着H0,H1,…,Hn这样的连接链最终登录到Hn,那么H1,…,Hn-1这些主机很可能都具有某种安全漏洞,这样高级安全专家也有很大的机会可以攻击这些系统,最终回溯到H0。当然这种方式只能被军方这样拥有强大技术力量和法律授权的单位采用。
基于主机的追踪体系最大的问题是它的信任模型,它必须信任追踪系统中的每一个节点,如果其中某个节点被成功的攻击而向别的节点提供错误的信息,那么整个系统都会失效,并且可能产生戏剧性的效果。由于这种方法要求大规模的部署追踪系统,在Internet上是无法实现的。
基于网络的追踪既不要求每一个被监视节点的参与,也不基于对每个节点的信任,因此具有某些很好的特性。这种方法基于网络本身的特性,例如当数据在连接链中流动的时候,应用层的数据基本是不变的。利用这种特性thumbprint技术对应用层数据进行摘要,摘要可能采用了某种Hash算法,算法保证了这样的摘要可以唯一的区分不同的连接,并且可以根据摘要有效的进行追踪。但是当应用层数据发生微小的变动时就可能使这种方法失效。
为了克服这个缺点产生了其他一些方法,例如Time-based系统使用连接的时间特性来区分各个连接,deviation-based方法定义两次TCP连接之间最小的延迟作为“deviation”,这些方法都有其优点,但是都难以在Internet上大规模部署。上面的方法都属于被动式的追踪方法,这一类方法有一个共同的缺点就是计算复杂,不管采用其中哪种办法都涉及到大量的计算,考虑到现在网络的速度,大规模的采用其中任何一种方法都是不可能的。
目前看来,对于Internet环境来说,主动式的追踪方法具有很好的特点,它并不需要对每一个包计算,然后进行比较。这方面的研究很多都要涉及到信息隐藏技术。例如针对http协议,在返回的http报文中加入用户不易察觉,并且具有特殊标记的内容,在网络中检测这些特殊标记,还可以利用java,cookie等技术在用户机器上留下某种标记,目前主动式的追踪技术在国外已经有了一些实用化的工具,但是基本上还处于保密研究的阶段。
网站被入侵后如何解决
怎么及时地发现黑客的入侵,找到入侵者并采取有效的解决措施是非常关键的。 如何发现入侵者 系统被入侵而全无知晓恐怕是最糟糕的事情了,下面就将以UNIX系统为例告诉你如何在分析网络异常现象的基础上确定你的网络系统是否有入侵者。 异常的访问日志 入侵者在入侵并控制系统之前,往往会用扫描工具或者手动扫描的方法来探测系统,以获取更多的信息。而这种扫描行为都会被系统服务日志记录下来。比如:一个IP连续多次出现在系统的各种服务日志中,并试图越漏洞;又如一个IP连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集某个服务的版本信息。 注意!在 UNIX 操作系统中如果有人访问了系统不必要的服务或者有严重安全隐患的服务比如:finger、rpc;或者在 Telnet、FTP、POP3 等服务日志中连续出现了大量的连续性失败登录记录,则很有可能是入侵者在尝试猜测系统的密码。这些都是攻击的前兆! 网络流量增大 如果发现服务器的访问流量突然间增大了许多,这就预示着你的系统有可能已经被入侵者控制,并被入侵用来扫描和攻击其他的服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的。而这些行为都会造成网络流量突然增大。 非法访问 如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件,那么很有可能这个用户已经被入侵者控制,并且试图夺取更高的权限。 正常服务终止 比如系统的日志服务突然奇怪的停掉,或你的IDS程序突然终止,这都暗示着入侵者试图要停掉这些有威胁的服务,以避免在系统日志上留下“痕迹”。 可疑的进程或非法服务的出现 系统中任何可疑的进程都应该仔细检查,比如以root启动的http服务,或系统中本来关闭的服务又重新被启动。这些可疑进程和服务都有可能是入侵者启动的攻击进程、后门进程或Sniffer进程。 系统文件或用户 者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类的软件以方便下次进入。比如对于UNIX而言,入侵者或修改syslog.conf文件以去掉secure的条目来躲避login后门的审计,或修改hosts.deny、hosts.allow来解除tcpwrapper对入侵者IP的过滤;甚至增加一个条目在rc.d里面,以便系统启动的时候同时启动后门程序。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。
关于{黑客24小时在线接单网站}和入侵网站服务器的帮助到此结束了。