检测系统 发现黑客 踪迹 [复制链接]

没有入侵检测系统如何发现黑客入侵踪迹？

下面介绍在没有入侵检测系统的时候如何发现黑客入侵。黑客入侵的特征信息一般来自以下四个方面，如果黑客入侵了系统，可以在以下的四个方面找到入侵的踪迹。
　　    黑客入侵的手段有多种，而计算机被入侵之后相应的症状特征也是不同的。黑客入侵大致有两种目的，一种是以窃取资料情报及他人的隐私为目的，这类攻击对于被入侵的计算机系统的影响并没有明显的特征，往往要经过一段时间以后才可能被人发觉。另外一类攻击是以破坏计算机系统的功能为目的，被入侵的计算机系统往往会出现莫名其妙的故障，这类攻击的特征是比较明显的。
　　1. 系统和网络日志文件
　　黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵过系统。通过查看日志文件，就能够发现成功的入侵或入侵企图。
　　日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志就包含了登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。所谓不正常的或不期望的行为就是指重复登录失败、登录到不期望的位置以及非授权的访问企图等等。日志文件也是黑客入侵留下信息最多的地方，因此要经常检查自己的日志文件，及时发现可疑的行为记录。
　　2. 目录和文件中的不正常的改变
　　网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据的文件经常是黑客修破坏的目标。如果目录和文件中发生了不期望的改变(包括修改、创建和改或删除)，特别是那些正常情况下限制访问的，那么很可能就是一种入侵产生的指示和信号。
　　黑客经常替换、访问权的系统文件，同时为了隐藏在系统中活动痕迹，都会尽力去替换系统程序或修改系统日志文件。这就要求我们要熟悉自己的文件系统，注意检查系统目录文件或者重要数据目录文件的变动情况。最好自己能有相关的记录，这样如果有什么改动发生，就可以据此来推断系统有没有被入侵过。
　　3. 程序执行中的不期望行为
　　网络系统上运行的程序一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器等。每个在系统上执行的程序一般由一到多个进程来实现，每个进程运行在具有不同权限的环境中，这种一个进程的执行行为由它运行时执行的操作来表现，操作的方式不同，所利用的系统资源也就不同。操作包括数据计算、文件传输及网络间的通讯等等。
　　当一个进程出现了不期望的行为就可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败，或者是使之违背用户或管理员意图运行。有时候系统变得不稳定或莫名其妙地死机，或者处理速度降低等等。只要我们能够留心是很容易发现这类疑点的。当然了，有很多其他因素会导致这种现象，所以具体问题要具体分析。
　　4. 物理形式的入侵信息
　　这包括两个方面的内容，一是未授权的网络硬件连接;二是对物理资源的未授权访问。
　　通常情况下，黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。这些设备或者软件就成为黑客入侵的后门，黑客可以从这里随意进出网络。
　　这种入侵一般可以找到可疑的网络设备连接，另外，黑客也有可能利用网络设备的电磁泄漏来窃取信息或者入侵系统，这种设备就可能不是和系统设备直接地物理连接了。
　　另外，黑客还可以寻找网上由用户加上去的“不安全”设备，然后利用这些设备访问网络。例如，用户在家里可能安装 Modem 以便于远程访问办公室的计算机，而这时如果黑客正利用自动识别工具来查找连接到电话线上的 Modem。恰巧此时有一个拨号访问的数据通过自动识别工具，那么黑客就可以找到这个Modem，进而可利用这个后门来访问办公室所在内部网，这样就越过了办公室内部网络的防火墙。接下来黑客就这种可以进行捕获网络数据流、偷取信息、攻击系统等活动了。这种入侵的起因突破点在于网络设备的非正常的使用，对于以上介绍的远程攻击实例，我们可以在自己的电话清单中查找到可疑的连接。

文明评语,请勿灌水,请勿发广告,禁止纯表情,纯数字,纯字母回复

哇~~~这么多~~复制出来以后再看吧~~~

看看学习中。。