Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
1Activity
0 of .
Results for:
No results containing your search query
P. 1
Toxedo.Phantichlog

Toxedo.Phantichlog

Ratings: (0)|Views: 3|Likes:
Published by loicuoi

More info:

Published by: loicuoi on Oct 01, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

12/14/2013

pdf

text

original

 
Phân Tích Log (1)
Tequila (VietHacker.org Translator Group Leader)
Compose by hieupc
Trong l
 ĩ 
nh v
c computer forensics, thì d
ườ
ng nh
ư
máy tính c
a b
n là hi
n tr 
ườ
ng n
ơ
i x
y ra t
i ph
m.Nh
ư
ng không gi
ng nh
ư
phân tích v
loài ng
ườ
i, các nhà phân tích v
máy tính th
ườ
ng làm vi
c v
i 1 cáimáy tính
đ
ang làm vi
c mà có th
 
đư
a ra các d
u hi
u mà nh
ng th
khác có th
sai l
m. Ch
ươ
ng nàychúng ta s
làm vi
c v
i vi
c phân tích log, mà có th
 
đượ
c coi nh
ư
là 1 nhánh c
a forensics. M
t file logriêng r 
có th
t quan tr 
ng và chúng ta ph
i quy
ế
t
đị
nh
đư
a chúng vào các ph
n khác nhau.Nh
ng gì là ví d
cho nh
ng file log? Chúng ta có th
phân lo
i file log b
ng các thi
ế
t b
mà làm vi
c d
atrên chúng, b
i vì nh
ng thi
ế
t b
th
ườ
ng quy
ế
t
đị
nh lo
i thông tin ch
a trong các file. Ví d
, các file log c
ahost (nh
ư
Unix, Linux, Windows, VMS…) là khác nhau t
log c
a các
ng d
ng network khácnhau (víd
 nh
ư
s
n ph
m switchs, routers ho
c các thi
ế
t b
m
ng khác c
a Cisco, Nortel, Lucent…). T
ươ
ng t
nh
ư
 v
y, các log c
a các
ng d
ng an toàn thông tin (nh
ư
firewall, IDS, thi
ế
t b
ch
ng ddos, h
th
ng phòngb
…) c
ũ
ng r 
t khác nhau trên c
ph
ươ
ng di
n host và các log m
ng. Trong th
c t
ế
, các thi
ế
t b
an toànm
ng hi
n nhiên t
o nên m
t s
phân b
không th
t
ưở
ng t
ượ
ng
đượ
c nh
ng gì chúng có th
ghi l
i và
đị
nh d
ng mà chúng có th
t
o ra. S
p x
ế
p t
các
đị
a ch
ỉ 
IP
đơ
n gi
n cho t
i nh
ng giao d
ch
đầ
y
đủ
ph
ct
p trên m
ng, các thi
ế
t b
an toàn h
th
ng th
ườ
ng t
o nên m
t giá tr 
t to l
n nh
ng thông tin r 
t thú v
,c
nh
ng thông tin v
nh
ng s
vi
c h
p l
và không h
p l
. Làm th
ế
nào
để
chúng ta có th
tìm
đượ
c
đ
âulà nh
ng s
vi
c không
đượ
c cho phép. Làm th
ế
nào
để
chúng ta h
c
đượ
c v
nh
ng xâm nh
p trong quákh
và th
m chí là t
ươ
ng lai t
logs? Chúng ta hoàn toàn có th
hi v
ng vào vi
c tìm ki
ế
m trong hànggigabytes file log
để
tìm ra nh
ng ho
t
độ
ng mà không
đượ
c phép x
y ra khi mà nh
ng hacker 
đ
ã r 
t là c
nth
n không
để
l
i m
t d
ư
th
a nào? Ch
ươ
ng này s
tr 
l
i cho chúng ta t
t c
nh
ng câu h
i
đ
ó.
18.1 C
ơ
b
n c
a vi
c phân tích Log
Phân tích các log ho
c các chu
i th
ng kê là m
t ngh
thu
t c
a vi
c trích d
n
đầ
y
đủ
ý ngh
 ĩ 
a thông tin và
đư
a ra k
ế
t lu
n v
m
t tr 
ng thái an toàn t
các b
n ghi th
ng k
ế
nh
ng s
vi
c
đượ
c s
n sinh b
i máytính. Phân tích log không ph
i là 1 khoa h
c, nh
ư
ng ngày nay, vi
c tin t
ưở
ng vào k
n
ă
ng phân tích
độ
c l
pvà tr 
c quan c
ũ
ng nh
ư
tính ch
t may m
n trong vi
c phân tích log ch
t l
ượ
ng c
ũ
ng là m
t khái ni
m khoah
c.
 Đị
nh ngh
 ĩ 
a vi
c phân tích log có th
nghe r 
t khô khan, nh
ư
ng quan tr 
ng là rút ra m
t “K
ế
t lu
n có ýngh
 ĩ 
a”. Nhìn m
t cách
đơ
n gi
n vào các file log không ph
i là phân tích, b
i vì hi
ế
m có nh
ng cái gì ngoàinh
ng s
nhàm chán và d
ườ
ng nh
ư
ch
ng liên quan gì
đế
n nhau. Trong tr 
ườ
ng h
p m
t thi
ế
t b
1 ng
ườ
is
d
ng v
i r 
t ít các ho
t
độ
ng, t
t c
nh
ng b
n ghi log mà ch
ư
a
đượ
c nhìn tr 
ướ
c là r 
t it nghi ng
,nh
ư
ng trong th
c t
ế
l
i không d
dàng nh
ư
v
y.Hãy th
xem m
t phân tích log cho nh
ng telnet chung.
 Đầ
u tiên, hãy nhìn qua toàn b
log c
n ph
i phântích(gi
ng nh
ư
file log c
a m
t thi
ế
t b
xâm nh
p
đố
i v
i 1 thông báo t
n công thành công) và t
o quan h
 v
i nh
ng ngu
n thông tin khác. Vi
c t
o quan h
có ngh
 ĩ 
a là th
c hi
n nh
ng thao tác b
ng tay ho
c t
 
độ
ng
để
thi
ế
t l
p nên m
i quan h
gi
a các s
ki
n t
ưở
ng ch
ng không liên quan x
y ra trên m
ng. Các s
 ki
n x
y ra trên các thi
ế
t b
khác nhau trong các th
i
đ
i
m khác nhau có th
t
o nên nh
ng quan h
t
c th
i(xu
t hi
n trong th
i gian ng
n).
 Đ
ây có ph
i là m
t l
h
ng cho k
t
n công có th
phát hi
n
đượ
c? Cóph
i các quy t
c c
a các h
th
ng phát hi
n xâm nh
p
đư
a ra 1 d
báo sai. Có ph
i là m
t ai
đ
ó trong s
 các nhân viên c
a b
n
đ
ang th
quét các l
h
ng trong m
ng c
a b
n? Tr 
l
i cho nh
ng câu h
i t
ươ
ng t
 nh
ư
v
y là r 
t c
n thi
ế
t tr 
ướ
c khi l
p k
ế
ho
ch ph
n
ng cho các thông báo c
a IDS. Các c
g
ng k
ế
t n
i,n
m b
t các d
ch v
và nh
ng sai l
m
đ
a d
ng c
a h
th
ng th
ườ
ng yêu c
u th
c thi r 
t nhi
u nh
ng vi
ct
o m
i quan h
v
i nh
ng ngu
n thông tin khác nhau theo nhi
u m
c
để
 
đạ
t
đượ
c thông tin có ý ngh
 ĩ 
a
đầ
y
đủ
nh
t.18.2 Nh
ng ví d
v
logTrong ph
n này chúng ta s
l
t ví d
trên các file log
đ
ã
đượ
c t
ng h
p trên các h
th
ng Unix và sau
đ
ó làWindows.18.2.1 Unix
 
Vi
c ph
bi
ế
n các h
th
ng Unix th
ươ
ng m
i và mi
n phí ngày càng phát tri
n khi
ế
n cho k
n
ă
ng phân tíchUnix log c
ũ
ng là m
t
ư
u tiên phát tri
n hàng
đầ
u. Các h
th
ng Unix và Linux t
o ra m
t lo
t các thông báo(gi
ng nh
ư
các log h
th
ng), th
ườ
ng t
n t
i d
ướ
i các d
ng plain text,
đượ
c
đị
nh d
ng nh
ư
trong ví d
sau:<date / time> <host> <message source> <message>d
nh
ư
:Oct 10 23:13:02 ns1 named[767]: sysquery: findns error (NXDOMAIN) on ns2.example.edu?Oct 10 23:17:14 ns1 PAM_unix[8504]: (system-auth) session opened for user anton by (uid=0)Oct 10 22:17:33 ns1 named[780]: denied update from [10.11.12.13].62052 for "example.edu"Oct 10 23:24:40 ns1 sshd[8414]: Accepted password for anton from 10.11.12.13 port2882 ssh2Ví d
này r 
t quen thu
c cho ai qu
n tr 
h
th
ng Unix trong ít nh
t 1 ngày.
 Đị
nh d
ng này bao g
m cáctr 
ườ
ng sau:TimestampGi
h
th
ng c
a thi
ế
t b
khi ghi nh
n log (tr 
ườ
ng h
p log 1
đă
ng nh
p t
xa) ho
c c
a thi
ế
t b
t
o log(trong tr 
ườ
ng h
p t
t
o log).Hostname or IP address of the log-producing machineHostname có th
là m
t tên domain name ch
t l
ượ
ng (FQDN) ví d
nh
ư
ns1.example.edu ho
c ch
ỉ 
là tênmáy gi
ng nh
ư
là ns1 trong ví d
trên.Message sourceNgu
n có th
là m
t ph
n m
m h
th
ng (sshd ho
c là named trong ví d
trên) ho
c là 1 b
ph
n (ví v
 nh
ư
PAM_unix) mà s
n sinh ra thông báo log.Log messageThông báo log có th
có nhi
u
đị
nh d
ng khác nhau, thông th
ườ
ng bao g
m tên
ng d
ng, các bi
ế
n tìnhtr 
ng
đ
a d
ng,
đị
a ch
ỉ 
IP ngu
n, giao th
c … Th
ỉ 
nh tho
ng
đị
nh danh ti
ế
n trình c
a m
t ti
ế
n trình có th
t
ora nh
ng b
n ghi log và
đượ
c ghi vào các ch
tr 
ng.4 thông báo log sau
đ
ây
đượ
c ch
ỉ 
ra, theo th
t
:- Có v
n
đề
x
y ra
đố
i v
i DNS server th
2- M
t ng
ườ
i s
d
ng , (anton)
đ
ã
đă
ng nh
p vào thi
ế
t b
 - M
t truy c
p DNS b
c
m xu
t hi
n.- M
t ng
ườ
i s
d
ng (anton)
đ
ã
đượ
c cung c
p m
t kh
u an toàn h
th
ng
đ
ang
đă
ng nh
p t
xa t
 
đị
a ch
ỉ 
 IP 10.11.12.13.18.2.1.1Phân tích log h
th
ng UnixLog 1h
th
ng Unix
đượ
c qu
n lý b
i1 daemon syslog. Thi
ế
t b
daemon này
đầ
u tiên xu
t hi
n trong nh
ngh
th
ng BSD
đầ
u tiên. Ch
ươ
ng trình và các thành ph
n c
a h
 
đ
i
u hành có th
 
đư
a các s
ki
n vàosyslog thông qua h
th
ng các l
nh, m
t socket (/dev/log), ho
c m
t k
ế
t n
i m
ng s
d
ng UDP c
ng 514.Các logging n
i b
thì th
ườ
ng
đ
u
c th
c thi thông qua API.Gi
ng nh
ư
trong trang h
ướ
ng d
n syslogd, “logging h
th
ng
đượ
c cung c
p b
i 1 thi
ế
t b
nh
n syslogd t
 các ngu
n BSD,. Các h
tr 
cho logging kernel
đượ
c cung c
p b
i ti
n ích klogd (trên Linux), cái mà chophép logging kernel có th
 
đượ
c qu
n lý trong nh
ng m
u chu
n riêng ho
c gi
ng nh
ư
1 máy tr 
m c
asyslogd. Trong m
u chu
n riêng, klogd chuy
n các thông báo kernel ra 1 file, còn trong m
u k
ế
t h
p, nó
đẩ
y thông báo t
i 1 daemon syslogd.Các k
ế
t n
i t
xa
đ
òi h
i daemon syslog ph
i
đượ
c thi
ế
t l
p
để
l
ng nghe trên UDP c
ng 514 (c
ng chu
nc
a syslog) cho các giao ti
ế
p thông tin.
 Để
cho phép 1
đă
ng nh
p t
xa, b
n ch
y syslogd –r trong Linux.Ch
c n
ă
ng này
đượ
c m
c
đị
nh là cho phép trong Solaris và m
t vài môi tr 
ườ
ng Unix khác. Các thông báo
 
t
i các m
ng d
ướ
i d
ng plain text và không có liên quan
đế
n th
i gian nào (Nó
đượ
c
đ
ánh d
u b
i thi
ế
t b
 nh
n). Các thông báo t
i c
ũ
ng bao g
m các giá tr 
th
c t
ế
đơ
n gi
n,
đượ
c gi
i mã b
i daemon syslog.Các log nh
n
đ
u
c ho
c n
i b
 
đượ
c daemon syslog chuy
n t
i nhi
u
đ
ích khác nhau (có th
là các file,các thi
ế
t b
, các ch
ươ
ng trình,
đ
i
u khi
n h
th
ng ho
c nh
ng h
th
ng syslog khác) theo th
t
và nh
ngti
n nghi khác. Nh
ng ti
n nghi khác bao g
m auth, authpriv, cron, daemon, kern, lpr, mail, mark, news,security (c
ũ
ng gi
ng nh
ư
auth), syslog, user, uucp và local0 qua local7. H
ướ
ng d
n syslog c
ũ
ng
đồ
ng th
icung c
p danh sách theo th
t
c
a syslog (s
p x
ế
p d
a trên
độ
quan tr 
ng): debug, info, notice, warning,warn (same c
ũ
ng gi
ng nh
ư
warning), err, error (t
ươ
ng t
nh
ư
err), crit, alert, emerg, và panic (t
ươ
ng t
 nh
ư
emerg). Th
t
error, warn, and panic hi
n nay v
n
đượ
c s
d
ng cho các h
th
ng syslog theo tuânth
các th
t
.File thi
ế
t l
p syslog th
ườ
ng n
m trong /etc/syslog.conf. Gi
ng nh
ư
 
đượ
c ch
ỉ 
ra d
ướ
i
đ
ay, nó cho phép b
ncó th
thi
ế
t l
p các s
p x
ế
p thppng báp theo các file khác nhau và các c
u trúc khác nhau:*.* @log hostkern.* /dev/console*.crit anton,other,rootlocal2.* |/dev/custom_fifo*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* /var/log/maillogcron.* /var/log/cronuucp,news.crit /var/log/spooler local7.* /var/log/boot.logCác thông báo có th
 
đượ
c tr 
c ti
ế
p
đư
a
đế
n các file c
c b
(gi
ng nh
ư
/var/log/messages), g
i t
i cácthi
ế
t b
(nh
ư
a /dev/console), ho
c
đượ
c ph
bi
ế
n t
i t
t c
ho
c là ch
ỉ 
nh
ng ngu
i s
d
ng
đượ
c l
a ch
n(anton, other, root) trong các l
nh t
ươ
ng t
ho
c các l
nh wall shell.Thêm vào
đ
ó, thông
đ
i
p có th
 
đượ
cchuy
n t
i m
t remote host (nhìn
đ
o
n log host
tên) và tr 
c ti
ế
p t
i các
đườ
ng d
n
đ
ã
đượ
c
đị
nh danhho
c nh
ng FIFOs khác (trong ví d
trên là /dev/custom_fifo)
đượ
c t
o b
i l
nh mknod ho
c mkfifo. Th
mchí nh
ng thông
đ
i
p mà
đượ
c t
i t
m
ng có th
 
đượ
c chuy
n ti
ế
p t
i nh
ng thi
ế
t b
khác,
đượ
c các thi
ế
tb
syslog daemon c
u hình
để
làm nhi
m v
này (gi
ng nh
ư
syslogd –h trong Linux). Vi
c chuy
n ti
ế
p
đượ
cm
c
đị
nh là không cho phép b
i vì nó có th
gây nên s
tác ngh
n m
ng và nh
ng v
n
đề
khác (b
i vì nónhân
đ
ôi l
ư
u l
ượ
ng trên
đườ
ng truy
n).Các
đă
ng nh
p t
xa
đượ
c ghi nh
n là m
i l
i l
n cho nh
ng ng
ườ
i mà mong mu
n t
p trung t
t c
cácb
n ghi thu nh
n
đượ
c vào m
t ch
. Các th
c thi syslog t
các phiên b
n Unix khác nhau
đề
u có th
làmvi
c t
t. B
n có th
dùng l
n nhi
u box Unix trong 1 n
n t
ng syslog.M
t vài v
n
đề
v
syslog s
xu
t hi
n m
t cách hi
n nhiên trong khi làm vi
c.
 Đ
ây là 1 danh sách ng
n:1.
 Đị
nh d
ng c
a thông
đ
i
p log là mâu thu
n v
i nhau
 
ng d
ng và h
 
đ
i
u hành. M
t ph
n là th
i gian,host, ph
n còn l
i c
a thông
đ
i
p là m
t m
u t
do,
đ
i
u này có th
t
o ra r 
t nhi
u khó kh
ă
n n
ế
u t
t c
cácthông
đ
i
p khác nhau
đề
u hi
n th
.2. Vi
c l
c các thông
đ
i
p theo theo th
t
và kh
n
ă
ng không th
t hi
u qu
b
i vì nó có th
d
n
đế
n m
t s
 log file tr 
thành s
t rác c
a m
t m
h
n t
p các lo
i thông
đ
i
p. Không có cách nào
để
l
c các thông
đ
i
ptheo n
i dung c
a chúng và th
m chí vi
c
đ
i
u ch
ỉ 
nh th
t
ho
c kh
n
ă
ng c
a m
t ch
ươ
ng trình t
o logc
ũ
ng th
ườ
ng xuyên ch
ng t
nh
ng th
thách
đ
ó.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->