「只要你把绝不可能的假设全部排除,剩下的假设再怎么令人惊讶,都是真相。」
虽然这句话出自『四个人的签名』,说的人就是科南道尔笔下的神探福尔摩斯(够老了吧),可是用在现今的网络时代安全问题,可说再贴切不过。接下来我们用三个专栏,来告诉各位怎么用比较非正统的方法,来侦测网络攻击事件。我们会用网络骇客的手法和工具来攻击一般的网页服务器,然后告诉各位怎样利用服务器本身的记录文件功能侦测攻击行为。只要把不相干的资料排除,我们就可以告诉你如何利用剩下的线索找出真相。
「记录」是网络安全的基础。记录正确的资料、监控记录文件都是不可或缺的工作。主机的记录文件很重要,SSL网页服务器的记录文件更重要,因为网络监控对这种网页服务器来说一点用都没有。不幸的是检查记录文件实在是平淡无奇(实在不好意思说无聊)而且引人反感的工作。这是极少人认真检查记录文件的原因,其实问题还不止这个。许多管理者根本就不知道有用的记录文件存在哪里。更何况大部分的管理者完全不晓得要在浩如江海的记录文件中找什么。我们在这一系列的报导中就是要在浑沌不明的荒野中点一盏明灯,指引各位如何分析一般网页服务器的安全记录文件。
在这篇报导中,我们先要在两种常见的网页服务器中找到最重要的记录文件,然后加以分析。第一要先攻击这些服务器,然后再看看攻击行动留下什么记录。下一篇报导中我们要披露骇客用哪些贱招躲过侦测。最后我们会补充一些技巧,让记录的功能更强大,检查记录文件的工作更有效率。
