+设为首页 +添加到收藏夹
web服务是internet所提供最多,最丰富的服务,各种web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击与入侵,其中查看web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略.下面就对最流行的两类web服务器:apache与iis做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范.
对于iis,其默认记录存放在c:winntsystem32logfilesw3svc1,文件名就是当天的日期,记录格式是标准的w3c扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间.访问者ip地址.访问的方法(get or post…).请求的资源.http状态(用数字表示)等.对于其中的http状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499与500-599表明客户端与服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止. 【程序编程相关:网络营销常见问题集】
1.默认的web记录 【推荐阅读:拟定网络营销全方略】
2.收集信息 【扩展信息:多收了三五斗-域名交易版】
apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端ip.个人标示(一般为空).用户名(如果需要认证).访问方式(get or post…).http状态.传输的字节数等.
我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵.我们使用的工具是netcat1.1 for windows,web服务器ip为10.22.1.100,客户端ip为:10.22.1.80.
c:>nc -n 10.22.1.100 80
head / http/1.0 http/1.1 200 ok server: microsoft-iis/4.0 date: sun, 08 oct 2002 14:31:00 gmt content-type: text/html set-cookie: aspsessionidgqqqqqpa=ihojagjdecollgibnkmceeed; path=/ cache-control: private在iis与apache的log里显示如下:
iis: 15:08:44 10.22.1.80 head /default.asp 200
... 下一页