網(wǎng)絡(luò)入侵追蹤與本地入侵追蹤同樣是旨在找出黑客入侵者的網(wǎng)絡(luò)防護(hù)技術(shù)，根據(jù)不同的條件與環(huán)境采取不同的追蹤技術(shù)能夠更好的協(xié)助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)入侵者。本篇文章就將主要介紹網(wǎng)絡(luò)入侵追蹤方法。

如果象是Internet上有數(shù)千萬的主機(jī),本就不可能實(shí)施資料廣播(至于IP Multicast算是一種限定式廣播Restricted Broadcast,唯有被指定的機(jī)器會(huì)收到, Internet上其他電腦還是不會(huì)收到)。假設(shè)Internet上可以實(shí)施非限定廣播，那隨便一個(gè)人發(fā)出廣播訊息，全世界的電腦皆受其影響，豈不世界大亂?

因此,任何區(qū)域網(wǎng)路內(nèi)的路由器或是類似網(wǎng)路設(shè)備都不會(huì)將自己區(qū)域網(wǎng)路內(nèi)的廣播訊息轉(zhuǎn)送出去。萬一在WAN Port收到廣播訊息，也不會(huì)轉(zhuǎn)進(jìn)自己的LAN Port中。而既然網(wǎng)路皆有發(fā)信站與收信站，用以標(biāo)示信息發(fā)送者與信息接收者，除非對(duì)方使用一些特殊的封包封裝方式或是使用防火墻對(duì)外連線，那么只要有人和你的主機(jī)進(jìn)行通訊(寄信或是telnet、ftp過來都算) 你就應(yīng)該會(huì)知道對(duì)方的位址，如果對(duì)方用了防火墻來和你通訊，你最少也能夠知道防火墻的位置。也正因?yàn)橹灰�有人和你連線，你就能知道對(duì)方的位址，那么要不要知道對(duì)方位置只是要做不做的問題而已。如果對(duì)方是透過一臺(tái)UNIX主機(jī)和你連線，則你更可以透過ident查到是誰和你連線的。在實(shí)行TCP/IP通訊協(xié)定的電腦上,通�？梢杂胣etstat指令來看到目前連線的狀況。(各位朋友可以在win95、Novell以及UNIX試試看(注一)，在下面的連線狀況中，netstat指令是在win95上實(shí)行的，以看到目前自己機(jī)器(Local Address處)的telnetport有一臺(tái)主機(jī)workstation.variox.int 由遠(yuǎn)端(Foreign Address處)連線進(jìn)來并且配到1029號(hào)tcp port.而cc unix1主機(jī)也以ftpport連到workstation.variox.int去。所有的連線狀況看得一清二楚。(如A、B)

A.在UNIX主機(jī)(ccunix1.variox.int)看netstat

B.另一端在Windows95(workstation.variox.int)看netstat,

當(dāng)然，如果你想要把網(wǎng)路連線紀(jì)錄給記錄下來，你可以用cron table定時(shí)去跑：

netstat>>filename，但是UNIX系統(tǒng)早已考慮到這一個(gè)需求，因此在系統(tǒng)中有一個(gè)專職記錄系統(tǒng)事件的Daemon:syslogd，應(yīng)該有很多朋友都知道在UNIX系統(tǒng)的/var/adm下面有兩個(gè)系統(tǒng)紀(jì)錄檔案：syslog與messages，一個(gè)是一般系統(tǒng)的紀(jì)錄，一個(gè)是核心的紀(jì)錄。但是這兩個(gè)檔案是從哪邊來的，又要如何設(shè)定呢?

系統(tǒng)的紀(jì)錄基本上都是由syslogd (System Kernel LogDaemon)來產(chǎn)生，而syslogd的控制是由/etc/syslog.conf來做的。syslog.conf以兩個(gè)欄位來決定要記錄哪些東西，以及記錄到哪邊去。一個(gè)最標(biāo)準(zhǔn)的syslog.conf，第一欄寫「在什么情況下」以及「什么程度」。然后用TAB鍵跳下一欄繼續(xù)寫「符合條件以后要做什么」。這個(gè)syslog.conf檔案的作者很誠實(shí)，告訴你只能用TAB來作各欄位之間的分隔(雖然看來好像他也不知道為什么)。第一欄包含了何種情況與程度，中間小數(shù)點(diǎn)分隔。另外，星號(hào)就代表了某一細(xì)項(xiàng)中的所有選項(xiàng)。詳細(xì)的設(shè)定方式如下：

1.在什么情況：各種不同的情況以下面的字串來決定。

auth 關(guān)于系統(tǒng)安全與使用者認(rèn)證方面

cron 關(guān)于系統(tǒng)自動(dòng)排程執(zhí)行(CronTable)方面

daemon 關(guān)于背景執(zhí)行程式方面

kern 關(guān)于系統(tǒng)核心方面

lpr 關(guān)于印表機(jī)方面

mail 關(guān)于電子郵件方面

news 關(guān)于新聞?dòng)懻搮^(qū)方面

syslog 關(guān)于系統(tǒng)紀(jì)錄本身方面

user 關(guān)于使用者方面

uucp 關(guān)于UNIX互拷(UUCP)方面

上面是大部份的UNIX系統(tǒng)都會(huì)有的情況，而有些UNIX系統(tǒng)可能會(huì)再分出不同的項(xiàng)目出來。

2.什么程度的網(wǎng)絡(luò)入侵追蹤才記錄：

下面是各種不同的系統(tǒng)狀況程度，依照輕重緩急排列。

none 不要記錄這一項(xiàng)

debug 程式或系統(tǒng)本身除錯(cuò)訊息

info 一般性資訊

notice 提醒注意性