網(wǎng)絡(luò)入侵追蹤與本地入侵追蹤同樣是旨在找出黑客入侵者的網(wǎng)絡(luò)防護技術(shù)，根據(jù)不同的條件與環(huán)境采取不同的追蹤技術(shù)能夠更好的協(xié)助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)入侵者。本篇文章就將主要介紹網(wǎng)絡(luò)入侵追蹤方法。

如果象是Internet上有數(shù)千萬的主機,本就不可能實施資料廣播(至于IP Multicast算是一種限定式廣播Restricted Broadcast,唯有被指定的機器會收到, Internet上其他電腦還是不會收到)。假設(shè)Internet上可以實施非限定廣播，那隨便一個人發(fā)出廣播訊息，全世界的電腦皆受其影響，豈不世界大亂?

因此,任何區(qū)域網(wǎng)路內(nèi)的路由器或是類似網(wǎng)路設(shè)備都不會將自己區(qū)域網(wǎng)路內(nèi)的廣播訊息轉(zhuǎn)送出去。萬一在WAN Port收到廣播訊息，也不會轉(zhuǎn)進自己的LAN Port中。而既然網(wǎng)路皆有發(fā)信站與收信站，用以標(biāo)示信息發(fā)送者與信息接收者，除非對方使用一些特殊的封包封裝方式或是使用防火墻對外連線，那么只要有人和你的主機進行通訊(寄信或是telnet、ftp過來都算) 你就應(yīng)該會知道對方的位址，如果對方用了防火墻來和你通訊，你最少也能夠知道防火墻的位置。也正因為只要有人和你連線，你就能知道對方的位址，那么要不要知道對方位置只是要做不做的問題而已。如果對方是透過一臺UNIX主機和你連線，則你更可以透過ident查到是誰和你連線的。在實行TCP/IP通訊協(xié)定的電腦上,通�？梢杂胣etstat指令來看到目前連線的狀況。(各位朋友可以在win95、Novell以及UNIX試試看(注一)，在下面的連線狀況中，netstat指令是在win95上實行的，以看到目前自己機器(Local Address處)的telnetport有一臺主機workstation.variox.int 由遠端(Foreign Address處)連線進來并且配到1029號tcp port.而cc unix1主機也以ftpport連到workstation.variox.int去。所有的連線狀況看得一清二楚。(如A、B)

A.在UNIX主機(ccunix1.variox.int)看netstat

B.另一端在Windows95(workstation.variox.int)看netstat,

當(dāng)然，如果你想要把網(wǎng)路連線紀(jì)錄給記錄下來，你可以用cron table定時去跑：

netstat>>filename，但是UNIX系統(tǒng)早已考慮到這一個需求，因此在系統(tǒng)中有一個專職記錄系統(tǒng)事件的Daemon:syslogd，應(yīng)該有很多朋友都知道在UNIX系統(tǒng)的/var/adm下面有兩個系統(tǒng)紀(jì)錄檔案：syslog與messages，一個是一般系統(tǒng)的紀(jì)錄，一個是核心的紀(jì)錄。但是這兩個檔案是從哪邊來的，又要如何設(shè)定呢?

系統(tǒng)的紀(jì)錄基本上都是由syslogd (System Kernel LogDaemon)來產(chǎn)生，而syslogd的控制是由/etc/syslog.conf來做的。syslog.conf以兩個欄位來決定要記錄哪些東西，以及記錄到哪邊去。一個最標(biāo)準(zhǔn)的syslog.conf，第一欄寫「在什么情況下」以及「什么程度」。然后用TAB鍵跳下一欄繼續(xù)寫「符合條件以后要做什么」。這個syslog.conf檔案的作者很誠實，告訴你只能用TAB來作各欄位之間的分隔(雖然看來好像他也不知道為什么)。第一欄包含了何種情況與程度，中間小數(shù)點分隔。另外，星號就代表了某一細項中的所有選項。詳細的設(shè)定方式如下：

1.在什么情況：各種不同的情況以下面的字串來決定。

auth 關(guān)于系統(tǒng)安全與使用者認證方面

cron 關(guān)于系統(tǒng)自動排程執(zhí)行(CronTable)方面

daemon 關(guān)于背景執(zhí)行程式方面

kern 關(guān)于系統(tǒng)核心方面

lpr 關(guān)于印表機方面

mail 關(guān)于電子郵件方面

news 關(guān)于新聞討論區(qū)方面

syslog 關(guān)于系統(tǒng)紀(jì)錄本身方面

user 關(guān)于使用者方面

uucp 關(guān)于UNIX互拷(UUCP)方面

上面是大部份的UNIX系統(tǒng)都會有的情況，而有些UNIX系統(tǒng)可能會再分出不同的項目出來。

2.什么程度的網(wǎng)絡(luò)入侵追蹤才記錄：

下面是各種不同的系統(tǒng)狀況程度，依照輕重緩急排列。

none 不要記錄這一項

debug 程式或系統(tǒng)本身除錯訊息

info 一般性資訊

notice 提醒注意性