Информационная безопасность. Макаренко С.И. - 340 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

340
Следует периодически выполнять эту команду, чтобы находить все
общедоступные для записи файлы, имеющиеся в системе.
22.7.2 Мониторинг признаков подозрительной активности
Мы уже описали некоторые признаки, которые необходимо
отслеживать в системе и которые могут означать проявление угрозы или
проникновение в систему (скрытые файлы, файлы SUID и SGID и
общедоступные для записи файлы). Существует несколько других способов
проверки системы Unix на наличие подозрительной активности.
22.7.2.1 Смешанный режим
Интерфейс находится в смешанном режиме, когда в системе работает
сниффер (сетевой анализатор пакетов). Сниффер переводит интерфейс в
смешанный режим; при этом происходит фиксирование всей информации,
проходящей через канал связи. Если при работе интерфейса в данном режиме
выполнить команда ifconfig -a, то появится сообщение о том, что интерфейс
находится в состоянии PROMISC (признак того, что работает анализатор
пакетов). Если сниффер запущен не администратором системы, необходимо
провести исследование причин этих обстоятельств.
Примечание. Solaris не выдает соответствующего отчета о том, что
интерфейс находится в смешанном режиме. Причиной этому является
ошибка в программном обеспечении ядра. Чтобы корректным образом
проверить, находится ли интерфейс Solaris в смешанном режиме, необходимо
использовать команду ifstatus, доступную по адресу
ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/iftatus/.
22.7.2.2 Мониторинг активных сетевых соединений
Программа netstat
Программа netstat используется для выяснения того, какие сетевые
соединения находятся в активном состоянии в системе Unix. Команду
следует использовать следующим образом: netstat -an. Аргумент «n»
сообщает netstat о том, что обработка IP-адресов не требуется. 
     Следует периодически выполнять эту команду, чтобы находить все
общедоступные для записи файлы, имеющиеся в системе.

        22.7.2 Мониторинг признаков подозрительной активности

     Мы уже описали некоторые признаки, которые необходимо
отслеживать в системе и которые могут означать проявление угрозы или
проникновение в систему (скрытые файлы, файлы SUID и SGID и
общедоступные для записи файлы). Существует несколько других способов
проверки системы Unix на наличие подозрительной активности.

                      22.7.2.1 Смешанный режим

     Интерфейс находится в смешанном режиме, когда в системе работает
сниффер (сетевой анализатор пакетов). Сниффер переводит интерфейс в
смешанный режим; при этом происходит фиксирование всей информации,
проходящей через канал связи. Если при работе интерфейса в данном режиме
выполнить команда ifconfig -a, то появится сообщение о том, что интерфейс
находится в состоянии PROMISC (признак того, что работает анализатор
пакетов). Если сниффер запущен не администратором системы, необходимо
провести исследование причин этих обстоятельств.

        Примечание. Solaris не выдает соответствующего отчета о том, что
интерфейс находится в смешанном режиме. Причиной этому является
ошибка в программном обеспечении ядра. Чтобы корректным образом
проверить, находится ли интерфейс Solaris в смешанном режиме, необходимо
использовать          команду        ifstatus,     доступную  по   адресу
ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/iftatus/.

          22.7.2.2 Мониторинг активных сетевых соединений

                           Программа netstat
     Программа netstat используется для выяснения того, какие сетевые
соединения находятся в активном состоянии в системе Unix. Команду
следует использовать следующим образом: netstat -an. Аргумент «n»
сообщает netstat о том, что обработка IP-адресов не требуется.




                                   340

Страницы