笔者在一家知名的企业里负责管理企业的网络。在笔者管理的网络中，部署了防火墙、入侵检测系统、防病毒软件等安全产品，网络划分成外网、DMZ、内网三个区域，DMZ中有一台企业的邮件服务器，在防火墙上对这台邮件服务器采用了严格的防火墙规则，只开放了22、25、110端口，采用SSH代替Telnet。笔者管理和维护这个网络已经有相当长的一段时间了，一切都很正常。

笔者有时在想，这样一个网络应该很安全了吧？可是有一天，笔者也遇到了一起网络入侵事件。所幸的是，笔者及时察觉到一些导常迹像后发现了这次入侵行为，并采取了适当的措施，最终确定了入侵方式，并追踪到了入侵者。

下面笔者就仔细讲讲自己是怎样发现和处理一起网络入侵事件的，或许您可以从中学习到一些关于入侵检测和响应的经验。

发现入侵

笔者所管理的网络采用了许多安全设备来进行保护，同时也在防火墙和具体服务上做了认真的设定，看起来好像很安全。然而有一天，笔者在登录邮件服务器进行日常维护时发生了一件奇怪的事：笔者如平常一样打开putty准备登录到邮件服务器上时，输入用户名和密码，奇怪的是，系统提示说用户名或密码错误，重新输入一次用户名和密码后，笔者成功地登录了系统。

不过，笔者没有轻易地认为这是自己开始时错误地输入了口令，进入系统后，用ps命令查看了一下系统中正在运行的进程，但是并没有发现可疑的进程，用netstat也没有发现可疑的端口。笔者决定先继续自己的日常工作。

在接下来的工作中，笔者断断续续地感觉到系统和网络的速度都有点不正常。这种现象是不应该的。笔者想了一下，决定先看一看最近的防火墙日志，日志片断显示出一天前有几次扫描22端口的行为，这引起了笔者的警觉。于是，笔者又调出了扫描者的IP的所有记录，这时发现这个IP和邮件服务器之间有许多异常的数据包流量，可以肯定这些流量与正常的流量不同。

看来，网络是遇到入侵者了。

入侵处理

确定入侵后，笔者立即采取了应急措施。

首先启用了备用机代替被入侵的服务器，然后隔离被入侵的服务器，拍照，断电，并对被入侵的服务器采用硬盘取证工具制造镜像。

然后，笔者开始分析对方的入侵方式。防火墙显示入侵者是通过22端口进入，然后对Mail服务进行了攻击，并开放了对外的连接，之后有大量的扫描行为发生。

从硬盘镜像来分析，入侵者是通过该版本的SSH的一个缓冲区溢出来实现攻击的，在通过SSH进入系统后，又安装了木马程序（替换了su、ps、netstat等程序），并开放了从服务器发起的对外连接。

同时，笔者也确定了攻击者的来源IP。

在弄清了对方的入侵方式之后，接下来就要马上修正漏洞了。新版本的SSH已经修复了这个bug，于是，笔者升级整个系统中所有的SSH服务。

此外，笔者还保存了证据，包括防火墙日志和原硬盘、照片等，以便通过这些证据和线索来向司法机关反映，且对攻击者的来源IP进行调查进而追查到入侵者，并对其进行起诉。当然，由于考虑到成本的原因，企业管理层放弃了进一步的对入侵者的调查和追究。

反思

在这次这件入侵事件中，由于发现及时和处理得当，并没有造成太大的损失。有了这次的经历，笔者总结出一些可以借鉴的入侵检测和响应的经验：

◆ 提高警惕, 发现蛛丝马迹

◆ 确定入侵后，立即采取措施，隔离入侵，保护证据

◆ 利用各种资源（各种日志、证据）分析入侵方式

◆ 亡羊补牢，修正漏洞

◆ 保存证据，进行下一步追究

◆ 评估损失，总结教训

事实上，发现入侵并不是一件简单的事情，一方面需要有技术，另一方面还需要有耐心和警觉。在企业中，单纯靠人工来发现入侵也几乎是不可能完成的任务，因此，在很多时候和场合中可以借助入侵检测系统产品来帮助发现入侵行为，这可以大大减少网管员的工作量，并将其从烦重的工作中解脱出来以便能处理和响应一些高级的事件。

而对于响应工作来说，一定要事先有针对性地拟定好响应计划和方案，并且要经常性的检查这些响应方案的可用性。

总之，只有通过事先的努力，借助各种技术和管理的手段，才能够及时发现入侵并且及时做出正确有效的响应。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=815&categ_code=10041003