為了抵擋Internet網絡病毒的瘋狂襲擊,許多網絡管理員想出了各種辦法來加強網絡安全控制;不過其中的很多辦法不是需要外力工具的幫忙,就是需要網絡管理員熟悉服務器系統的各種安全設置,這對接觸網絡管理工作不久的“菜鳥”級管理員來說,不但顯得有點麻煩,而且也有點高深。事實上,任何一台服務器系統在默認狀態下會自動啟用日志功能,來將訪問服務器系統的任何行為捕捉、記錄下來,網絡管理員只要巧妙地學會使用日志,同樣也能夠實現加強網絡安全控制的目的!
一、實地分析,尋找安全隱患
某單位的IIS服務器在深夜時分遭受到黑客的非法攻擊,當天值班的網絡管理員小王發現IIS服務器不能正常工作後,立即電話聯系了經驗豐富的前輩級網絡安全工程師老張。早上上班後,老張火速趕到IIS服務器現場,沒有多長時間,老張就將攻擊IIS服務器的非法攻擊著找了出來,並且一並發現了IIS服務器系統中的其他安全隱患。事實上,老張之所以能這麼快尋找到IIS服務器系統中的安全隱患,主要就是因為他巧妙地利用了服務器系統自帶的日志功能。
一般來說,非法攻擊者企圖攻擊目標IIS服務器系統時,往往會花費一番心思來收集目標IIS服務器系統的各種信息,通過一些專業級別的掃描工具,來掃描目標IIS服務器系統此時此刻是否存在安全漏洞;而目標IIS服務器系統的日志功能在默認狀態下,能夠自動記憶下各種訪問過本地系統的行為,並將這些記憶下來的內容存儲到指定的日志文件中,這個日志文件中包含的內容往往有被掃描的服務器端口號碼、訪問用戶名、客戶端的IP地址等;仔細分析這些內容,我們往往就能大概判斷出本地IIS服務器系統有沒有安全隱患存在。
在查看本地系統的日志文件時,我們可以先依次單擊“開始”/“設置”/“控制面板”命令,然後用鼠標雙擊系統控制面板窗口中的“管理工具”圖標,在彈出的管理工具窗口中再雙擊“事件查看器”選項,進入本地系統的事件查看器窗口(如下圖所示)。
在上圖界面的左側子窗格中,我們會看到日志文件主要包含安全日志、系統日志、應用程序日志這幾種類型。用鼠標點選某一種類型的日志文件,在對應該文件的右側子窗格中,我們就能看到所有日志記錄的列表了,用鼠標雙擊某一個日志記錄,在其後彈出的屬性設置對話框中我們就能看到具體的記錄內容了,根據記錄內容我們就能直觀地了解到服務器系統在什麼時間發生了什麼事情。