Web服务器攻击信息的查找与分析.doc

Web服务器攻击信息的查找与分析 　　摘要:查看Web服务器logging是有效防止攻击和入侵的一种基本方法。该文主要阐述如何通过Web服务器logging,在众多信息里查找、分析攻击和入侵的痕迹,并给出具体实例。 　　关键词:Web服务器;Logging;攻击 　　中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)17-4640-02 　　Finding out and Analysis Information of Attacking in Server of Web 　　YAO Kai-rong 　　(Jingzhou Vocation and Technical College,Jingzhou 434100,China) 　　Abstract: Looking over server logging of Web prevents a kind of basic method to attack and invading effectively. This text explains mainly how to find out , analyse the mark attacked and invading in numerous information through server logging of Web, provide the concrete instance. 　　Key words: Web server; logging; attack 　　 　　随着Internet上Web服务的发展,很多单位都建立有自己的网站。与此同时,他们在网站建设和管理中都会遇到各种各样的安全问题。因为管理Web网站不只是监视其速度和内容传送,更重要的是了解对这些Web网站的外来访问,跟踪包含有攻击和入侵的“幕后”数据等。而这些要求都可以通过对Web服务器Logging的查看和分析来做到。由于Web服务是Internet所提供的最丰富的服务,各种Web服务器自然受到的攻击最多,虽然有很多措施防止遭受攻击和入侵,但查看Web服务器的logging仍然是最直接、常用又有效的一种方法。由于Web服务器运行时间长,logging十分庞大,因此查看logging是件很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。 　　本文从两类Web服务器Apache和IIS的logging分析入手,介绍如何通过Web服务器logging,在众多信息里查找、分析攻击和入侵的痕迹,找出漏洞,防范攻击,从而加强Web服务器的安全。 　　1 Web服务器logging分析的原理 　　Web服务器logging记录了服务器接收处理请求以及运行错误等各种原始信息。通过进行logging统计、分析,就能有效地掌握服务器的运行状况,发现和排除不安全因素,更好地加强系统的维护和管理。客户端(浏览器)访问WEB服务器时logging的记录过程为[1]: 　　1)客户端和Web服务器建立tcp连接,连接建立以后,向Web 服务器发出访问请求,根据HTTP协议,该请求中包含了客户端的IP地址、浏览器类型、请求的URL等一系列信息。 　　2)Web服务器收到请求后,将客户端要求的页面内容返回到客户端。如果出现错误,那么返回错误代码。 　　3)服务器端将访问信息和错误信息记录到logging里。在客户机的请求里包含了很多有用的信息,例如:客户端类型等等。最后,Web服务器将请求的Web页内容返回给客户机。 　　Logging记录客户端的IP地址、访问发生的时间、访问请求的页面、Web服务器对于该请求返回的状态信息、返回给客户端的内容的大小、该请求的引用地址、客户浏览器类型等信息。对于IIS,其默认记录存放在c:winntsystem32logfilesw3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种logging分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法、请求的资源、HTTP状态等。对于其中的HTTP状态,200-299表示访问成功;300-399表示需要客户端反应来满足请求;400-499和500-599表示客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标识、用户名、访问方式、HTTP状态、传输的字节数等。 　　2 Web服务器logging分析的方法、步骤 　　1) 信息收集 　　非法攻击Web服务器通常先收集信息,然后通过远程命令分步实施入侵。我们模拟使用的工具是netca