您正在使用的程序需要保持运行,并且它们的端口“开放”。但是,程序偶尔会容易受到聪明攻击者的攻击。
漏洞会被报告给互联网上的组织,这些组织会专门通知编写这些程序的公司或团体,并分发这些公司或团体制作的补丁来修复漏洞。
公司里应该有人时不时地访问这些站点,阅读关于您的程序的报告,并安装补丁。每月一次很常见,但您需要确定您自己在安全性和便利性之间的平衡。
Sniffer:此工具检查通过网络的所有流量,寻找可疑活动。它通常安装在防火墙上,或安装在防火墙一侧或另一侧的特殊盒子中 - 尽管在外部会更有用。
日志分析:这很困难 - 大多数入侵者会小心地从日志中清除其活动痕迹。我不建议非专业人士使用它,在此处包含它仅仅是因为它是更有经验的管理员的重要工具。
日志分析涉及监控人员查看日志并寻找异常事件。日志看起来像这样
May 13 09:57:03 gondwanah dhclient-2.2.x: DHCPDISCOVER on lo to 255.255.255.255 port 67 interval 2 May 13 09:57:05 gondwanah dhclient-2.2.x: No DHCPOFFERS received. May 13 09:57:05 gondwanah dhclient-2.2.x: No working leases in persistent database - sleeping. May 13 09:57:05 gondwanah dhclient-2.2.x: No DHCPOFFERS received. May 13 09:57:05 gondwanah dhclient-2.2.x: No working leases in persistent database - sleeping. May 13 10:00:21 gondwanah dhclient-2.2.x: DHCPREQUEST on eth0 to 10.0.3.1 port 67 May 13 10:00:21 gondwanah dhclient-2.2.x: DHCPACK from 10.0.3.1 May 13 10:00:21 gondwanah dhclient-2.2.x: bound to 10.0.1.1 -- renewal in 3500 seconds. |
您不必理解这是什么!这是我的计算机尝试从我们家庭网络上的主计算机获取 IP 地址(数字地址)。日志分析涉及阅读大量类似的内容,了解什么是正常的,什么是不正常的,并处理异常情况。