一个简单的系统,没有加甄别和自动分析模块。”她说着敲了一行查询命令,真的刷出来满屏的日志,行家可以很容易地看出来那都是从tcp/ip数据包的包头强行抠下来的片段。
在网络层和传输层【作者注:网络结构里面的osi模型有7层,看官自行脑补】直接拦截数据包并提取信息,是很初级的蜜罐手段,但确实有效,唯一而且致命的不足之处在于,数据包的数量很庞大,即使只记录其中少部分信息,所得仍然是令人望而生畏的数据量。
很笨的办法,但确实能记下东西。
网警小关扫了一眼屏幕,叹口气道:“确实需要分析很长时间。但我觉得,在面对沙盟这样对常规手段几乎全部免疫的对手时,以力破巧,最笨的办法也许正是最聪明的办法。”
沙盟在快播内网横冲直撞,所向披靡,估计没预料到还会误入“蜜罐”里!
刘涛看看屏幕,看着舒芷涵和徐冰冰,问:“这个蜜罐记录了多少东西,以我们现有的条件,需要分析多久?”
舒芷涵查看了下磁盘利用率:“这台虚拟机分配的硬盘是默认的40g,只记录了三分钟的数据,磁盘就写满了,毕竟只是个简单的系统。”
40g的数据包片段!!
“大队那台小型机的处理能力跟不上的,”徐冰冰斟酌着,“如果想在两周内得到结果,需要提交到上级处理。”
南山网警大队的上级就是深圳市网警分局,全称是深圳市公安局公共信息网络安全监察分局。陈默知道那里有一台unix大型机,很阔绰,深圳钱不当钱,网警也有钱得很。
朱达欣毕竟不是技术帝出身的领导,这会问了个看起来很专业其实略有点外行的问题:“查找入侵者跟处理能力有什么关系呢?linux里面过滤下不就出来了么?”
徐冰冰笑着解释道:“朱总,数据包里的信息都杂乱无章,奇形怪状的乱码根本无法通过简单的过滤筛选出来,即使筛选出来也没法使用。对于初级蜜罐系统的信息解读,需要结合统计学和密码学模型,将大量数据统计分析并解密后才能还原其本来面目,而数据包的本来面目
(本章未完,请点击下一页继续阅读)