网络安全应急响应：口令猜测安全事件检测

微信公众号：计算机与网络安全

口令猜测和暴力破解是黑客最常用的，也是最简单直接的攻击方式控制面板管理工具 。为防止并记录这种攻击行为，需要事先做好安全设置和日志记录。通过检查系统的日志记录，可以检测出是否遭到口令猜测和暴力破解攻击。

1、Windows系统检测

Windows系统默认设置是不会记录错误登录尝试的，因此需要手工进行安全审计的设置控制面板管理工具 。

开始→设置→控制面板→管理工具→本地安全设置→本地策略→审核策略

双击审核登录事件，将“失败”选中（也可将“成功”也选中），确定（设置需要重启才会有效），如图1所示控制面板管理工具 。

图1 Windows系统中的安全策略设置界面

设置生效后，错误的登录尝试都将被记录下来控制面板管理工具 。查看日志文件位置如下。

开始→设置→控制面板→管理工具→事件查看器→安全日志

2、UNIX系统检测

Solaris系统默认设置是不会记录错误登录尝试的，因此我们需要手工创建日志文件控制面板管理工具 。

日志记录设置步骤：

#touch /var/adm/loginlog

#chmod 600 /var/adm/loginlog

#chown root /var/adm/loginlog

系统默认是只有连续5次错误尝试登录才会记录控制面板管理工具 。用户可通过编辑文件/etc/default/login中“RETRIES=5”来更改缺省次数。

查看日志：

将该日志文件创建完毕后，如出现连续的错误尝试登录，系统将会自动记录到文件/var/adm/loginlog中控制面板管理工具 。用户可通过下面指令进行查看

#cat /var/adm/loginlog

3、CISCO路由器检测

默认方式下路由器不会记录任何扫描和登录，可以把日志信息存在路由器上，或者发送到控制台控制面板管理工具 。

router（config）# logging buffered

router（config）# logging console

最好使用额外的一台服务器来存放路由器的日志信息，下面使用 UNIX 服务器来放置router.log文件的配置控制面板管理工具 。

在CISCO路由器上：

router（config）# logging faclity syslog

router（config）# logging trap informational

router（config）# logging [服务器名]

在log server上：

在/etc/syslog.conf中加入一行

*.info /var/log/router.log

生成文件日志文件

touch /var/log/router.log

重起syslogd进程

kill -HUP `cat /var/run/syslogd.pid`

在log server上查看日志

- The end -

网络安全资料列表