目的:对受害系统的网络活动或内部活动进行分析,获取受害系统当前状态信息
监测方法 | 目的 | 工具 | |
1 | 网络流量监测 | 通过网络监测工具,获取受害系统网络流量数据,挖掘通信信息,发现异常行为,特别是一些隐蔽网络攻击,如远控木马、窃密木马、网络蠕虫、勒索病毒等。 | TCPDump、TCPView、Snort、WireShark、netstat |
2 | 系统自身监测 | 掌握受害系统当前活动状态,确认入侵者在受害系统的操作。 ①网络通信状态监测 用netstat命令、TCPView、HTTPNetworkSniffer等显示网络监听程序及网络连接 ②系统进程活动状态监测 Linux/UNIX系统:ps命令 Windows系统:Autoruns、Process Explorer、ListDLLs等 ③用户活动状况监测 who命令显示在线用户信息 ④地址解析状况监测 arp命令查看地址解析缓存表 ⑤进程资源使用状况监测 Linux系统:lsof工具检查进程使用文件、tcp/udp端口、用户等信息 Windows系统:fport工具对相关进程和端口号进行关联 | |