入侵监测：如何查看系统记录以及追踪入侵者

　　在局域网络上可能你听过所谓“广播模式”的资料发送方法，此种方法不指定收信站，只要和此网络连结的所有网络设备皆为收信对象。但是这仅仅在局域网络上能够实行,因为局域网络上的机器不多(和Internet比起来 )。如果象是Internet上有数千万的主机,本就不可能实施资料广播(至于IP Multicast算是一种限定式广播Restricted Broadcast,唯有被指定的机器会收到,Internet上其他电脑还是不会收到)。假设Internet上可以实施非限定广播，那随便一个人发出广播 讯息，全世界的电脑皆受其影响，岂不世界大乱？因此,任何局域网络内的路由器或是类似网络设备都不会将自己区域网络内的广播讯息转送出去。万一在WAN Port收到广播讯息，也不会转进自己的LAN Port中。

　　而既然网络皆有发信站与收信站，用以标示信息发送者与信息接收者，除非对方使用一些特殊的封包封装方式或是使用防火墙对外连线，那么只要有人和你的主机进行通讯(寄信或是telnet、ftp过来都算) 你就应该会知道 对方的位址，如果对方用了防火墙来和你通讯，你最少也能够知道防火墙的位置。也正因为只要有人和你连线，你就能知道对方的位址，那么要不要知道对方位置只是要做不做的问题而已。如果对方是透过一台UNIX主机和你连线，则你更可以透过ident查到是谁和你连线的。

　　在实行TCP/IP通讯协定的电脑上,通常可以用netstat指令来看到目前连线的状况。

　　(各位朋友可以在win95、Novell以及UNIX试试看(注一)，在下面的连线状况中，netstat指令是在win95上实行的，可以看到目前自己机器(Local Address处)的telnetport有一台主机workstation.variox.int 由远端(Foreign Address处)连线进来并且配到1029号tcp port.而cc unix1主机也以ftpport连到workstation.variox.int去。所有的连线状况看得 一清二楚。(如A、B)

　　A.在UNIX主机(ccunix1.variox.int)看netstat

　　B.另一端在Windows95(workstation.variox.int)看netstat, 虽然是不同的作业系统，但netstat是不是长得很像呢？

　　通信过程的纪录设定

　　当然，如果你想要把网络连线纪录给记录下来，你可以用cron table定时去跑：

　　netstat＞＞filename

　　但是UNIX系统早已考虑到这一个需求，因此在系统中有一个专职记录系统事件的

　　Daemon:syslogd，应该有很多朋友都知道在UNIX系统的/var/adm下面有两个系统纪录档案：

　　syslog与messages，一个是一般系统的纪录，一个是核心的纪录。但是这两个档案是从哪边来的，又要如何设定呢？

　　系统的纪录基本上都是由syslogd (System Kernel Log Daemon)来产生，而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西，以及记录到哪边去。下面是一个 Linux系统所附上的yslog.conf档案，这也是一个最标准的syslog.conf写法：

　　格式就是这样子，第一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要做什么」。这个syslog.conf档案的很诚实，告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 第一栏包含了何种情况与程度，中间小数点分隔。另外，星号就代表了某一细项中的所有选项。详细的设定方式

　　auth 关于系统安全与使用者认证方面

　　cron 关于系统自动排程执行(CronTable)方面

　　daemon 关于背景执行程式方面

　　kern 关于系统核心方面

　　lpr 关于印表机方面

　　mail 关于电子邮件方面

　　news 关于新闻讨论区方面

　　syslog 关于系统纪录本身方面

　　user 关于使用者方面

　　uucp 关于UNIX互拷(UUCP)方面

　　上面是大部份的UNIX系统都会有的情况，而有些UNIX系统可能会再分出不同的项目出来。

　　2.什么程度才记录：

　　下面是各种不同的系统状况程度，依照轻重缓急排列。

　　none 不要记录这一项

　　debug 程式或系统本身除错讯息

　　info 一般性资讯

　　notice 提醒注意性

　　err 发生错误

　　warning 警告性

　　crit 较严重的警告

　　alert 再严重一点的警告

　　emerg 已经非常严重了