❶ 如何進行數據採集
覺得你設置一台計算機更合理。價格很低廉。主要是軟體來進行數據處理。也就是你買個軟體就解決了。因為你的數據協議是刷卡機廠家的,只能定製這個軟體。
❷ 請問網頁數據採集需要哪些技術
asp或者asp.net是需要伺服器支持xmlhttp組件的
php有個fopen選項 要把它改成true
這兩個是通過你的網站自己採集 是需要伺服器支持
不過你也可以通過一些本地程序採集。。就是讓你的計算機自動給你的網站採集添加文章 軟體比較NB的就是火車頭。。。本人經常用這個吧某網站的東西採集到另一個網站 弄的這個網站的內容亂七八糟。。。已達到干壞事的目的
對你你個人熟悉html代碼就可以 其實不用太熟悉。。。知道一點就成
比如網站的html代碼給你 你能找到裡面那些內容是你需要採集的,那些不用就行。。。其實很簡單。。。個人也就學了幾分鍾就會了
❸ 如何實現遠程數據採集
富立葉CILICO C7S可以支持超高頻RFID射頻數據識別和讀寫,識別距離高達7米。
如果你說的遠程,是指在一個地方採集數據,在另一個地方處理,那得配合雲端服務一起解決。富立葉有MDM大數據系統,不知道是不是你說的東西。
你的問題問的意思有點寬泛,能說更細一點就好了。
❹ 使用ipmi協議能採集到伺服器硬碟,RAID卡的狀態信息嗎
IPMI一般只能識別硬槽位信息但不能識別到RAID信息。就是所BMC只能看到伺服器查了幾塊硬碟但是無法檢測到配置的RAID幾。
可以通過其他工具查看甚至修改RAID 配置信息,比如megacli或者對應RAID卡廠商自主的管理軟體。
❺ 遠程從100個linux伺服器中怎樣收集過載cpu信息
public int SnmpGetStart(ref DeviceInfo st)
{
string[] szArrStr = new string[30];
szArrStr[0] = ".1.3.6.1.4.1.9.2.1.56.0"; //CPU5分鍾佔用率
szArrStr[1] = ".1.3.6.1.4.1.9.2.1.57.0"; //CPU1分鍾佔用率
szArrStr[2] = ".1.3.6.1.4.1.9.2.1.58.0"; //CPU5秒佔用率
szArrStr[3] = ".1.3.6.1.4.1.9.9.48.1.1.1.5.1"; //已用內存
szArrStr[4] = ".1.3.6.1.4.1.9.9.48.1.1.1.6.1"; //空閑內存
szArrStr[5] = ".1.3.6.1.2.1.1.3.0"; //運行時間
szArrStr[6] = ".1.3.6.1.2.1.4.3.0"; //收到 ip數據報文
szArrStr[7] = ".1.3.6.1.2.1.6.10.0"; //收到tcp數據報文
szArrStr[8] = ".1.3.6.1.2.1.6.11.0"; //發送tcp數據報文
szArrStr[9] = ".1.3.6.1.2.1.5.21.0"; //得到icmp數據回應
szArrStr[10] = ".1.3.6.1.2.1.5.7.0"; //icmp數據重定向
szArrStr[11] = ".1.3.6.1.2.1.6.15.0"; //設備發送的RST的計數器,埠掃描時會劇變,
// 這個數據發生劇變的時候,說明有人在掃描機器的漏洞,這個時候要引起注意了
szArrStr[12] = ".1.3.6.1.2.1.7.2.0"; //提供服務的埠的通信量
// szArrStr[10] = ".1.3.6.1.4.1.9.9.147.1.2.2.2.1.4.0"; //網路連接個數
//這個節點暫時取不到數據,連接數暫時看不到
string[] szArrBuf = new string[30];
szArrBuf[0] = "CPU 5分鍾佔用率:";
szArrBuf[1] = "CPU 1分鍾佔用率:";
szArrBuf[2] = "CPU 5秒鍾佔用率:";
szArrBuf[3] = "已用 內存:";
szArrBuf[4] = "空閑 內存:";
szArrBuf[5] = "運行 時間:";
szArrBuf[6] = "收到i p數據報文:";
szArrBuf[7] = "收到tcp數據報文:";
szArrBuf[8] = "發送tcp數據報文:";
szArrBuf[9] = "得到icmp數據回應:";
szArrBuf[10] = "icmp數據重定向 :";
szArrBuf[11] = "TCP 埠掃描:";
szArrBuf[12] = "UDP 埠掃描:";
// szArrBuf[10] = "網路 連接 個數:";
string szIP ; // 這個就是目標主機的ip,可以動態改變的
string szComm; // 這個就是目標主機的團體名,注意和對應主機的團體名配對,否則會取不到數據
if ("" == m_szIP)
{
szIP = "192.168.2.33";
}
else
{
szIP = m_szIP;
}
if ("" == m_szComminuty)
{
szComm = "cisco";
}
else
{
szComm = m_szComminuty;
}
return snmp_get(szIP, szComm, szArrStr, 13, szArrBuf,ref st);
}
}
❻ flume怎麼採集遠程伺服器上的日誌
log4j.rootLogger=INFO,A1,R
# ConsoleAppender out
log4j.appender.A1= org. apache.log4j.ConsoleAppender
log4j.appender.A1.layout= org. apache.log4j.PatternLayout
log4j.appender.A1.layout.ConversionPattern=%d{ yyyy/MM/ ddHH:mm:ss}%-5p%-10C {1} %m%n
# File out
//日誌Appender修改為flume提供的Log4jAppender
log4j.appender.R= org. apache. flume.clients.log4jappender.Log4jAppender
log4j.appender.R.File=${ catalina.home}/logs/ ultraIDCPServer.log
//日誌需要發送到的埠號,該埠要有ARVO類型的source在監聽
log4j.appender.R.Port =44444
//日誌需要發送到的主機ip,該主機運行著ARVO類型的source
log4j.appender.R.Hostname = localhost
log4j.appender.R.MaxFileSize=102400KB
# log4j.appender.R.MaxBackupIndex=5
log4j.appender.R.layout= org. apache.log4j.PatternLayout
log4j.appender.R.layout.ConversionPattern=%d{ yyyy/MM/ ddHH\: mm\: ss}%-5p%-10C {1} %m%n
log4j.appender.R.encoding=UTF-8
log4j.logger.com.ultrapower.ultracollector.webservice.=INFO, webservice
log4j.appender.webservice= org. apache.log4j.FileAppender
log4j.appender.webservice.File=${ catalina.home}/logs/.log
log4j.appender.webservice.layout= org. apache.log4j.PatternLayout
log4j.appender.webservice.layout.ConversionPattern=%d{ yyyy/MM/ ddHH\: mm\: ss}%-5p[%t]%l%X-%m%n
log4j.appender.webservice.encoding=UTF-8
註:Log4jAppender繼承自AppenderSkeleton,沒有日誌文件達到特定大小,轉換到新的文件的功能
1.1.3. flume agent配置
agent1.sources = source1
agent1.sinks = sink1
agent1.channels = channel1
# Describe/configure source1
agent1.sources.source1.type = avro
agent1.sources.source1.bind = 192.168.0.141
agent1.sources.source1.port = 44444
# Describe sink1
agent1.sinks.sink1.type = FILE_ROLL
agent1.sinks.sink1.sink.directory = /home/yubojie/flume/apache-flume-1.2.0/flume-out
# Use a channel which buffers events in memory
agent1.channels.channel1.type = memory
agent1.channels.channel1.capacity = 1000
agent1.channels.channel1.transactionCapactiy = 100
# Bind the source and sink to the channel
agent1.sources.source1.channels = channel1
agent1.sinks.sink1.channel = channel1
註:生成的文件的規則為每隔固定時間間隔生成一個新的文件,文件裡面保存該時間段agent接收到的信息
1.2. 分析
1. 使用簡便,工作量小。
2. 用戶應用程序使用log4j作為日誌記錄jar包,而且項目中使用的jar包要在log4j-1.2.15版本以上,
3. 應用系統必須將flume所需jar包引入到項目中。如下所示為所有必須jar包:可能會存在jar沖突,影響應用運行
4. 能夠提供可靠的數據傳輸,使用flume log4jAppender採集日誌可以不在客戶機上啟動進程,而只通過修改logapppender直接把日誌信息發送到採集機(參見圖一),此種情況可以保證採集機接受到數據之後的數據可靠性,但是客戶機與採集機連接失敗時候數據會丟失。改進方案是在客戶機上啟動一個agent,這樣可以保證客戶機和採集機不能連通時,當能連通是日誌也被採集上來,不會發送數據的丟失(參見圖二),為了可靠性,需在客戶機上啟動進程
1.3. 日誌代碼
Log.info(「this message has DEBUG in it」);
1.4. 採集到的數據樣例
this message has DEBUG in it
this message has DEBUG in it
2. Exec source(放棄)
The problem with ExecSource and other asynchronous sources is that thesource can not guarantee that if there is a failure to put the event into theChannel the client knows about it. In such cases, the data will be lost. As afor instance, one of the most commonly requested features is thetail -F [file]-like use casewhere an application writes to a log file on disk and Flume tails the file,sending each line as an event. While this is possible, there』s an obviousproblem; what happens if the channel fills up and Flume can』t send an event?Flume has no way of indicating to the application writing the log file that itneeds to retain the log or that the event hasn』t been sent, for some reason. Ifthis doesn』t make sense, you need only know this: Your application can neverguarantee data has been received when using a unidirectional asynchronousinterface such as ExecSource! As an extension of this warning - and to becompletely clear - there is absolutely zero guarantee of event delivery whenusing this source. You have been warned.
註:即使是agent內部的可靠性都不能保證
2.1. 使用說明
2.1.1. flume agent配置
# The configuration file needs to define the sources,
# the channels and the sinks.
# Sources, channels and sinks are defined per agent,
# in this case called 'agent'
# example.conf: A single-node Flume configuration
# Name the components on this agent
agent1.sources = source1
agent1.sinks = sink1
agent1.channels = channel1
# Describe/configure source1
#agent1.sources.source1.type = avro
agent1.sources.source1.type = exec
agent1.sources.source1.command = tail -f /home/yubojie/logs/ultraIDCPServer.log
#agent1.sources.source1.bind = 192.168.0.146
#agent1.sources.source1.port = 44444
agent1.sources.source1.interceptors = a
agent1.sources.source1.interceptors.a.type = org.apache.flume.interceptor.HostInterceptor$Builder
agent1.sources.source1.interceptors.a.preserveExisting = false
agent1.sources.source1.interceptors.a.hostHeader = hostname
# Describe sink1
#agent1.sinks.sink1.type = FILE_ROLL
#agent1.sinks.sink1.sink.directory = /home/yubojie/flume/apache-flume-1.2.0/flume-out
agent1.sinks.sink1.type = hdfs
agent1.sinks.sink1.hdfs.path = hdfs://localhost:9000/user/
agent1.sinks.sink1.hdfs.fileType = DataStream
# Use a channel which buffers events in memory
agent1.channels.channel1.type = memory
agent1.channels.channel1.capacity = 1000
agent1.channels.channel1.transactionCapactiy = 100
# Bind the source and sink to the channel
agent1.sources.source1.channels = channel1
agent1.sinks.sink1.channel = channel1
2.2. 分析
1. tail方式採集日誌需要宿主主機能夠執行tail命令,應該是只有linux系統可以執行,不支持window系統日誌採集
2. EXEC採用非同步方式採集,會發生日誌丟失,即使在節點內的數據也不能保證數據的完整
3. tail方式採集需要宿主操作系統支持tail命令,即原始的windows操作系統不支持tail命令採集
2.3. 採集到的數據樣例
2012/10/26 02:36:34 INFO LogTest this message has DEBUG 中文 in it
2012/10/26 02:40:12 INFO LogTest this message has DEBUG 中文 in it
2.4. 日誌代碼
Log.info(「this message has DEBUG 中文 in it」);
3. Syslog
Passing messages using syslogprotocol doesn't work well for longer messages. The syslog appender forLog4j is hardcoded to linewrap around 1024 characters in order to comply withthe RFC. I got a sample program logging to syslog, picking it up with asyslogUdp source, with a JSON layout (to avoid new-lines in stack traces) onlyto find that anything but the smallest stack trace line-wrapped anyway. Ican't see a way to reliably reconstruct the stack trace once it is wrapped andsent through the flume chain.(註:內容不確定是否1.2版本)
Syslog TCP需要指定eventsize,默認為2500
Syslog UDP為不可靠傳輸,數據傳輸過程中可能出現丟失數據的情況。
❼ 如何收集伺服器各類日誌
進WIN2008伺服器,點擊開始,找到控制面板。
點擊進入控制面板,找到管理工具。
找到管理工具,點擊事件查看器。
進入事件查看器,展開Windows日誌,點擊系統,右側會顯示出信息。
查看事件查看器的右方,我們會看到屬性選項,紅框中已經圈出。
點擊屬性後,我們會看到伺服器日誌的路徑。
7
打開C:\Windows\System32\winevt,再打開Logs文件夾,我們會看到伺服器日誌。
❽ 監控伺服器和網路系統有哪些軟體通過何種方式收集數據
金甲
內網管理系統將
內網安全監視、內網安全管理、內網報警管理、軟硬體資產管理、補丁和軟體分發、遠程桌面管理等六大功能有機地結合在一起,實現了網路安全、網路管理、網路維護三位一體的立體化管理。從而使公司高管和IT管理人員對每一台網路設備的運行狀況都了解得輕輕楚楚,做到對網路中的每台電腦「想看就看,想管就管」。
金甲的主要功能:金甲包括了下列的六大功能模塊:內網監視模塊、內網管理模塊、內網報警模塊、軟硬體資產管理模塊、補丁管理和軟體分發、遠程桌面管理。
1、內網監視模塊:
根據設定的安全控制策略,對受控對象的活動進行全面的審計,為事後了解和判斷網路安全事故提供了寶貴的資料,具體功能如下:
文件操作的審計;
網路帶寬和流量的審計;
屏幕記錄;
應用程序的審計;
Internet訪問的審計;
網路通訊協議;
報警信息的審計;
列印機使用的審計;
網路文件訪問的審計;
硬體變動的審計;
軟體變動的審計;
IP/Mac地址的變動審計;
用戶的變動審計;
非法筆記本電腦接入的審計;
非法撥號的設計;
客戶端超時不連接的審計;
2、內網管理模塊:
內網管理模塊通過具有針對性的監控規則的設置,自動阻止非法操作和實現應用統計,具體功能如下:
禁止或只允許瀏覽的指定網站;
禁止使用指定的應用程序;
禁止使用外設如(USB存儲設備、USB埠、軟碟機、刻錄機、磁帶驅動器、串口、並口、數據機、SCSI、1394匯流排、紅外通訊設備,以及筆記本電腦使用的PCMCIA卡介面);
內網管理模塊對電腦的使用進行具體統計,提高工作效率。
瀏覽網站狀況統計(列表、柱狀圖、餅狀圖);
應用軟體使用統計(列表、柱狀圖、餅狀圖);
3、網報警模塊:
內網監控模塊通過具有針對性的監控規則的設置,並且可以向控制台發出報警信息,報警內容有:
非法對指定文件/文件夾操作報警;
非法使用指定的應用程序報警;
硬體變動的報警;
軟體變動的報警;
IP/Mac地址的變動報警;
用戶的變動報警;
非法計算機接入的報警;
非法撥號的報警;
客戶端超時不連接的報警。
4、軟硬體資產管理模塊:
軟硬體管理模塊可以對整個區域網內的電腦的軟硬體資產進行統計。
5、補丁管理和軟體分發:
可以隨時統計出操作系統補丁的安裝情況,並對未安裝重要補丁程序的計算機統一批量安裝;
提供統一的應用軟體派發功能,使得批量軟體安裝這一費時費力的工作,由軟體自動完成;
6、遠程桌面管理:
遠程桌面模塊通過具有針對性的客戶端進行控制,提高網管人員工作效率,具體包括對客戶機進行如下操作:
遠程接管客戶端(對客戶端的發生的問題可以實時解決);
發送通知;
鎖定/解鎖工作站;
注銷、重起、關閉工作站;
❾ 網路攻擊中的信息收集技術有那幾種
1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由於在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,並且在對包的標題頭進行讀取之後,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防禦:現在所有的標准TCP/IP實現都已實現對付超大尺寸的包,並且大多數防火牆能夠自動過濾這些攻擊,包括:從windows98之後的windows,NT(service pack 3之後),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻擊的能力。此外,對防火牆進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防禦:伺服器應用最新的服務包,或者在設置防火牆時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一台主機,這樣就生成在兩台主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦:關掉不必要的TCP/IP服務,或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用於創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該伺服器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防禦:在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂,由於釋放洪水的並不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址,此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鍾)。
防禦:打最新的補丁,或者在防火牆進行配置,將那些在外部介面上入站的含有內部源地址濾掉。(包括 10域、127域、192.168域、172.16到172.31域)
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防禦:為了防止黑客利用你的網路攻擊他人,關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊,在防火牆上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP
防禦:在防火牆上過濾掉UDP應答消息
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網路的帶寬。
防禦:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防禦:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器的控制。
防禦:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權,安裝此程序的人就可以直接遠程式控制制目標系統。最有效的一種叫做後門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用於控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦:避免下載可疑程序並拒絕執行,運用網路掃描軟體定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防禦:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防禦:在防火牆上過濾掉ICMP應答消息。
埠掃描
概覽:通常使用一些軟體,向大范圍的主機連接一系列的TCP埠,掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦:許多防火牆能檢測到是否被掃描,並自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然後根據返回「host unreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到,黑客轉而使用不會觸發防火牆規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防禦:NAT和非路由代理伺服器能夠自動抵禦此類攻擊,也可以在防火牆上過濾「host unreachable」ICMP應答。
慢速掃描
概覽:由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的資料庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與資料庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防禦:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用於識別的埠擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦:在防火牆處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。
防禦:關閉finger服務並記錄嘗試連接該服務的對方IP地址,或者在防火牆上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。
防禦:對於刺探內部網路的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麼應把LDAP伺服器放入DMZ。
4、假消息攻擊
用於攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證,這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。
防禦:在防火牆上過濾入站的DNS更新,外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。
偽造電子郵件
概覽:由於SMTP並不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識並相信的人,並附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防禦:使用PGP等安全工具並安裝電子郵件證書。