5.核心dump

　　这是一种相对较复杂的方法，但是也有效。一个安全稳定的守护进程在正常运行的时候是不会dump出系统的核心，当入侵者利用远程漏洞攻击时，许多服务正在执行一个getpeername的 socket 函数调用(参见socket编程)，因此入侵者的IP也保存在内存中，此时服务overflow ，系统p 内存页文件被dump到core文件，这意味着你可能在一大段杂乱无章的字符中(事实上是一个全局数据库中的进程变量)找到一个包含有执行此 expoloit的IP.BTW： 这段是参考了http://members.tripod.com/mixtersecurity/paper.html后写出的，我做了一个cmsd的远程攻击测试，但只在中间找到了入侵者远程overflow的部分命令，没有找到IP.不过这仍有理由相信Mixter(paper.html的作者)的话。

　　6.代理服务器日志

　　代理是大中型企业网常使用来做为内外信息交换的一个接口，它忠实地记录着每一个用户所访问的内容，当然，也包括入侵者的访问内容。以最常用的 squid代理为例，通常你可以在/usr/local/squid/logs/下找到access.log 这个庞大的日志文件，当然，由于日志记录添加得很快，在安全事故后应该及时备份它。你可以在以下地址获得squid的日志分析脚本：http： //www.squid-cache.org/Doc/Users-Guide/added/stats.html通过对敏感文件访问日志的分析，可以知道何人在何时访问了这些本该保密的内容。

　　7.路由器日志

　　默认方式下路由器不会记录任何扫描和登录，因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话，添加路由器的日志记录将有助于日后追踪入侵者。更重要的是，对于管理员来说，这样的设置能确定攻击者到底是内贼还是外盗。当然，你需要额外的一台服务器来放置 router.log文件。

　　在CISCO路由器上：

　　router(config)# logging faclity syslog

　　router(config)# logging trap informational

　　router(config)# logging [服务器名]

　　在log server上：

　　I.在/etc/syslog.conf中加入一行：

　　*.info /var/log/router.log

　　II.生成文件日志文件：

　　touch /var/log/router.log

　　III.重起syslogd进程：

　　kill -HUP `cat /var/run/syslogd.pid`

　　对于入侵者来说，在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的，这里有许多入侵者主观和客观的原因，而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力，是可以从大量的日志中分析出我们希望的信息。就入侵者的行为心理而言，他们在目标机上取得的权限越大，他们就越倾向于保守的方式来建立与目标机的连接。仔细分析早期的日志，尤其是包含有扫描的部分，我们能有更大的收获。

　　日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习，及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。