Где искать доказательства

Что может произойти

Вы подозреваете, что некий инсайдер незаконно получил доступ к вашей e-mail. Вы уезжали на десять дней. По возвращении вы ожидали увидеть сотни e-mail сообщений. Однако вы удивились, когда после соединения со своим почтовым сервером получили только четыре новых сообщения.

Вы обратились к техническому персоналу и спросили, не было ли с поч­товым сервером каких-либо проблем, когда вы были в отпуске. Вас заверили, что проблем не было вообще. Вы немного смущены отсутствием какой-либо почты, пока системный администратор позже не обнаружил запись в журна­лах почты, которая показывает, что неавторизованный пользователь зареги­стрировался на POP-сервере с помощью вашей учетной записи 12/5/00 в 6:43:27 вечера, и затем снова в 6:47:45 вечера. Согласно почтовому журналу, доступ к вашей учетной записи почты получил IP-адрес 10.0.2.8. Вы понимаете, что подозреваемый должен был сделать запись в почтовом журна­ле. Теперь необходимо определить, кто имел IP-адрес 10.0.2.8 в это время.

Вы нашли сервер DHCP и получили журналы DHCP. Так как сервер DHCP находится на системе Windows, необходимо просмотреть файл DhcpSrvLog для определения, кто имел IP-адрес 10.0.2.8 во время обращения к вашей учетной записи почты. Далее следует фрагмент из записей сервера DHCP на Windows 2000. Чтобы облегчить работу, можно воспользоваться имею­щимся в файле DhcpSrvLog ID-события. Вы ищете в файле ID-события 10 или 11 около времени инцидента. ID-события 10 и ID-события 11 показыва­ют IP-адрес, выделенный определенному МАС-адресу.

Microsoft DHCP Service Activity Log

Event ID Meaning

00 The log was started.

01 The log was stopped.

02 The log was temporarily paused due to low disk space.

10 A new IP address was leased to a client.

11 A lease was renewed by a client.

12 A lease was released by a client.

13 An IP address was found to be in use on the network.

14 A lease request could not be satisfied because the scope's address pool was exhausted.

15 A lease was denied.

16 A lease was deleted.

17 A lease was expired.

20 A BOOTP address was leased to a client.

21 a dynamic BOOTP address was leased to a client.

22 A BOOTP request could not be satisfied because the scope's address pool for BOOTP was exhausted.

23 A BOOTP IP address was deleted after checking to see it was not in use.

50+ Codes above 50 are used for Rogue Server Detection information.

ID Date,Time,Description,IP Address,Host Name,MAC Address

1) 11,12/05/00,18:35:38,Renew,10.0.2.8,lappie-XX.,00104BDF3720

2)11,12/05/00,18:35:40,Renew,10.0.2.78,TEST2.company.com,006097CC6172

3)11,12/05/00,18:35:40,Renew,10.0.2.8,lappie-XX.,00104BDF3720

4)11,12/05/00,18:39:33,Renew,10.0.2.78,TEST2.company.com,006097CC6172

5) 10,12/05/00,18:39:43,Assign,10.0.2.94,,005056AC0208

6) 17,12/05/00,18:47:55,Expired,10.0.2.21,,

В строках 1 и 3 отметим, что система, называемая lappie-XX, обновила IP-адрес 10.0.2.8. Подозрительная система имеет МАС-адрес 00104BDF3720. Теперь вам необходимо определить, у кого из ваших сотрудников есть сис­тема lappie-XX с МАС-адресом 00104BDF3720.

Многие корпорации учреждают управление конфигурацией, которое требует специальные соглашения об именах систем. Это значительно упро­щает трассировку источника незаконного доступа по имени системы.

Соответственно, это также упрощает атакующему использование системно­го имени кого-то другого. Чтобы проследить МАС-адрес до истинного вла­дельца, необходимо определить владельца системы, а затем осуществить поиск в этой системе исчезнувшей почты.

Дата добавления: 2014-01-07; Просмотров: 437; Нарушение авторских прав?; Мы поможем в написании вашей работы!