第1页 / 共11页
第2页 / 共11页
第3页 / 共11页
第4页 / 共11页
第5页 / 共11页
第6页 / 共11页
第7页 / 共11页
第8页 / 共11页
Web服务器日志取证分析方法.docx
摘 要:随着Internet广泛普及,网站数量也急剧增长,网上交易也被普遍接受,随之而来黑客攻击、
关键词:Web服务器;日志;取证分析
[Abstract] With the wide popularity of Internet,
[Key words] The Web server; log; forensics analysi
一、Web日志分析原理
(1)客户端向Web server发出请求,根据HTTP协议,这个请求中包含了客户端的IP地址、浏览
(2)服务端收到请求后,根据请求将客户要求的信息内容返回到客户端。如果出现错误,那么返回错误代码。
(3)服务器端将访问信息和错误信息记录记录到日志里。
二、常见Web Server日志知识介绍
目前常见的WEB日志格式主要由两类,一类是Apache的NCSA日志格式,另一类是IIS的W3C日志
(一)IIS日志文件格式
(二)NCSA 公用日志文件格式
(三)ODBC日志记录格式
三、常见Web攻击日志形态
(一)SQL注入攻击尝试日志
SQL攻击利用的是特定页面代码的漏洞,在探测到漏洞后后继的攻击就会利用该页面进行,因此在日志统计中将
由SQL 注入攻击的本质可知攻击者提交的请求中一定包含着符合SQL语法要求的SQL语句。SQL语句的
分析其中一部分:
访问方法:GET
访问资源:/shqj/Customer/Product/List.aspx
客户端提交参数:
SearchKey=MemberPrice&SearchKeyword=smt%'%20and%20
端口号:80
特征:%20AnD%201=1%20AnD%201=2
(二)Webshell操作日志
使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面
特征:Action=filesystem、fsAction=
(三)SQL注入蠕虫数据库插入恶意代码日志
通过SQL注入,可以实现蠕虫,对每个页面插入恶意代码,适用与SQL Server
SQL注入蠕虫数据库插入恶意代码日志记录如图7所示。
特征:DeClArE%20@ eXeC(@vArChAr(、/**/@
四、Web日志取证与分析方法手段
(1)人工分析,人工对日志进行查看,查找可疑的日志信息。
\w#匹配包括下划线的任何单词字符。等价于'[A-Za-z0-9_]'
\d #匹配一个数字字符。等价于 [0-9]。
>type apacheaccess.log |find “POST / “ >post.tx
#过滤所有POST请求
>type apacheaccess.log |find “ 212.1.23.4“ >ip.txt
(三)Web日志分析工具
(1)Logparser
Log Parser 是微软免费强大的日志分析工具,具备通用的日志分析的能力,学会使用此款工具,就能
Log Parser在Dos环境中运行,如图7所示。
通过文件名定位攻击者ip
logparser -o:datagrid "select * from ex* where TO_
通过ip跟踪整个攻击流程
五、结论
参 考 文 献
甘肃政法学院
本科学年论文(设计)
题 目 Web 服务器日志取证分析方法
公安技术学院 学院 网络安全与执法 专业
2015 级 网络安全与执法本科 班
号: 201583140138
学
姓
名:
指导教师:
薛博文
王春兰
成
绩:________________
完成时间: 2017 年 11 月
目 录
摘 要.............................................................................................................................................1
关键词.............................................................................................................................................1
Abstract.......................................................................................................................................... 1
Key words..................................................................................................................................... 1
一、Web 日志分析原理........................................................................................................ 1
二、常见 Web Server 日志知识介绍......................................................................... 2
(一)IIS 日志文件格式...................................................................................................2
(二)NCSA 公用日志文件格式....................................................................................... 2
(三)ODBC 日志记录格式.................................................................................................2
(四)W3C 扩展日志格式...................................................................................................3
三、常见 Web 攻击形态.......................................................................................................3
(一)SQL 注入攻击尝试日志..........................................................................................3
(二)Webshell 操作日志.................................................................................................4
(三)SQL 注入蠕虫插入恶意代码日志....................................................................... 4
四、Web 日志分析思路和方法手段............................................................................. 4
(一)Web 日志取证............................................................................................................ 5
(一)Web 日志分析思路...................................................................................................6
(二)Web 日志分析工具...................................................................................................6
五、结论....................................................................................................................................... 7
参 考 文 献................................................................................................................................... 8
Web 服务器日志取证分析方法
薛博文
摘 要:随着 Internet 广泛普及,网站数量也急剧增长,网上交易也被普遍接
受,随之而来黑客攻击、盗取机密等网络犯罪案件越来越多,因此监控网站的运
行状态和提高网站的服务水平是必不可少的。通过对 Web 服务器的日志文件进行
分析取证,能有效的掌握运行情况、加强对整个网站及其内容的管理和维护。本
文对 Web 服务器的日志的方式种类及分析方法进行讨论。
关键词:Web 服务器;日志;取证分析
Web server log forensics analysis method
Xue Bowen
[Abstract] With the wide popularity of Internet, the website the number is growing sharply, and
online trading has been generally accepted, followed by hacker attacks, network crimes such as stealing
secrets more and more, so monitoring the running state for site and improve the service level of the
website is indispensable.By analyzing the log files of the Web server, it can effectively control the
operation situation and strengthen the management and maintenance of the entire website and its
contents.This article discusses the types and methods of Web server logging.
[Key words] The Web server; log; forensics analysis
一、Web 日志分析原理
Web 服务器日志记录了 Web sever 接收请求以及运行状态的各种原始信息。通过对这
些信息的分析能有效的掌握服务器的运行状态,诊断差错事故、发现和排除错误、了解访问
分布等,加强系统的维护和管理。
在 WWW 服务中,服务的模型如图 1。
图 1 服务器模型
1
(1)客户端向 Web server 发出请求,根据 HTTP 协议,这个请求中包含了客户端的 IP
地址、浏览器类型、请求的 URL 等一系列信息。
(2)服务端收到请求后,根据请求将客户要求的信息内容返回到客户端。如果出现错
误,那么返回错误代码。
(3)服务器端将访问信息和错误信息记录记录到日志里。
二、常见 Web Server 日志知识介绍
目前常见的 WEB 日志格式主要由两类,一类是 Apache 的 NCSA 日志格式,另一类是 IIS
的 W3C 日志格式。NCSA 格式又分为 NCSA 普通日志格式(CLF)和 NCSA 扩展日志格式(ECLF)
两类,目前最常用的是 NCSA 扩展日志格式(ECLF)及基于自定义类型的 Apache 日志格式;
而 W3C 扩展日志格式具备了更为丰富的输出信息,但目前的应用并不广泛。本文笔者着重介
绍:IIS 日志文件格式、NCSA 公用日志文件格式、ODBC 日志记录格式、W3C 扩展日志文件格
式四种。
(一)IIS 日志文件格式
IIS 格式固定的 ASCII 格式。包括一些基本项目,如用户的 IP 地址、用户名、请求日
期和时间、服务状态码和接收的字节数。另外,IIS 格式还包括详细的项目,如所用的时间、
发送的字节数、动作和目标文件。这些项目用逗号分开,使得格式比使用空格作为分隔符的
其他 ASCII 格式更易于阅读。时间记录为本地时间。其格式如图 2 所示。
(二)NCSA 公用日志文件格式
图 2
IIS 日志文件格式
(美国)国家超级计算技术应用中心 (NCSA) 公 用格式是一种固定的 ASCII 格式。NCSA
公用格式记录了关于用户请求的基本 信息,如远程主机名、用户名、日期、时间、请求类
型、HTTP 状态码和服务器发送的字节数。项目之间用空格分开;时间记录为本地时间。其
格式如图 3 所示。
图 3 NCSA 公用日志文件格式
2
(三)ODBC 日志记录格式
ODBC 日志记录格式是对符合开放式数据库连(ODBC)的数据库(Microsoft Access 或
Microsoft SQL Server™)中一组固定的数据属 性的记录。记录的某些项目中包含有用户的
IP 地址、用户名、请求日期和时间(记录为本地时间)、HTTP 状态码、接收字节、发送字
节、执行的操作和目标。对于 ODBC 日志记录,必须指定要登录的数据库,并且设置数据库
接收数据。
(四)W3C 扩展日志文件格式
W3C 扩展格式是一个包含多个不同属性、可自 定义的 ASCII 格式。可以记录对您来说
重要的 属性,同时通过省略不需要的属性字段来限制 日志文件的大小。属性以空格分开。
时间以 UTC 形式记录。Web 服务器日志默认保存位置:C:\WINDOWS\system32\LogFiles
其格式如图 4 所示。
图 4 W3C 扩展日志文件格式
从日志文件提供的信息中对访问时间段、访问请求 URL、状态代码、访问者的浏览器类
型能信息进行统计和分析,就可以对整个网站有一个数字化、精确的认识,从而对网站的设
计和内容进行改善和调整,使之更好地提供服务。
三、常见 Web 攻击日志形态
(一)SQL 注入攻击尝试日志
SQL 攻击利用的是特定页面代码的漏洞,在探测到漏洞后后继的攻击就会利用该页面进
行,因此在日志统计中将表现出某个 IP 地址对特定页面的请求数相当高。SQL 攻击后日志
会产生相应的记录,如图 5 所示。
由 SQL 注入攻击的本质可知攻击者提交的请求中一定包含着符合 SQL 语法要求的 SQL
语句。SQL 语句的语法要求关键字和参数之间必须使用空白符分割因此在 SQL 攻击的请求参
数中必将出现空白字符。另外 SQL 注入攻击除了探测漏洞之外其他步骤(比如探测字段内容)
中使用的 SQL 结构都是比较复杂的,越复杂的 SQL 语句中空白字符也越多。根据注入方法中
利用的 SQL 语句特点,在探测漏洞的 SQL 语句中出现 2 个空白字符在探测表及字段名称的语
句中至少出现 5 个空白字符,探测字段长度和内容的语句中则更多。因此,在请求字符串中
出现大量的空白字符是 SQL 注人攻击行为的一个重要特征。
3
图 5 SQL 攻击后日志形成的记录
分析其中一部分:
访问方法:GET
访问资源:/shqj/Customer/Product/List.aspx
客户端提交参数:
SearchKey=MemberPrice&SearchKeyword=smt%'%20and%20(SELECT%20SUSER_NAME())='
sa';BACKUP%20DATABASE%20dsis2008%20TO%20DISK%20=%20'd:\dbBackTest.bak';--
端口号:80
特征:%20AnD%201=1
(二)Webshell 操作日志
%20AnD%201=2
使用 Webshell 一般不会在系统日志中留下记录,但是会在网站的 web 日志中留下
Webshell 页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请
求模型从而检测出异常文件,称之为:HTTP 异常请求模型检测。例如:一个平时是 GET 的
请求突然有了 POST 请求并且返回代码为 200、某个页面的访问者 IP、访问时间具有规律性
等。Webshell 页面的访问数据和数据提交记录如图 6 所示。
图 6 Webshell 页面的访问数据和数据提交记录
特征:Action=filesystem、fsAction=
(三)SQL 注入蠕虫数据库插入恶意代码日志
通过 SQL 注入,可以实现蠕虫,对每个页面插入恶意代码,适用与 SQL Server
SQL 注入蠕虫数据库插入恶意代码日志记录如图 7 所示。
4
图 7 SQL 注入蠕虫数据库插入恶意代码日志记录
特征:DeClArE%20@ eXeC(@vArChAr( 、/**/@
四、Web 日志取证与分析方法手段
确定时间
确定特征文
快速搜索
分析攻击
IP 地址过滤
类型过滤
状态过滤
(一)Web 日志取证
Web 日志分析思路图
(1)获取和查看 Web 服务器、应用服务器、数据库服务器 的日志文件。日志是涉网
犯罪(尤其是针对 Web 等网络应用服 务的案件)的重要证据来源。
(2)识别异常的应用行为。包括客户端的异常输入行为、 异常的 Web 访问趋势; 在
Web 取证过程中,能否识别异常的用 户行为是能否获取有效线索的关键。
(3)异常引用(referrers)流量。在 Web 取证中经常会使用 流量分析技术,特别是
一些拒绝服务攻击中,往往能从中分析出 确切的攻击时间。
(4)访问中 Cookie 的变化情况。服务器中应用服务设计不 同,产生的 Cookie 交换
信息也不同。
(5)跟踪到的客户端计算机的调查取证。针对 Web 应用的 网络攻击必然包括客户端
和服务器端,有时在客户端上提取的证 据能更加准确地反映犯罪事实。例如,在客户端上
提取的上网历史、缓存、Cookie 和删除记录。
(6)因特网的缓存。取证过程中一些涉及到的网页和站点 应用经过一段时间后,已经
被删除或下线,只能从删除数据中恢 复网络应用程序或者从因特网的缓存中获取。
(7)其他网络设备。Web 取证分析不是一个孤立的系统, 其访问日志和流量记录可能
涉及到路由器、防火墙、代理服务器 等网络节点和设备。这些设备的日志可以和 Web 的日
志进行综合相关分析,以更好地恢复 Web 历史事件。
(二)Web 日志分析思路
(1)人工分析,人工对日志进行查看,查找可疑的日志信息。
5
(2)利用正则表达式,快速匹配特定数据的日志。
\w #匹配包括下划线的任何单词字符。等价于'[A-Za-z0-9_]'
\d #匹配一个数字字符。等价于 [0-9]。
+ #匹配前面的子表达式一次或多次。
(3)过滤日志文件
>type apacheaccess.log |find “POST / “ >post.tx
#过滤所有POST请求
>type apacheaccess.log |find “ 212.1.23.4“ >ip.txt
#过滤212.1.23.4IP地址的所有请求
(4)统计分析,各类分析工具,统计包括URL数量、成功失败请求、客户端分布等。
(三)Web 日志分析工具
(1)Logparser
Log Parser 是微软免费强大的日志分析工具,具备通用的日志分析的能力,学会使用
此款工具,就能够实现对 windows 系统日志,iis、apache、tomcat、nginx 日志进行分析。
Log Parser 在 Dos 环境中运行,如图 7 所示。
图 8
Log Parser 使用界面
通过文件名定位攻击者ip
logparser -o:datagrid "select * from ex* where TO_LOWERCASE(cs-uri-stem) like
'%dj888.aspx%'"
通过ip跟踪整个攻击流程
logparser -o:datagrid "select * from ex* where c-ip = '117.9.38.246'"
(2)Web Log Explorer
Web Log Explorer 可以统计分析 Apache、IIS 网站主机的.log 纪录文件,能够将多
种关于网站浏览者的统计资料彻底解析,包括:参观人次、动态状况、文件存取状态、参照
网页、搜寻引擎、错误、来访者国家、网站搜寻字符串/词组等等。
Web Log Explorer应用界面如图8所示。
6
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
