识破网络攻击的法宝：Log Parser

核心提示：“Log Parser”是现有的最有用的免费的Web服务工具之一，它使用SQL式的查询方式分析Web服务器记录文件，识破网络攻击的法宝：Log Parser，然后返回一个报告，显示记录中与查询相匹配的所有的内容，如果你每个星期运行一次Log Parser程序，或者每一天运行一次这个程序，你可以使

“Log Parser”是现有的最有用的免费的Web服务工具之一。它使用SQL式的查询方式分析Web服务器记录文件，然后返回一个报告，显示记录中与查询相匹配的所有的内容。你可以使用Log Parser创建一个搜索查询，查找试图攻击你的Web服务器和执行恶意代码的程序留下的签名。

如果你担心你的系统被黑，定期使用Log Parser进行检测能够帮助你了解正在发生什么类型的攻击以及这些攻击来自于什么地方。

同使用通用的字符串搜索工具(如UNIX grep指令)相比，使用Log Parser做这种搜索有以下几个优势:

1.这个程序使用标准的SQL查询。如果你已经熟悉SQL，你可以利用对这种语言现有的知识从这个程序中得到最好的结果。

2.你可以直接在记录中实施结构化的查询，这样你可以根据日期、时间和IP地址缩小查询的范围，而不必实施额外的过滤。

3.查询可存储为脚本文件，不定期地重复使用或者通过批处理文件或者VB shell脚本调用。

关于Log Parser工具的一个重要警告是它要求以一致的格式使用记录，包括栏目文件头。你需要恰当地指定使用哪一种格式。Log Parser支持大多数普通的类型(IIS、W3C、NCSA等等)。但是，服务器记录格式的各种类型的栏目定义是有很大区别的。这将影响你建立查询，因为你需要知道要分析哪一个栏目。

例如，如果你为你的记录使用标准的W3C格式，通过“CMD.EXE”命令寻找试图执行恶意代码的攻击的查询可能会查到如下的结果:select * from C:WINDOWSsystem32LogFilesW3SVC752518*.log where cs-uri-query like '%cmd.exe%'

当然，请注意，通向记录文件的确切路径每个系统都不一样。这个“cs-uri-query”栏目的名称将根据使用的记录类型而有所不同。这个程序自己的文件详细说明了对于各种记录来说哪一种栏目类型是合法的。

大多数攻击签名在实施普通的“GET”(获取)查询时是可以看到的。当你使用Log Parser等工具时，你会很容易发现这些攻击签名。需要查找的几个常见的签名是:

CMD.EXE

ROOT.EXE

AAAAAAAA / XXXXXXXX (used in many common buffer overflow exploits)

使用Log Parser做记录查询的另一个有用的功能是“iCheckpoint”功能。这项功能允许Log Parser“收藏”一个指定的记录文件，这样，当下一次运行Log Parser程序时，这个程序将接着上一次的工作继续进行分析，而不是一切都从头开始。要用一个特定的脚本使用iCheckpoint，调用Log Parser程序的命令行使用如下参数:-iCheckPoint:.lpc

checkpoint文件用来保存使用Log Parser分析的每一个文件的状态，因此你在指定的系统中可以使用同样checkpoint文件。如果你每个星期运行一次Log Parser程序，或者每一天运行一次这个程序，这个功能可以节省很多时间。