Безопасность IIS

       

ПРОБЛЕМА


Если вы умеете работать с журналами, то узнаете много о действиях, выполняемых пользователями, посещающие сайт. Несколько лет назад был пойман и осужден Кевин Мытник, в судебном процессе над которым главным вещественным доказательством был файл журнала. В нем содержались данные о том, какие действия выполнялись Мытником на взломанных системах.

Ниже приведен пример этих данных, состоящих из полей: Время, IP-адрес клиента, Метод, Ресурс URI, Состояние HTTP и Версия HTTP.

#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 1998-05-02 17:42:15 #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version 17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

Строка #Software означает программное обеспечение сервера, строка #Version – журнал, использующий расширенный формат файла. Строка #Date содержит информацию о дате. Для правильного прочтения файлов журнала необходимо знать следующие параметры:

ПрефиксЗначение
s-Действия сервера.
c-Действия клиента.
cs-Действия клиент-сервер.
sc-Действия сервер-клиент.

Руководствуясь приведенными данными, расшифруем две последние строки файла журнала.

ПолеДанные поляРасшифровка
time17:42Время: 17 часов 42 минуты 15 секунд.
c-ip172.16.255.255IP-адресом клиента был 172.16.255.255
cs-methodGETКлиент запросил метод HTTP GET на сервере.
cs-uri-stem/default.htmЗапрошенным ресурсом была домашняя страница.
sc-status200 HTTP/1.0Код состояния HTTP v1.0 "200" означает успешное выполнение запроса.

В данном примере не показано, что при настройке параметров можно выбрать большее число полей для включения в журнал. Если в полях журнала нет данных, то вместо информации отображается прочерк (—).



Содержание раздела