[07/Mar/2004:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四个字段表示客户端使用的是哪种加密方式,以下的SSL_request_log分别记录从OpenSSL、Internet Explorer和Netscape客户端程序发出的要求:
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常会复制目标网站,也就是所谓的镜射网站,用它来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址
http://www.tenmax.com/teleport/pro/home.htm)和Unix系统的Wget(网址http://www.gnu.org/manual/wget/)。在这里我为大家分析Wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容:这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要知道这是镜射这个动作是很简单的事。以下是IIS的记录文件: 16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
这里的11.1.2.80这个主机是Unix系统的客户端,是用Wget软件发出请求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
这里的11.1.1.50系统是窗口环境的客户端,用的是TeleportPro发出的请求。
小提示:以上两个主机都要求Robots.txt这个文档,其实这个档案是网页管理员的工具,作用是防止Wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出Robots.txt档的要求,常常代表是要镜射整个网站。但TeleportPro和Wget这两个软件都可以把要求Robots.txt这个文件的功能取消。
黑客还可以用网页漏洞稽核软件Whisker(网址
http://www.wiretrip.net/)来侦查网页服务器有没有安全后门。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件:
