IIS log参数详解（攻防日志）

一个用户访问一个页面 先加载该地址

2010-06-03 00:28:32 W3SVC1 172.16.15.165 GET /xcb/webadmin/admin.asp 80 - 172.16.189.102 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+InfoPath.2;+CIBA;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729) 200 0 0

随后加载该网页的其他元素 如图片 FLASH等

GET是打开  POST是提交 

 

追踪方法先根据可疑地址入口追踪IP 和可疑地址口 或可疑字段

脚本攻击的字符串如 %23 ‘  select  update   shell等

注意可疑IP的变换 但万变不离其中

分析入侵者心理  耐心 细心~！

附IIS LOG参数详解

date(日期)   2007-11-17
time(时间)   16:02:09
cs-method(方法)   GET
cs-uri-stem(URI资源) /b2b_cplist.asp //代表访问的资源是当前这个文件
cs-uri-query(URI查询) catid=30 // 具体的访问参数
（cs-uri-stem+ cs-uri-query=实际访问的文件：/b2b_cplist.asp? catid=30）
s-port(服务器端口) 80
c-ip(客户端IP)   211.155.23.176（实际是网站所在服务器的IP）
cs(User-Agent) Baiduspider+(+http://www.baidu.com/search/spider.htm) //百度在收录你呢J
cs(Referer) (引用站点) http://www.bosstang.net 搜索的站点
sc-status(协议状态) 200 //200表示OK
sc-substatus(协议子状态) 0
sc-win32-status(Win32状态) 0
sc-bytes(发送的字节数) 1329 //表示当前文件的大小
日期 date
时间 time
客户IP地址 c-ip
用户名 cs-username
方法 cs-method
URI资源 cs-uri-stem
协议状态 sc-status
发送字节数 sc-bytes
协议版本 cs-version
用户代理 cs(User-Agent)
参照 cs(Referer)

        HTTP协议状态码的含义,协议状态sc-status，是服务器日记扩展属性的一项。下面是各状态码含义列表:

"100" : Continue                       客户必须继续发出请求
"101" : witching Protocols         客户要求服务器根据请求转换HTTP协议版本　　200交易成功
"200" : OK                                交易成功
"201" : Created                        提示知道新文件的URL
"202" : Accepted                      接受和处理、但处理未完成
"203" : Non-Authoritative Information    返回信息不确定或不完整
"204" : No Content                    请求收到，但返回信息为空
"205" : Reset Content                服务器完成了请求，用户代理必须复位当前已经浏览过的文件
"206" : Partial Content              服务器已经完成了部分用户的GET请求
"300" : Multiple Choices             请求的资源可在多处得到
"301" : Moved Permanently        删除请求数据
"302" : Found                             在其他地址发现了请求数据
"303" : See Other                       建议客户访问其他URL或访问方式
"304" : Not Modified                   客户端已经执行了GET，但文件未变化
"305" : Use Proxy                       请求的资源必须从服务器指定的地址得到        
"306"                                                        前一版本HTTP中使用的代码，现行版本中不再使用
"307" : Temporary Redirect                     申明请求的资源临时性删除
"400" : Bad Request                                 错误请求，如语法错误
"401" : Unauthorized                                 请求授权失败
"402" : Payment Required                       保留有效ChargeTo头响应
"403" : Forbidden                                    请求不答应
"404" : Not Found                                    没有发现文件、查询或URl
"405" : Method Not Allowed                      用户在Request-Line字段定义的方法不答应
"406" : Not Acceptable                             根据用户发送的Accept拖，请求资源不可访问
"407" : Proxy Authentication Required     类似401，用户必须首先在代理服务器上得到授权
"408" : Request Time-out               客户端没有在用户指定的饿时间内完成请求
"409" : Conflict                                对当前资源状态，请求不能完成
"410" : Gone                                   服务器上不再有此资源且无进一步的参考地址
"411" : Length Required                 服务器拒绝用户定义的Content-Length属性请求
"412" : Precondition Failed              一个或多个请求头字段在当前请求中错误
"413" : Request Entity Too Large    请求的资源大于服务器答应的大小
"414" : Request-URI Too Large      请求的资源URL长于服务器答应的长度
"415" : Unsupported Media Type     请求资源不支持请求项目格式　
"416" : Requested range not satisfiable   请求中包含Range请求头字段，在当前请求资源范围内没有range指示值，请求也不包含If-Range请求头字段
"417" : Expectation Failed     服务器不满足请求Expect头字段指定的期望值，假如是代理服务器，
"500" : Internal Server Error 服务器产生内部错误
"501" : Not Implemented    服务器不支持请求的函数
"502" : Bad Gateway      服务器暂时不可用，有时是为了防止发生系统过载
"503" : Service Unavailable 服务器过载或暂停维修
"504" : Gateway Time-out   关口过载，服务器使用另一个关口或服务来响应用户，等待时间设定值较长
"505" : HTTP Version not supported 服务器不支持或拒绝支请求头中指定的HTTP版本