|
滿屏閃爍的代碼 帽兜中忽明忽暗的臉 談笑間輕輕按下的回車鍵 一次黑客攻擊悄無聲息的發(fā)生了 …… 隨著黑客技術(shù)的不斷發(fā)展和普及,黑客攻擊變得越來越普遍�,企業(yè)和組織面對的網(wǎng)絡(luò)攻擊風(fēng)險與日俱增,防御措施需要更加敏感和先進(jìn)���。 通常���,黑客攻擊都是通過網(wǎng)絡(luò)發(fā)起的。了解網(wǎng)絡(luò)取證可以幫助我們及時發(fā)現(xiàn)網(wǎng)絡(luò)中黑客攻擊的行為��,進(jìn)而保護(hù)整個網(wǎng)絡(luò)免受黑客的攻擊���。今天我們主要分享網(wǎng)絡(luò)取證過程中非常重要的一項——即流量分析��,并模擬利用流量分析的方式還原惡意攻擊入侵的全過程�����,希望帶給您一定參考價值���! 我們將從以下幾方面展開相關(guān)分享。 一���、什么是網(wǎng)絡(luò)取證 從本質(zhì)上講��,網(wǎng)絡(luò)取證是數(shù)字取證的一個分支��,網(wǎng)絡(luò)取證是對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲��、記錄和分析�����,以確定網(wǎng)絡(luò)攻擊的來源�。 其主要目標(biāo)是收集證據(jù),并試圖分析從不同站點和不同網(wǎng)絡(luò)設(shè)備(如防火墻和IDS)收集的網(wǎng)絡(luò)流量數(shù)據(jù)�。 此外,網(wǎng)絡(luò)取證也是檢測入侵模式的過程��,它可以在網(wǎng)絡(luò)上監(jiān)控以檢測攻擊并分析攻擊者的性質(zhì)�����,側(cè)重于攻擊者活動����。 二、 網(wǎng)絡(luò)取證的步驟 網(wǎng)絡(luò)取證主要包括以下步驟 識別 根據(jù)網(wǎng)絡(luò)指標(biāo)識別和確定事件�。 保存 存在的問題及原因。 搜集 使用標(biāo)準(zhǔn)化方法和程序記錄物理場景并復(fù)制數(shù)字證據(jù)�����。 檢查 深入系統(tǒng)搜索與網(wǎng)絡(luò)攻擊有關(guān)的證據(jù)��。 分析 確定重要性��,多維度分析網(wǎng)絡(luò)流量數(shù)據(jù)包����,并根據(jù)發(fā)現(xiàn)的證據(jù)得出結(jié)論。 展示 總結(jié)并提供已得出結(jié)論的解釋����。 事件 響應(yīng) 根據(jù)收集的信息啟動對檢測到的攻擊或入侵的響應(yīng),以驗證和評估事件����。 與其它數(shù)據(jù)取證一樣,網(wǎng)絡(luò)取證中的挑戰(zhàn)是數(shù)據(jù)流量的嗅探�、數(shù)據(jù)關(guān)聯(lián)、攻擊來源的確定�。由于這些問題,網(wǎng)絡(luò)取證的主要任務(wù)是分析捕獲的網(wǎng)絡(luò)數(shù)據(jù)包����,也就是流量分析�。 三��、流量分析 A.什么是流量分析��? 網(wǎng)絡(luò)流量是指能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)流量�。 不同的應(yīng)用層,流量分析起到的作用不同����。 1.用戶層:運(yùn)營商通過分析用戶網(wǎng)絡(luò)流量,來計算網(wǎng)絡(luò)消費(fèi)����。 2.管理層:分析網(wǎng)絡(luò)流量可以幫助政府、企業(yè)了解流量使用情況��,通過添加網(wǎng)絡(luò)防火墻等控制網(wǎng)絡(luò)流量來減少資源損失���。 3.網(wǎng)站層:了解網(wǎng)站訪客的數(shù)據(jù)����,如ip地址��、瀏覽器信息等���;統(tǒng)計網(wǎng)站在線人數(shù)�����,了解用戶所訪問網(wǎng)站頁面�;通過分析出異?���?梢詭椭W(wǎng)站管理員知道是否有濫用現(xiàn)象;可以了解網(wǎng)站使用情況�,提前應(yīng)對網(wǎng)站服務(wù)器系統(tǒng)的負(fù)載問題;了解網(wǎng)站對用戶是否有足夠的吸引能力�����。 4.綜合層:評價一個網(wǎng)站的權(quán)重����;統(tǒng)計大多數(shù)用戶上網(wǎng)習(xí)慣,從而進(jìn)行有方向性的規(guī)劃以更適應(yīng)用戶需求��。 B.如何進(jìn)行流量分析����? 網(wǎng)絡(luò)流量分析主要方法: 1.軟硬件流量統(tǒng)計分析 基于軟件通過修改主機(jī)網(wǎng)絡(luò)流入接口�����,使其有捕獲數(shù)據(jù)包功能���,硬件主要有用于收藏和分析流量數(shù)據(jù),常見的軟件數(shù)據(jù)包捕獲工具pCap(packet capture)����,硬件有流量鏡像的方式。 2.網(wǎng)絡(luò)流量粒度分析 在bit級上關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征�,如網(wǎng)絡(luò)線路傳輸速率,吞吐量變化等���;在分組級主要關(guān)注ip分組達(dá)到的過程�����,延遲�,丟包率����;在流級的劃分主要依據(jù)地址和應(yīng)用協(xié)議,關(guān)注于流的到達(dá)過程、到達(dá)間隔及其局部特征�。 網(wǎng)絡(luò)流量分析常用技術(shù) RMON技術(shù) RMON(遠(yuǎn)程監(jiān)控)是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn),RMON是對SNMP標(biāo)準(zhǔn)的擴(kuò)展�,它定義了標(biāo)準(zhǔn)功能以及遠(yuǎn)程監(jiān)控和網(wǎng)管站之間的接口,實現(xiàn)對一個網(wǎng)段或整個網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行監(jiān)控���。 SNMP技術(shù) 此技術(shù)是基于RMON和RMON II�,僅能對網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析����,能獲取設(shè)備端口出入歷史或?qū)崟r的流量統(tǒng)計信息�����、不能深入分析包類型����、流向信息,具有實現(xiàn)簡單���,標(biāo)準(zhǔn)統(tǒng)一���,接口開放的特點。 實時抓包分析 提供纖細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析����,而非用戶流量訪問統(tǒng)計和趨勢分析,僅能在短時間內(nèi)對流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析�,無法滿足大流量、長期的抓包和趨勢分析的要求�。 FLOW技術(shù) 當(dāng)前主流技術(shù)主要有兩種,sFlow和netFlow��。 sFlow是由InMon�����、HP和Foundry Netfworks在2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)控技術(shù)�,它采用數(shù)據(jù)流隨機(jī)采樣技術(shù),可以提供完整的�����,甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息����,能夠提供超大網(wǎng)絡(luò)流量(如大于10Gbps)環(huán)境下的流量分析,用戶能夠?qū)崟r�����、詳細(xì)的分析網(wǎng)絡(luò)傳輸過程中的傳輸性能、趨勢和存在的問題����。 NetFlow是Cisco公司開發(fā)的技術(shù),它既是一種交換技術(shù)���,又是一種流量分析技術(shù)�,同時也是業(yè)界主流的計費(fèi)技術(shù)之一��?����?梢栽敿?xì)統(tǒng)計IP流量的時間�����、地點�����、使用協(xié)議���、訪問內(nèi)容�����、具體流量���。 C.流量分析在取證中作用 計算機(jī)取證可以分為事后取證和實時取證。而流量分析正是實時取證的重要內(nèi)容���,對原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原�、重現(xiàn)入侵現(xiàn)場具有重要意義�。 事后取證 事后取證也稱為靜態(tài)取證,是指設(shè)備在被入侵后運(yùn)用各種技術(shù)對其進(jìn)行取證工作����。隨著網(wǎng)絡(luò)犯罪的方法和手段的提高,事后取證已不能滿足計算機(jī)取證的需求��。 實時取證 實時取證���,也被稱為動態(tài)取證��,是指通過設(shè)備或軟件實時捕獲流經(jīng)網(wǎng)絡(luò)設(shè)備和終端應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)并分析網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)容�����,來獲取攻擊者的企圖和攻擊者的行為證據(jù)����。 利用分析采集后的數(shù)據(jù),對網(wǎng)絡(luò)入侵時間��,網(wǎng)絡(luò)犯罪活動進(jìn)行證據(jù)獲取�、保存、和還原���,流量分析能夠真實����、持續(xù)的捕獲網(wǎng)絡(luò)中發(fā)生的各種行為�����,能夠完整的保存攻擊者攻擊過程中的數(shù)據(jù)����,對保存的原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原�,重現(xiàn)入侵現(xiàn)場�。 四.流量分析取證過程模擬 下面是我們使用wireshark抓取本地虛擬機(jī)網(wǎng)絡(luò)流量�,并使用構(gòu)建的漏洞環(huán)境進(jìn)行流量取證分析過程的示例模擬,真實還原惡意攻擊入侵的全過程����。(以下模擬案例、數(shù)據(jù)是本文分享的主要內(nèi)容�,僅供參考學(xué)習(xí)。任何人不得用于非法用途��,轉(zhuǎn)載請注明出處����,否則后果自負(fù)。) 具體操作步驟: 1����、打開wireshark抓取指定虛擬機(jī)網(wǎng)絡(luò); 2��、使用NAT模式將虛擬機(jī)中漏洞環(huán)境的80端口映射到本地主機(jī)的9999端口并訪問漏洞環(huán)境網(wǎng)站���; 3�、在漏洞環(huán)境中的網(wǎng)站發(fā)現(xiàn)一個登錄頁面���,并且沒有驗證碼����; 4、使用burpsuite攔截登錄請求�����,并使用intruder模塊進(jìn)行登錄爆破���; 5����、通過暴力破解找到登錄的用戶名和密碼����,然后利用用戶名admin和密碼admin登錄,猜測是后臺管理員用戶名和密碼成功登錄網(wǎng)站后臺�����; 同時還在漏洞環(huán)境的網(wǎng)站中找到一個文件上傳的頁面并上傳惡意文件�����; 6�����、上傳文件后點擊browse�,看到文件描述,使用F12查看文件在網(wǎng)站的路徑到找到上傳文件的具體位置����; 7、使用惡意文件連接工具連接惡意文件并進(jìn)行相關(guān)惡意操作���; 8�、在wirkshark中查看已捕獲的惡意攻擊者入侵的整個流程和詳細(xì)內(nèi)容�����; 9�����、查看通過http協(xié)議進(jìn)行的通信內(nèi)容: 看到源IP 192.168.0.168訪問了的漏洞環(huán)境中網(wǎng)站的/wordpress/接著訪問了wordpress/wp-login.php然后對wordpress/wp-login.php進(jìn)行了一系列的POST請求����,說明攻擊者在進(jìn)行一系列的登錄��。 10���、在這些請求內(nèi)容中發(fā)現(xiàn)一個狀態(tài)碼為302,302表示頁面重定向���。 11�、通過追蹤流的形式查看整個請求內(nèi)容��,看到使用用戶名admin和密碼admin進(jìn)行了登錄��,且重定向到了wp-admin/�����; 12�����、繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者進(jìn)行了對后臺頁面的登錄����; 13、在后面的數(shù)據(jù)記錄中發(fā)現(xiàn)攻擊者訪問了wordpress/ap-admin/post.php?action=edit&post=4的頁面; 14��、在此處發(fā)現(xiàn)了一個POST請求�,并上傳了一個名為image.php的文件���,通過流追蹤的方式查看到文件內(nèi)容��,文件類容正是我們上傳的內(nèi)容�����; 15�����、看到上傳惡意文件的文件名稱�����,繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者訪問了image.php這個惡意文件�,并隨后并發(fā)起了一系列POST請求�����; 16、查看這些請求和響應(yīng)內(nèi)容均為加密內(nèi)容�����; 至此我們通過本地模擬惡意攻擊者入侵過程��,并利用流量分析的方式對惡意攻擊者入侵的過程進(jìn)行了一個真實完整的還原����,充分體現(xiàn)了網(wǎng)絡(luò)流量分析在計算機(jī)實時取證中有著重要的作用和意義。 本文主要介紹了網(wǎng)絡(luò)取證之流量分析的方法和技術(shù)�,并實操利用流量分析方式對惡意攻擊者入侵進(jìn)行完整還原取證的全過程,希望對大家有參考價值�����!
|
