网络取证原理与实战

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
云防火墙,500元 1000GB
简介:
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://chenguang.blog.51cto.com/350944/1660017

 

网络取证原理与实战

一、分析背景

网络取证技术通过技术手段,提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据,形成证据链,根据证据链对网络犯罪行为进行调查、分析、识别,是解决网络安全问题的有效途径之一。目前,传统的计算机取证模型和方法比较成熟,而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。

二、取证分析特点

网络取证不同于传统的计算机取证,主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据的检测、整理、收集与分析,主要针对攻击网络服务(Web服务等)的网络犯罪。计算机取证属于典型的事后取证,当事件发生后,才会对相关的计算机或电子设备有针对性的进行调查取证工作。而网络取证技术则属于事前或事件发生中的取证,在入侵行为发生前,网络取证技术可以监测、评估异常的数据流与非法访问;由于网络取证中的电子证据具有多样性、易破坏性等特点,网络取证过程中需要考虑一下问题:

(1)按照一定的计划与步骤及时采集证据,防止电子证据的更改或破坏。网络取证针对的是网络多个数据源中的电子数据,可以被新数据覆盖或影响,极易随着网络环境的变更或者人为破坏等因素发生改变,这就要求取证人员迅速按照数据源的稳定性从弱到强的顺序进行取证。

(2)不要在要被取证的网络或磁盘上直接进行数据采集。根据诺卡德交换原理,当两个对象接触时,物质就会在这两个对象之间产生交换或传送。取证人员与被取证设备的交互(如网络连接的建立)越多、越频繁,系统发生更改的概率越高,电子证据被更改或覆盖的几率越大。这就要求在进行取证时不要随意更改目标机器或者目标网络环境,做好相关的备份

工作。

(3)使用的取证工具必须得到规范认证。网络取证可以借助OSSIM这种安全分析平台。

由于业内水平不一且没有统一的行业标准,对取证结果的可信性产生了一定的影响。这就要求取证人员使用规范的取证工具。四处在网上下载的小工具是没有说服力的。

    网络取证的重点是证据链的生成,其过程一般都是层次性的或基于对象的,一般可分为证据的确定、收集、保护、分析和报告等阶段,每个阶段完成后都会为下一个阶段提供信息,下一个阶段得到的结果又为前一个阶段的取证提供佐证。网络取证的每一个阶段都是相互联系的,这就需要这些信息相互关联,主要由关联分析引擎实现。

三、网络证据的数据源

网络取证的对象是可能记录了网络犯罪过程中遗留下来的数据的多个网络数据源。人们不管是使用Web 服务、云服务或社交网络服务,都需要包含服务提供端(如云服务器)、客户端(PC、手机等智能终端设备)以及网络数据流。

在网络取证证据的提取的过程中,首要的问题就是确定捕获什么样的数据。按照计算机取证的方法,为了准确地构造证据链,需要捕获网络环境中所有的数据(通过SPAN实现)。

四、网络证据分析

网络取证中证据链的开端是被入侵网站记录的非法访问数据。由于针对网络服务的犯罪往往是以窃取网络服务管理员的权限为突破口的,因此,进行网络取证工作时,首先就是针对用户权限以及用户访问点的调查。

取证者在可以进入程序管理模块调查用户账户的可疑记录,例如是否有管理员账户是用万能密码登陆的,后台是否有错误的管理账户登录记录以及可疑的文件记录,是否有用户加载了XSS 跨站session 脚本等异常脚本,进行边界数据监测如文件的上传与下载等用户活动。在进行证据收集的过程中,分析电子证据体现的可疑行为,从而推断犯罪者的攻击方式与信息,以作为下一步的取证活动的指导。

发现有可疑行为的用户记录后,收集该用户访问点的所有访问记录,包括认证用户的权限与对应的会话管理等,记录该用户的所有会话ID。对于可疑的行为记录,以截图、录屏、存储等方式将证据固化到取证设备中,并使用Hash函数对数据进行计算得到信息摘要并保存在基准数据库中。在证据分析之前,对要分析的证据再做一次Hash 计算,比较两者的结果,如果相同则说明数据完整性未被破坏。分析并对应用户与会话ID 之后,则以其作为指示信息收集网络服务器及应用服务器日志中有关该用户及其所有的会话信息记录。

如果后台应用管理模块中的可疑已经被攻击者删除而无法取得可疑会话信息时,则以收集与分析可疑访问的日志作为取证主体。可疑的访问包括记录的访问频率异常、错误信息处理记录、日志审核报告、网站重定向、管理员监控警报、收集站点信息的爬虫记录以及表单隐藏域等。

收集分析日志信息的最大难点在于如何在网站庞大的数据中检索出需要的信息,网络取证技术主要采用日志精简与人工忽略两种思想进行筛选。日志精简主要是根据例如犯罪发生的时间等犯罪信息作为筛选信息进行日志筛选。另外,可以有针对性的查找特定的攻击手段

留下的痕迹。当攻击时间前后公布了某一系统漏洞或者在当时某种攻击手法正在流行时,用这种针对性比较强的调查手段会取得更好的效果。

针对网站日志的分析是Web 取证在网站服务器端的主要应用,除此之外,取证者还可以应用其他技术作为辅助手段协助完成证据链。

五、针对网络数据流的取证

网络取证需要监测网络环境信息与网络流,进行数据包的捕获与分析。网络环境的相关信息主要依靠OSSIM系统中的IDS等进行获取。这一系列的工具可以用来进行网络信息收集与网络安全监测、IP/MAC 地址的分析与定位、监测TCP/UDP 端口与DHCP 列表、SMTP 活动记录等。在进行网络包捕获方面,使用的技术包括基于Libpcap 库、PF_RING 接口、直接使用系统调用等多种。

在被捕获的网络流中,网络包会按照其在网络上传输的顺序显示,相关网络取证工具可以对这些包进行重组,即将这些包组织成两个网络连接点之间的传输层连接。虽然很多取证工具可以对未重组的原始数据进行分析,但是这样会造成非标准端口协议的丢失以及无法应对数据编码与加密传输干扰的问题。

网络取证中的相关性分析研究主要因为网络攻击行为往往是分布、多变的,因此对结果的认定需要将各个取证设施和取证手法得到的数据结合起来进行关联分析以了解其中的相关性以及对结果产生的因果关系和相互确证,才可以重构过程。

 对于这种情况完全由人工分析很显然不太现实,所以我们可以利用开源OSSIM平台得以实现。这样你面对的是多纬度以及大视角的海量数据分析, 采用多数据纬度关联分析,例如如果防火墙检测到非正常业务逻辑的文件上传同时主机Hids 检测到非正常业务CGI 生成,很大可能是攻击者在利用文件上传漏洞上传可疑Webshell(由Snort负责分析) 。以上述检测规则作为给定规则,构建规则模式,形成规则模式集,继而分析证据集。

六、取证案例

为了让大家能够理解各种网络取证方法,在10多年Unix/Linux运维经验中笔者出版《Unix/Linux网络日志分析与流量监控》一书中,例举了二十一个常见网络故障,每个案例完整地介绍了故障的背景、发生、发展,以及最终的故障排除过程。其目的在于维护网络安全,通过开源工具的灵活运用,来解决运维实战工作中的各种复杂的故障。

精彩案例如下:

  • 案例一:闪现Segmentation Fault为哪般

  • 案例二:谁动了我的胶片

  • 案例三:邂逅DNS故障

  • 案例四:网站遭遇DoS攻击

  • 本案例描述了某网站受到拒绝服务攻击后,管理员小杨对比防火墙正常/异常状态下的日志,并配合已有的流量监控系统数据,调查经过伪装的IP地址,通过多种手段对DDoS攻击进行积极防御的过程。

  • 案例五:“太囧”防火墙

  • 管理员小杰在一次巡检中发现了防火墙失效,随着深入调查发现防火墙的可用空间竟然为零。通过大量路由器和防火墙日志对比,得出结论:这是攻击者对其开展的一次网络攻击所致。小杰管理的网络到底遭受了什么样的攻击,这种攻击又是如何得逞的呢?

  • 案例六:围堵Solaris后门

  • 管理员张利发现UNIX系统中同时出现了多个inetd进程,这引起了他的警觉,在随后的调查取证中又发现了大量登录失败的日志记录,系统中出现了什么异常情况呢?

  • 案例七:遭遇溢出攻击

  • 案例八:真假root账号

  • 案例九:为rootkit把脉

  • 案例十:当网页遭遇篡改之后

  • 案例十一:UNIX下捉虫记

  • 案例十二:泄露的裁员名单

  • 案例十三:后台数据库遭遇SQL注入

  • 案例十四:大意的程序员之SQL注入

  • 案例十五:修补SSH服务器漏洞

  • 案例十六:无辜的“跳板”

  • 案例十七:IDS系统遭遇IP碎片攻击

  • 案例十八:智取不速之客

  • 案例十九:无线网遭受的攻击

  • 案例二十:无线会场的“不速之客”

  • 案例二十一:“神秘”的加密指纹

由于篇幅所限就不一一详述,各位读者可以到新华书店和图书馆获取该书详情。

七、后记

目前,网络取证技术还没有统一、比较完备的网络取证流程,这相应的造成了没有统一的取证工具以及相应的评价指标。但笔者通过多年研究开发和应用OSSIM系统发现,该系统的确可以解决目前网络安全取证环节遇到的一些问题。

 

本文出自 “李晨光原创技术博客” 博客,请务必保留此出处http://chenguang.blog.51cto.com/350944/1660017

目录
相关文章
|
1天前
|
域名解析 网络协议 关系型数据库
【网络原理】——带你认识IP~(长文~实在不知道取啥标题了)
IP协议详解,IP协议管理地址(NAT机制),IP地址分类、组成、特殊IP地址,MAC地址,数据帧格式,DNS域名解析系统
|
3天前
|
网络协议 安全 网络安全
探索网络模型与协议:从OSI到HTTPs的原理解析
OSI七层网络模型和TCP/IP四层模型是理解和设计计算机网络的框架。OSI模型包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,而TCP/IP模型则简化为链路层、网络层、传输层和 HTTPS协议基于HTTP并通过TLS/SSL加密数据,确保安全传输。其连接过程涉及TCP三次握手、SSL证书验证、对称密钥交换等步骤,以保障通信的安全性和完整性。数字信封技术使用非对称加密和数字证书确保数据的机密性和身份认证。 浏览器通过Https访问网站的过程包括输入网址、DNS解析、建立TCP连接、发送HTTPS请求、接收响应、验证证书和解析网页内容等步骤,确保用户与服务器之间的安全通信。
26 1
|
22天前
|
存储 安全 网络安全
网络安全的盾与剑:漏洞防御与加密技术的实战应用
在数字化浪潮中,网络安全成为保护信息资产的重中之重。本文将深入探讨网络安全的两个关键领域——安全漏洞的防御策略和加密技术的应用,通过具体案例分析常见的安全威胁,并提供实用的防护措施。同时,我们将展示如何利用Python编程语言实现简单的加密算法,增强读者的安全意识和技术能力。文章旨在为非专业读者提供一扇了解网络安全复杂世界的窗口,以及为专业人士提供可立即投入使用的技术参考。
|
25天前
|
存储 缓存 监控
Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
本文介绍了Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
64 7
|
1天前
|
安全 算法 网络协议
【网络原理】——图解HTTPS如何加密(通俗简单易懂)
HTTPS加密过程,明文,密文,密钥,对称加密,非对称加密,公钥和私钥,证书加密
|
1天前
|
存储 JSON 缓存
【网络原理】——HTTP请求头中的属性
HTTP请求头,HOST、Content-Agent、Content-Type、User-Agent、Referer、Cookie。
|
1天前
|
前端开发 网络协议 安全
【网络原理】——HTTP协议、fiddler抓包
HTTP超文本传输,HTML,fiddler抓包,URL,urlencode,HTTP首行方法,GET方法,POST方法
|
1天前
|
XML JSON 网络协议
【网络原理】——拥塞控制,延时/捎带应答,面向字节流,异常情况
拥塞控制,延时应答,捎带应答,面向字节流(粘包问题),异常情况(心跳包)
|
1天前
|
网络协议 算法 Java
【JavaEE】——初始网络原理
局域网,广域网,局域网连接方式,交换机,集线器,路由器,网络通信,五元组(源IP,源端口,目的IP,目的端口,协议),协议分层,TCP/IP五层网络协议,封装和分用,交换机和路由器的封装和分用
|
1月前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
85 3

热门文章

最新文章