網絡取證核心原理與實踐（二）

證據獲取

1、物理偵聽

1. 線纜

   銅質線纜：普遍使用的是同軸電纜和雙絞線。同軸電纜信息傳輸的媒介是單根銅芯，其優勢是免遭電磁干擾，在使用同軸電纜的網絡中，若是能接觸到中間那根銅芯，就能訪問共享這根物理媒介的全部站點上流入和流出的數據；雙絞線中含多對銅線，通常部署在星型拓撲上，若是能接觸到交換網絡中某對雙絞線裏的全部銅線，就能接收流向該終端的數據。

   光纖：信號經過一捆玻璃絲進行傳遞。

   截取線纜中的流量：工具包括內接式網絡分路器、刺穿式搭接器、感應線圈、光纖分光器。

2. 無線電頻率

3. Hub

4. 交換機：要從交換機裏嗅探到流量，有兩種經常使用的方法。一是對交換機使用泛洪攻擊——經過發送大量的MAC地址不一樣的以太網包，向CAM表中注入虛假的信息，一旦CAM表被填滿，許多交換機在默認狀況下會進入應急模式，把不在CAM表裏的全部流量轉發到每個端口上。另外一種方法是進行ARP欺騙，ARP協議是局域網中的主機用來動態地把IP地址（第三層）映射成相應的MAC地址，在ARP欺騙攻擊中，攻擊者會廣播僞造的ARP包，把攻擊者的MAC地址和被攻擊人的IP地址關聯起來。局域網中的其餘站點會把錯誤的信息添加到他們的ARP表中去，並在發往路由器IP地址的數據包中填上攻擊者的MAC地址。這就致使本應發給受害人的全部IP包都被髮送到攻擊者那裏。

 

2、流量抓取軟件

1. libpcap和WinPcap：

   libpcap是一個UNIX下的C函數庫，它提供了一個能獲取和過濾從任意一塊網卡獲得數據鏈路層上幀的API。

2. 伯克利包過濾（bpf）語言：

3. tcpdump：

   網絡流量抓取、過濾、分析工具。逐比特意獲取流量，基於libpcap，在第二層（數據鏈路層）上進行獲取；除了抓包之外，還能對常見的第二到四層協議進行解碼（以及一些更高級的協議），並把相關信息展現給用戶。

    

4. Wireshark

   一個圖形化的，用來抓取、過濾、分析流量的開源工具。

5. tshark

   命令行的網絡協議分析工具。

6. dumpcap

   專門抓包的命令行工具。

 

3、主動式獲取

除了在空氣或線纜傳輸時抓取網絡流量外，也能夠在包括防火牆、web代理、日誌服務器等各種網絡設備中收集證據。（會改變環境，努力把影響下降到最低限度）

經常使用接口：

 

1. Console接口：

   一個I/O系統，一般是指鏈接到計算機上的鍵盤和顯示屏。

2. SSH（安全shell）：

   安全Shell協議，是調查人員經過遠程命令行界面與包含網絡證據的系統進行交互的經常使用方法。SSH是爲了代替不安全的Telnet和rlogin而開發出來的，會把用戶的登陸過程和傳輸的數據都加密起來。

3. SCP（安全複製）和SSH文件傳輸協議（SFTP）

   一個命令行程序，專門用來在網絡間傳輸文件。

    

4. Telnet

   安全性幾乎能夠算是0。全部信息以明文形式傳輸。

5. 簡單網絡管理協議（SNMP）

   檢查和管理網絡設備最經常使用的協議之一。使用SNMP，能夠從一箇中央服務器輪詢各個網絡設備，或者把遠程代理中的SNMP信息推送到某個中央匯聚點上。SNMP常常被用做傳播和匯聚網絡管理信息以及安全相關事件數據的媒介。在網絡取證中，SNMP一般用在兩個方面：基於事件的報警和配置查詢。

   基本操做：

   輪詢——GET、GETNEXT、GETBULK；

   中斷——TRAP、INFORM；

   控制——SET。

6. 簡單文件傳輸協議（TFTP)

   方便和自動地在遠程系統間傳輸文件。

7. Web及其餘專用接口

沒有權限時咋辦

1. 端口掃描

2. 漏洞掃描

策略

1. 儘可能避免重啓或者關掉設備；

2. 儘可能經過console接口而不是網絡鏈接設備；

3. 記錄系統時間；

4. 根據易滅失程度依次收集證據；

5. 記錄調查過程。