網絡取證原理與實戰

**

• 網絡取證原理與實戰

**

1、分析背景
網絡取證技術經過技術手段，提取網絡犯罪過程當中在多個數據源遺留下來的日誌等電子證據，造成證據鏈，根據證據鏈對網絡犯罪行爲進行調查、分析、識別，是解決網絡安全問題的有效途徑之一。目前，傳統的計算機取證模型和方法比較成熟，而應用於大數據時代則須要OSSIM等集成分析平臺對海量數據盡心網絡取證分析。

2、取證分析特色
網絡取證不一樣於傳統的計算機取證，主要側重於對網絡設施、網絡數據流以及使用網絡服務的電子終端中網絡數據的檢測、整理、收集與分析，主要針對攻擊網絡服務（Web服務等）的網絡犯罪。計算機取證屬於典型的過後取證，當事件發生後，纔會對相關的計算機或電子設備有針對性的進行調查取證工做。而網絡取證技術則屬於事前或事件發生中的取證，在入侵行爲發生前，網絡取證技術能夠監測、評估異常的數據流與非法訪問；因爲網絡取證中的電子證據具備多樣性、易破壞性等特色，網絡取證過程當中須要考慮一下問題：
（1）按照必定的計劃與步驟及時採集證據，防止電子證據的更改或破壞。網絡取證針對的是網絡多個數據源中的電子數據，能夠被新數據覆蓋或影響，極易隨着網絡環境的變動或者人爲破壞等因素髮生改變，這就要求取證人員迅速按照數據源的穩定性從弱到強的順序進行取證。
（2）不要在要被取證的網絡或磁盤上直接進行數據採集。根據諾卡德交換原理，當兩個對象接觸時，物質就會在這兩個對象之間產生交換或傳送。取證人員與被取證設備的交互（如網絡鏈接的創建）越多、越頻繁，系統發生更改的機率越高，電子證據被更改或覆蓋的概率越大。這就要求在進行取證時不要隨意更改目標機器或者目標網絡環境，作好相關的備份
工做。
（3）使用的取證工具必須獲得規範認證。網絡取證能夠藉助OSSIM這種安全分析平臺。
因爲業內水平不一且沒有統一的行業標準，對取證結果的可信性產生了必定的影響。這就要求取證人員使用規範的取證工具。四處在網上下載的小工具是沒有說服力的。
網絡取證的重點是證據鏈的生成，其過程通常都是層次性的或基於對象的，通常可分爲證據的肯定、收集、保護、分析和報告等階段，每一個階段完成後都會爲下一個階段提供信息，下一個階段獲得的結果又爲前一個階段的取證提供佐證。網絡取證的每個階段都是相互聯繫的，這就須要這些信息相互關聯，主要由關聯分析引擎實現。

3、網絡證據的數據源
網絡取證的對象是可能記錄了網絡犯罪過程當中遺留下來的數據的多個網絡數據源。人們不論是使用Web 服務、雲服務或社交網絡服務，都須要包含服務提供端（如雲服務器）、客戶端（PC、手機等智能終端設備）以及網絡數據流。
在網絡取證證據的提取的過程當中，首要的問題就是肯定捕獲什麼樣的數據。按照計算機取證的方法，爲了準確地構造證據鏈，須要捕獲網絡環境中全部的數據（經過SPAN實現）。

4、網絡證據分析
網絡取證中證據鏈的開端是被入侵網站記錄的非法訪問數據。因爲針對網絡服務的犯罪每每是以竊取網絡服務管理員的權限爲突破口的，所以，進行網絡取證工做時，首先就是針對用戶權限以及用戶訪問點的調查。
取證者在能夠進入程序管理模塊調查用戶帳戶的可疑記錄，例如是否有管理員帳戶是用萬能密碼登錄的，後臺是否有錯誤的管理帳戶登陸記錄以及可疑的文件記錄，是否有用戶加載了XSS 跨站session 腳本等異常腳本，進行邊界數據監測如文件的上傳與下載等用戶活動。在進行證據收集的過程當中，分析電子證據體現的可疑行爲，從而推斷犯罪者的攻擊方式與信息，以做爲下一步的取證活動的指導。
發現有可疑行爲的用戶記錄後，收集該用戶訪問點的全部訪問記錄，包括認證用戶的權限與對應的會話管理等，記錄該用戶的全部會話ID。對於可疑的行爲記錄，以截圖、錄屏、存儲等方式將證據固化到取證設備中，並使用Hash函數對數據進行計算獲得信息摘要並保存在基準數據庫中。在證據分析以前，對要分析的證據再作一次Hash 計算，比較二者的結果，若是相同則說明數據完整性未被破壞。分析並對應用戶與會話ID 以後，則以其做爲指示信息收集網絡服務器及應用服務器日誌中有關該用戶及其全部的會話信息記錄。
若是後臺應用管理模塊中的可疑已經被攻擊者刪除而沒法取得可疑會話信息時，則以收集與分析可疑訪問的日誌做爲取證主體。可疑的訪問包括記錄的訪問頻率異常、錯誤信息處理記錄、日誌審覈報告、網站重定向、管理員監控警報、收集站點信息的爬蟲記錄以及表單隱藏域等。
收集分析日誌信息的最大難點在於如何在網站龐大的數據中檢索出須要的信息，網絡取證技術主要採用日誌精簡與人工忽略兩種思想進行篩選。日誌精簡主要是根據例如犯罪發生的時間等犯罪信息做爲篩選信息進行日誌篩選。另外，能夠有針對性的查找特定的攻擊手段
留下的痕跡。當攻擊時間先後公佈了某一系統漏洞或者在當時某種攻擊手法正在流行時，用這種針對性比較強的調查手段會取得更好的效果。
針對網站日誌的分析是Web 取證在網站服務器端的主要應用，除此以外，取證者還能夠應用其餘技術做爲輔助手段協助完成證據鏈。

5、針對網絡數據流的取證
網絡取證須要監測網絡環境信息與網絡流，進行數據包的捕獲與分析。網絡環境的相關信息主要依靠OSSIM系統中的IDS等進行獲取。這一系列的工具能夠用來進行網絡信息收集與網絡安全監測、IP/MAC 地址的分析與定位、監測TCP/UDP 端口與DHCP 列表、SMTP 活動記錄等。在進行網絡包捕獲方面，使用的技術包括基於Libpcap 庫、PF_RING 接口、直接使用系統調用等多種。
在被捕獲的網絡流中，網絡包會按照其在網絡上傳輸的順序顯示，相關網絡取證工具能夠對這些包進行重組，即將這些包組織成兩個網絡鏈接點之間的傳輸層鏈接。雖然不少取證工具能夠對未重組的原始數據進行分析，可是這樣會形成非標準端口協議的丟失以及沒法應對數據編碼與加密傳輸干擾的問題。
網絡取證中的相關性分析研究主要由於網絡攻擊行爲每每是分佈、多變的，所以對結果的認定須要將各個取證設施和取證手法獲得的數據結合起來進行關聯分析以瞭解其中的相關性以及對結果產生的因果關係和相互確證，才能夠重構過程。
對於這種狀況徹底由人工分析很顯然不太現實，因此咱們能夠利用開源OSSIM平臺得以實現。這樣你面對的是多緯度以及大視角的海量數據分析， 採用多數據緯度關聯分析，例如若是防火牆檢測到非正常業務邏輯的文件上傳同時主機Hids 檢測到非正常業務CGI 生成，很大多是攻擊者在利用文件上傳漏洞上傳可疑Webshell（由Snort負責分析） 。以上述檢測規則做爲給定規則，構建規則模式，造成規則模式集，繼而分析證據集。

6、取證案例
爲了讓你們可以理解各類網絡取證方法，在10多年Unix/Linux運維經驗中筆者出版《Unix/Linux網絡日誌分析與流量監控》一書中，例舉了二十一個常見網絡故障，每一個案例完整地介紹了故障的背景、發生、發展，以及最終的故障排除過程。其目的在於維護網絡安全，經過開源工具的靈活運用，來解決運維實戰工做中的各類複雜的故障。
精彩案例以下：
案例一：閃現Segmentation Fault爲哪般

案例二：誰動了個人膠片

案例三：邂逅DNS故障

案例四：網站遭遇DoS攻擊

本案例描述了某網站受到拒絕服務攻擊後，管理員小楊對比防火牆正常/異常狀態下的日誌，並配合已有的流量監控系統數據，調查通過假裝的IP地址，經過多種手段對DDoS攻擊進行積極防護的過程。

案例五：「太囧」防火牆

管理員小杰在一次巡檢中發現了防火牆失效，隨着深刻調查發現防火牆的可用空間居然爲零。經過大量路由器和防火牆日誌對比，得出結論：這是攻擊者對其開展的一次網絡攻擊所致。小杰管理的網絡到底遭受了什麼樣的攻擊，這種攻擊又是如何得逞的呢？

案例六：圍堵Solaris後門

管理員張利發現UNIX系統中同時出現了多個inetd進程，這引發了他的警覺，在隨後的調查取證中又發現了大量登陸失敗的日誌記錄，系統中出現了什麼異常狀況呢？

案例七：遭遇溢出攻擊

案例八：真假root帳號

案例九：爲rootkit把脈

案例十：當網頁遭遇篡改以後

案例十一：UNIX下捉蟲記

案例十二：泄露的裁人名單

案例十三：後臺數據庫遭遇SQL注入

案例十四：大意的程序員之SQL注入

案例十五：修補SSH服務器漏洞

案例十六：無辜的「跳板」

案例十七：IDS系統遭遇IP碎片攻擊

案例十八：智取不速之客

案例十九：無線網遭受的攻擊

案例二十：無線會場的「不速之客」

案例二十一：「神祕」的加密指紋

因爲篇幅所限就不一一詳述，各位讀者能夠到新華書店和圖書館獲取該書詳情。

7、後記 目前，網絡取證技術尚未統1、比較完備的網絡取證流程，這相應的形成了沒有統一的取證工具以及相應的評價指標。但筆者經過多年研究開發和應用OSSIM系統發現，該系統的確能夠解決目前網絡安全取證環節遇到的一些問題。