滿屏閃爍的代碼

帽兜中忽明忽暗的臉

談笑間輕輕按下的回車鍵

一次黑客攻擊悄無聲息的發(fā)生了

[[265478]]

隨著黑客技術(shù)的不斷發(fā)展和普及，黑客攻擊變得越來越普遍，企業(yè)和組織面對(duì)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)與日俱增，防御措施需要更加敏感和先進(jìn)。

通常，黑客攻擊都是通過網(wǎng)絡(luò)發(fā)起的。了解網(wǎng)絡(luò)取證可以幫助我們及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中黑客攻擊的行為，進(jìn)而保護(hù)整個(gè)網(wǎng)絡(luò)免受黑客的攻擊。今天我們主要分享網(wǎng)絡(luò)取證過程中非常重要的一項(xiàng)——即流量分析，并模擬利用流量分析的方式還原惡意攻擊入侵的全過程，希望帶給您一定參考價(jià)值!

我們將從以下幾方面展開相關(guān)分享。

一、什么是網(wǎng)絡(luò)取證

從本質(zhì)上講，網(wǎng)絡(luò)取證是數(shù)字取證的一個(gè)分支，網(wǎng)絡(luò)取證是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、記錄和分析，以確定網(wǎng)絡(luò)攻擊的來源。

其主要目標(biāo)是收集證據(jù)，并試圖分析從不同站點(diǎn)和不同網(wǎng)絡(luò)設(shè)備(如防火墻和IDS)收集的網(wǎng)絡(luò)流量數(shù)據(jù)。

此外，網(wǎng)絡(luò)取證也是檢測(cè)入侵模式的過程，它可以在網(wǎng)絡(luò)上監(jiān)控以檢測(cè)攻擊并分析攻擊者的性質(zhì)，側(cè)重于攻擊者活動(dòng)。

二、 網(wǎng)絡(luò)取證的步驟

網(wǎng)絡(luò)取證主要包括以下步驟。

• 識(shí)別：根據(jù)網(wǎng)絡(luò)指標(biāo)識(shí)別和確定事件。
• 保存：存在的問題及原因。
• 搜集：使用標(biāo)準(zhǔn)化方法和程序記錄物理場(chǎng)景并復(fù)制數(shù)字證據(jù)。
• 檢查：深入系統(tǒng)搜索與網(wǎng)絡(luò)攻擊有關(guān)的證據(jù)。
• 分析：確定重要性，多維度分析網(wǎng)絡(luò)流量數(shù)據(jù)包，并根據(jù)發(fā)現(xiàn)的證據(jù)得出結(jié)論。
• 展示：總結(jié)并提供已得出結(jié)論的解釋。
• 事件響應(yīng)：根據(jù)收集的信息啟動(dòng)對(duì)檢測(cè)到的攻擊或入侵的響應(yīng)，以驗(yàn)證和評(píng)估事件。

與其它數(shù)據(jù)取證一樣，網(wǎng)絡(luò)取證中的挑戰(zhàn)是數(shù)據(jù)流量的嗅探、數(shù)據(jù)關(guān)聯(lián)、攻擊來源的確定。由于這些問題，網(wǎng)絡(luò)取證的主要任務(wù)是分析捕獲的網(wǎng)絡(luò)數(shù)據(jù)包，也就是流量分析。

三、流量分析

1. 什么是流量分析?

網(wǎng)絡(luò)流量是指能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)流量。

不同的應(yīng)用層，流量分析起到的作用不同。

• 用戶層：運(yùn)營商通過分析用戶網(wǎng)絡(luò)流量，來計(jì)算網(wǎng)絡(luò)消費(fèi)。
• 管理層：分析網(wǎng)絡(luò)流量可以幫助政府、企業(yè)了解流量使用情況，通過添加網(wǎng)絡(luò)防火墻等控制網(wǎng)絡(luò)流量來減少資源損失。
• 網(wǎng)站層：了解網(wǎng)站訪客的數(shù)據(jù)，如ip地址、瀏覽器信息等;統(tǒng)計(jì)網(wǎng)站在線人數(shù)，了解用戶所訪問網(wǎng)站頁面;通過分析出異?？梢詭椭W(wǎng)站管理員知道是否有濫用現(xiàn)象;可以了解網(wǎng)站使用情況，提前應(yīng)對(duì)網(wǎng)站服務(wù)器系統(tǒng)的負(fù)載問題;了解網(wǎng)站對(duì)用戶是否有足夠的吸引能力。
• 綜合層：評(píng)價(jià)一個(gè)網(wǎng)站的權(quán)重;統(tǒng)計(jì)大多數(shù)用戶上網(wǎng)習(xí)慣，從而進(jìn)行有方向性的規(guī)劃以更適應(yīng)用戶需求。

2. 如何進(jìn)行流量分析?

網(wǎng)絡(luò)流量分析主要方法：

(1) 軟硬件流量統(tǒng)計(jì)分析

基于軟件通過修改主機(jī)網(wǎng)絡(luò)流入接口，使其有捕獲數(shù)據(jù)包功能，硬件主要有用于收藏和分析流量數(shù)據(jù)，常見的軟件數(shù)據(jù)包捕獲工具pCap(packet capture)，硬件有流量鏡像的方式。

(2) 網(wǎng)絡(luò)流量粒度分析

在bit級(jí)上關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路傳輸速率，吞吐量變化等;在分組級(jí)主要關(guān)注ip分組達(dá)到的過程，延遲，丟包率;在流級(jí)的劃分主要依據(jù)地址和應(yīng)用協(xié)議，關(guān)注于流的到達(dá)過程、到達(dá)間隔及其局部特征。

3. 網(wǎng)絡(luò)流量分析常用技術(shù)

(1) RMON技術(shù)

RMON(遠(yuǎn)程監(jiān)控)是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對(duì)SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及遠(yuǎn)程監(jiān)控和網(wǎng)管站之間的接口，實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段或整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行監(jiān)控。

(2) SNMP技術(shù)

此技術(shù)是基于RMON和RMON II，僅能對(duì)網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，能獲取設(shè)備端口出入歷史或?qū)崟r(shí)的流量統(tǒng)計(jì)信息、不能深入分析包類型、流向信息，具有實(shí)現(xiàn)簡(jiǎn)單，標(biāo)準(zhǔn)統(tǒng)一，接口開放的特點(diǎn)。

(3) 實(shí)時(shí)抓包分析

提供纖細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析，而非用戶流量訪問統(tǒng)計(jì)和趨勢(shì)分析，僅能在短時(shí)間內(nèi)對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析，無法滿足大流量、長(zhǎng)期的抓包和趨勢(shì)分析的要求。

(4) FLOW技術(shù)

當(dāng)前主流技術(shù)主要有兩種，sFlow和netFlow。

sFlow是由InMon、HP和Foundry Netfworks在2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)控技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以提供完整的，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，能夠提供超大網(wǎng)絡(luò)流量(如大于10Gbps)環(huán)境下的流量分析，用戶能夠?qū)崟r(shí)、詳細(xì)的分析網(wǎng)絡(luò)傳輸過程中的傳輸性能、趨勢(shì)和存在的問題。

NetFlow是Cisco公司開發(fā)的技術(shù)，它既是一種交換技術(shù)，又是一種流量分析技術(shù)，同時(shí)也是業(yè)界主流的計(jì)費(fèi)技術(shù)之一。可以詳細(xì)統(tǒng)計(jì)IP流量的時(shí)間、地點(diǎn)、使用協(xié)議、訪問內(nèi)容、具體流量。

4. 流量分析在取證中作用

計(jì)算機(jī)取證可以分為事后取證和實(shí)時(shí)取證。而流量分析正是實(shí)時(shí)取證的重要內(nèi)容，對(duì)原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原、重現(xiàn)入侵現(xiàn)場(chǎng)具有重要意義。

(1) 事后取證

事后取證也稱為靜態(tài)取證，是指設(shè)備在被入侵后運(yùn)用各種技術(shù)對(duì)其進(jìn)行取證工作。隨著網(wǎng)絡(luò)犯罪的方法和手段的提高，事后取證已不能滿足計(jì)算機(jī)取證的需求。

(2) 實(shí)時(shí)取證

實(shí)時(shí)取證，也被稱為動(dòng)態(tài)取證，是指通過設(shè)備或軟件實(shí)時(shí)捕獲流經(jīng)網(wǎng)絡(luò)設(shè)備和終端應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)并分析網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)容，來獲取攻擊者的企圖和攻擊者的行為證據(jù)。

利用分析采集后的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)入侵時(shí)間，網(wǎng)絡(luò)犯罪活動(dòng)進(jìn)行證據(jù)獲取、保存、和還原，流量分析能夠真實(shí)、持續(xù)的捕獲網(wǎng)絡(luò)中發(fā)生的各種行為，能夠完整的保存攻擊者攻擊過程中的數(shù)據(jù)，對(duì)保存的原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原，重現(xiàn)入侵現(xiàn)場(chǎng)。

四、流量分析取證過程模擬

下面是我們使用wireshark抓取本地虛擬機(jī)網(wǎng)絡(luò)流量，并使用構(gòu)建的漏洞環(huán)境進(jìn)行流量取證分析過程的示例模擬，真實(shí)還原惡意攻擊入侵的全過程。(以下模擬案例、數(shù)據(jù)是本文分享的主要內(nèi)容，僅供參考學(xué)習(xí)。任何人不得用于非法用途，轉(zhuǎn)載請(qǐng)注明出處，否則后果自負(fù)。)

具體操作步驟:

(1) 打開wireshark抓取指定虛擬機(jī)網(wǎng)絡(luò);

(2) 使用NAT模式將虛擬機(jī)中漏洞環(huán)境的80端口映射到本地主機(jī)的9999端口并訪問漏洞環(huán)境網(wǎng)站;

(3) 在漏洞環(huán)境中的網(wǎng)站發(fā)現(xiàn)一個(gè)登錄頁面，并且沒有驗(yàn)證碼;

(4) 使用burpsuite攔截登錄請(qǐng)求，并使用intruder模塊進(jìn)行登錄爆破;

(5) 通過暴力破解找到登錄的用戶名和密碼，然后利用用戶名admin和密碼admin登錄，猜測(cè)是后臺(tái)管理員用戶名和密碼成功登錄網(wǎng)站后臺(tái);

同時(shí)還在漏洞環(huán)境的網(wǎng)站中找到一個(gè)文件上傳的頁面并上傳惡意文件;

(6) 上傳文件后點(diǎn)擊browse，看到文件描述，使用F12查看文件在網(wǎng)站的路徑到找到上傳文件的具體位置;

(7) 使用惡意文件連接工具連接惡意文件并進(jìn)行相關(guān)惡意操作;

(8) 在wirkshark中查看已捕獲的惡意攻擊者入侵的整個(gè)流程和詳細(xì)內(nèi)容;

(9) 查看通過http協(xié)議進(jìn)行的通信內(nèi)容：

看到源IP 192.168.0.168訪問了的漏洞環(huán)境中網(wǎng)站的/wordpress/→接著訪問了wordpress/wp-login.php→然后對(duì)wordpress/wp-login.php進(jìn)行了一系列的POST請(qǐng)求，說明攻擊者在進(jìn)行一系列的登錄。

(10) 在這些請(qǐng)求內(nèi)容中發(fā)現(xiàn)一個(gè)狀態(tài)碼為302，302表示頁面重定向。

(11) 通過追蹤流的形式查看整個(gè)請(qǐng)求內(nèi)容，看到使用用戶名admin和密碼admin進(jìn)行了登錄，且重定向到了wp-admin/;

(12) 繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者進(jìn)行了對(duì)后臺(tái)頁面的登錄;

(13) 在后面的數(shù)據(jù)記錄中發(fā)現(xiàn)攻擊者訪問了wordpress/ap-admin/post.php?action=edit&post=4的頁面;

(14) 在此處發(fā)現(xiàn)了一個(gè)POST請(qǐng)求，并上傳了一個(gè)名為image.php的文件，通過流追蹤的方式查看到文件內(nèi)容，文件類容正是我們上傳的內(nèi)容;

(15) 看到上傳惡意文件的文件名稱，繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者訪問了image.php這個(gè)惡意文件，并隨后并發(fā)起了一系列POST請(qǐng)求;

(16) 查看這些請(qǐng)求和響應(yīng)內(nèi)容均為加密內(nèi)容;

至此我們通過本地模擬惡意攻擊者入侵過程，并利用流量分析的方式對(duì)惡意攻擊者入侵的過程進(jìn)行了一個(gè)真實(shí)完整的還原，充分體現(xiàn)了網(wǎng)絡(luò)流量分析在計(jì)算機(jī)實(shí)時(shí)取證中有著重要的作用和意義。

本文主要介紹了網(wǎng)絡(luò)取證之流量分析的方法和技術(shù)，并實(shí)操利用流量分析方式對(duì)惡意攻擊者入侵進(jìn)行完整還原取證的全過程，希望對(duì)大家有參考價(jià)值!