网络取证笔记(1)–策略

发布于 2022-03-09  99 次阅读

内容 隐藏
1 基于网络的证据来源
1.1 物理线缆
1.2 无线网络空口
1.3 交换机
1.4 路由器
1.5 DHCP服务器
1.6 域名服务器
1.7 登录认证服务器
1.8 网络入侵检测、防御系统
1.9 防火墙
1.10 web代理
1.11 应用服务器
1.12 中央日志服务器
2 物理侦听
2.1 线缆(略)
2.2 无线电频率
2.3 Hub多端口转发器
2.4 交换机
2.4.1 从交换机获取流量
3 流量抓取
3.1 Berkeley Packet Filter语言(简)
3.1.1 BPF基元
3.1.2 根据字节的值过滤数据包
3.1.3 根据位(bit)的值过滤数据包
4 主动式获取
4.1 常用接口
4.1.1 Console接口
4.1.2 SSH,telnet
4.1.3 SNMP
4.1.4 其他
4.2 策略

基于网络的证据来源

物理线缆

物理线缆搭接旁路,复制并保存通过线缆传输的网络数据流

无线网络空口

无线接入点会广播所有收到的信号。通常能够很方便的获取无线网络中传输的数据(无论加密与否)。即使数据包加密,但是管理和控制帧一般不加密。无线接入点会以明文方式公布名称、功能等。主机对接入点探测时,也能识别出所以主机的MAC地址。

交换机

交换机中含有CAM表,储存了各个物理端口和各张网卡MAC地址对应关系。检查交换机就能确定对应的物理端口、通过接口可能的流量、以及端口相连的工作站。

路由器

路由表,记录路由器端口与其所连接网络的映射关系。

路由器可能有包过滤的功能(根据来源、目的地或者端口),也会记录被阻断的数据量。一些企业级路由器能向中央日志服务器发送日志和流量记录数据。

DHCP服务器

局域网中主机分配IP地址的机制。当DHCP服务器分配IP时,一般都会为这事件创建一条日志,记录分配的IP和目标的MAC地址、分配或更新的时间、系统主机名。

域名服务器

DNS服务器可以把所有对IP地址或域名的查询记录到日志里。当内网用户通过浏览器访问web,DNS就会含有从内网向外部系统发起的各种连接请求日志。

登录认证服务器

一般会把登录成功和失败等事件计入日志。中央登录认证服务器可以提供整个域下的登录事件日志。

网络入侵检测、防御系统

防火墙

作出决定的依据不光是源和目的IP地址,还有数据包中内容、端口、封装协议等。防火墙有记录详细的日志。

web代理

能够本地缓存web页面改善网络性能,能记录、检查、过滤流量,能够根据黑名单,数据包关键字允许或阻止访问web页面的请求。

匿名代理时,远程web只能看见代理IP,不是终端用户IP。

代理服务器上存有大量与终端用户行为信息。如果Web代理的配置中激活缓存Web页面功能,能从中提取终端用户查看内容,从缓存页面剥离页面挂马。

应用服务器

数据库,Web,电子邮件,网络聊天,VOIP等,根据拓扑图找出证据源。

中央日志服务器

物理侦听

通过侦听经过网线、空口、或者hub和交换机等网络设备传输的数据的方式,取证人员可以被动地获取网络流量。

线缆(略)

无线电频率

即使Wifi流量加密,但一般也只用预先共享的密钥pre-shared key 。任何人只要能接触到密钥就能监听所有站点的流量。WEP(wired equivalent privacy)等常用802.11加密算法存在已知漏洞。

可以获取到的802.11流量信息包括:广播SAID,WAP(无线接入点)的MAC地址,所支持的加密/认证算法,所有已经连上的客户端MAC地址,完整的第三层以及以上各层的数据包的内容。

Hub多端口转发器

HUB工作在物理层,收到数据后,会向其他端口转发,只是起到“中转站的作用”;

本地子网中所有站点连接到一起的第一层(物理层)哑设备(较为单一的设备)。当Hub接收一个帧时,会把帧转发到所有端口上。即你连接到Hub即能嗅探到整个子网中所有的流量。

遭到入侵的系统可以被容易改装成被动式监听器,窃听所有传输的数据或通讯。

交换机

交换机工作在数据链路层,有时候工作在网络层,收到数据后,会根据目的地址的IP向对应的端口转发数据;

交换机在CAM表中记录了哪个站点是连接在哪个端口上的,数据包也只会转发到目标站点所在端口。

工作流程:当交换机收到A设备的帧,查看帧的源MAC地址,并记录端口在CAM中。当交换机收到发往A设备的数据包,查询CAM表,用MAC地址封装,发送对应端口。

从交换机获取流量

在有交换机操作系统管理员权限:

SPAN,RSPAN,端口镜像:交换机自带的软件可以通过配置,将来自某些端口的流量复制到其他的一些端口上去。但是镜像复制能力收到交换机自身承载能力的限制。

没有管理员权限情况下:

1.攻击者可以对交换机进行flood攻击(MAC flooding),向CAM表注入虚假信息。当CAM表填满,交换机就会进入“fail open” ,把不再CAM表里的所有流量转发到所有端口上。

2.攻击者进行“ARP欺骗”。ARP:动态把IP地址映射成MAC地址。攻击者的MAC地址被伪造成与受害人的IP相关联,受害人的所有IP包都会被发送到攻击者处。ARP欺骗修改局域网中所有系统的ARP缓存。

配置端口镜像的操作方法与设备型号有关。

流量抓取

Berkeley Packet Filter语言(简)

BPF基元

指定协议、协议元素等

通常是由 名称 加上 一个或多个限定符组成

type限定符:规定id名的类型。host,net,port,portrange

dir限定符:规定流量的流出流进。src,dst,src or dst,addr1,src and dst,addr2,addr3,addr4。

proto:规定匹配的协议。ether,fddi,tr,ip,wlan,arp,tcp,udp,decent,rarp,ip6。

根据字节的值过滤数据包

根据位(bit)的值过滤数据包

主动式获取

对正连接在互联网上且仍在运行的设备进行操作。

常用接口

Console接口

输入/输出系统,通常指键盘和显示屏。

通过Console的会话可以减少本地网络设备的状态的改变。

SSH,telnet

SNMP

简单网络管理协议是检查和管理设备的最常用协议之一。基于事件的报警和配置查询。

其他

策略

尽量避免重启或者关闭设备

尽量通过console而不是网络连接

记录系统事件

依据易灭程度收集证据

记录调查过程

间桐桜のお菓子屋さん