网络取证核心原理与实践(二)
证据获取
一、物理侦听
-
线缆
铜质线缆:广泛使用的是同轴电缆和双绞线。同轴电缆信息传输的媒介是单根铜芯,其优点是免遭电磁干扰,在使用同轴电缆的网络中,如果能接触到中间那根铜芯,就能访问共享这根物理媒介的所有站点上流入和流出的数据;双绞线中含多对铜线,一般部署在星型拓扑上,如果能接触到交换网络中某对双绞线里的所有铜线,就能接收流向该终端的数据。
光纤:信号通过一捆玻璃丝进行传递。
截取线缆中的流量:工具包括内接式网络分路器、刺穿式搭接器、感应线圈、光纤分光器。
-
无线电频率
-
Hub
-
交换机:要从交换机里嗅探到流量,有两种常用的方法。一是对交换机使用泛洪攻击——通过发送大量的MAC地址不同的以太网包,向CAM表中注入虚假的信息,一旦CAM表被填满,许多交换机在默认情况下会进入应急模式,把不在CAM表里的所有流量转发到每一个端口上。另一种方法是进行ARP欺骗,ARP协议是局域网中的主机用来动态地把IP地址(第三层)映射成相应的MAC地址,在ARP欺骗攻击中,攻击者会广播伪造的ARP包,把攻击者的MAC地址和被攻击人的IP地址关联起来。局域网中的其他站点会把错误的信息添加到他们的ARP表中去,并在发往路由器IP地址的数据包中填上攻击者的MAC地址。这就导致本应发给受害人的所有IP包都被发送到攻击者那里。
二、流量抓取软件
-
libpcap和WinPcap:
libpcap是一个UNIX下的C函数库,它提供了一个能获取和过滤从任意一块网卡得到数据链路层上帧的API。
-
伯克利包过滤(bpf)语言:
-
tcpdump:
网络流量抓取、过滤、分析工具。逐比特地获取流量,基于libpcap,在第二层(数据链路层)上进行获取;除了抓包以外,还能对常见的第二到四层协议进行解码(以及一些更高级的协议),并把相关信息展示给用户。
-
Wireshark
一个图形化的,用来抓取、过滤、分析流量的开源工具。
-
tshark
命令行的网络协议分析工具。
-
dumpcap
专门抓包的命令行工具。
三、主动式获取
除了在空气或线缆传输时抓取网络流量外,也可以在包括防火墙、web代理、日志服务器等各类网络设备中收集证据。(会改变环境,努力把影响降低到最低限度)
常用接口:
-
Console接口:
一个I/O系统,通常是指连接到计算机上的键盘和显示屏。
-
SSH(安全shell):
安全Shell协议,是调查人员通过远程命令行界面与包含网络证据的系统进行交互的常用方法。SSH是为了代替不安全的Telnet和rlogin而开发出来的,会把用户的登录过程和传输的数据都加密起来。
-
SCP(安全复制)和SSH文件传输协议(SFTP)
一个命令行程序,专门用来在网络间传输文件。
-
Telnet
安全性几乎可以算是0。所有信息以明文形式传输。
-
简单网络管理协议(SNMP)
检查和管理网络设备最常用的协议之一。使用SNMP,可以从一个中央服务器轮询各个网络设备,或者把远程代理中的SNMP信息推送到某个中央汇聚点上。SNMP经常被用作传播和汇聚网络管理信息以及安全相关事件数据的媒介。在网络取证中,SNMP通常用在两个方面:基于事件的报警和配置查询。
基本操作:
轮询——GET、GETNEXT、GETBULK;
中断——TRAP、INFORM;
控制——SET。
-
简单文件传输协议(TFTP)
方便和自动地在远程系统间传输文件。
-
Web及其他专用接口
没有权限时咋办
-
端口扫描
-
漏洞扫描
策略
-
尽量避免重启或者关掉设备;
-
尽量通过console接口而不是网络连接设备;
-
记录系统时间;
-
根据易灭失程度依次收集证据;
-
记录调查过程。