网络取证原理与实战

网络取证原理与实战

一、分析背景

网络取证技术通过技术手段。提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据。形成证据链，依据证据链对网络犯罪行为进行调查、分析、识别，是解决网络安全问题的有效途径之中的一个。眼下，传统的计算机取证模型和方法比較成熟。而应用于大数据时代则须要OSSIM等集成分析平台对海量数据尽心网络取证分析。

二、取证分析特点

网络取证不同于传统的计算机取证，主要側重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据的检測、整理、收集与分析，主要针对攻击网络服务（Web服务等）的网络犯罪。计算机取证属于典型的事后取证，当事件发生后，才会对相关的计算机或电子设备有针对性的进行调查取证工作。而网络取证技术则属于事前或事件发生中的取证。在入侵行为发生前。网络取证技术能够监測、评估异常的数据流与非法訪问。因为网络取证中的电子证据具有多样性、易破坏性等特点，网络取证过程中须要考虑一下问题：

（1）依照一定的计划与步骤及时採集证据。防止电子证据的更改或破坏。网络取证针对的是网络多个数据源中的电子数据，能够被新数据覆盖或影响，极易随着网络环境的变更或者人为破坏等因素发生改变，这就要求取证人员迅速依照数据源的稳定性从弱到强的顺序进行取证。

（2）不要在要被取证的网络或磁盘上直接进行数据採集。

依据诺卡德交换原理。当两个对象接触时，物质就会在这两个对象之间产生交换或传送。取证人员与被取证设备的交互（如网络连接的建立）越多、越频繁，系统发生更改的概率越高，电子证据被更改或覆盖的几率越大。这就要求在进行取证时不要任意更改目标机器或者目标网络环境。做好相关的备份

工作。

（3）使用的取证工具必须得到规范认证。网络取证能够借助OSSIM这样的安全分析平台。

因为业内水平不一且没有统一的行业标准。对取证结果的可信性产生了一定的影响。这就要求取证人员使用规范的取证工具。四处在网上下载的小工具是没有说服力的。

    网络取证的重点是证据链的生成，其过程一般都是层次性的或基于对象的，一般可分为证据的确定、收集、保护、分析和报告等阶段，每个阶段完毕后都会为下一个阶段提供信息，下一个阶段得到的结果又为前一个阶段的取证提供佐证。网络取证的每个阶段都是相互联系的。这就须要这些信息相互关联，主要由关联分析引擎实现。

三、网络证据的数据源

网络取证的对象是可能记录了网络犯罪过程中遗留下来的数据的多个网络数据源。人们无论是使用Web 服务、云服务或社交网络服务。都须要包括服务提供端（如云server）、client（PC、手机等智能终端设备）以及网络数据流。

在网络取证证据的提取的过程中，首要的问题就是确定捕获什么样的数据。依照计算机取证的方法。为了准确地构造证据链，须要捕获网络环境中全部的数据（通过SPAN实现）。

四、网络证据分析

网络取证中证据链的开端是被入侵站点记录的非法訪问数据。因为针对网络服务的犯罪往往是以窃取网络服务管理员的权限为突破口的。因此。进行网络取证工作时，首先就是针对用户权限以及用户訪问点的调查。

取证者在能够进入程序管理模块调查用户账户的可疑记录。比如是否有管理员账户是用万能password登陆的。后台是否有错误的管理账户登录记录以及可疑的文件记录，是否实用户载入了XSS 跨站session 脚本等异常脚本。进行边界数据监測如文件的上传与下载等用户活动。在进行证据收集的过程中，分析电子证据体现的可疑行为。从而判断犯罪者的攻击方式与信息，以作为下一步的取证活动的指导。

发现有可疑行为的用户记录后，收集该用户訪问点的全部訪问记录。包含认证用户的权限与相应的会话管理等，记录该用户的全部会话ID。对于可疑的行为记录，以截图、录屏、存储等方式将证据固化到取证设备中，并使用Hash函数对数据进行计算得到信息摘要并保存在基准数据库中。在证据分析之前，对要分析的证据再做一次Hash 计算，比較两者的结果，假设同样则说明数据完整性未被破坏。分析并相应用户与会话ID 之后。则以其作为指示信息收集网络server及应用server日志中有关该用户及其全部的会话信息记录。

假设后台应用管理模块中的可疑已经被攻击者删除而无法取得可疑会话信息时。则以收集与分析可疑訪问的日志作为取证主体。可疑的訪问包含记录的訪问频率异常、错误信息处理记录、日志审核报告、站点重定向、管理员监控警报、收集站点信息的爬虫记录以及表单隐藏域等。

收集分析日志信息的最大难点在于怎样在站点庞大的数据中检索出须要的信息，网络取证技术主要採用日志精简与人工忽略两种思想进行筛选。日志精简主要是依据比如犯罪发生的时间等犯罪信息作为筛选信息进行日志筛选。另外，能够有针对性的查找特定的攻击手段

留下的痕迹。

当攻击时间前后发布了某一系统漏洞或者在当时某种攻击手法正在流行时，用这样的针对性比較强的调查手段会取得更好的效果。

针对站点日志的分析是Web 取证在站点server端的主要应用。除此之外，取证者还能够应用其它技术作为辅助手段协助完毕证据链。

五、针对网络数据流的取证

网络取证须要监測网络环境信息与网络流，进行数据包的捕获与分析。网络环境的相关信息主要依靠OSSIM系统中的IDS等进行获取。

这一系列的工具能够用来进行网络信息收集与网络安全监測、IP/MAC 地址的分析与定位、监測TCP/UDP port与DHCP 列表、SMTP 活动记录等。

在进行网络包捕获方面，使用的技术包含基于Libpcap 库、PF_RING 接口、直接使用系统调用等多种。

在被捕获的网络流中。网络包会依照其在网络上传输的顺序显示。相关网络取证工具能够对这些包进行重组。即将这些包组织成两个网络连接点之间的传输层连接。

尽管非常多取证工具能够对未重组的原始数据进行分析。可是这样会造成非标准port协议的丢失以及无法应对数据编码与加密传输干扰的问题。

网络取证中的相关性分析研究主要由于网络攻击行为往往是分布、多变的。因此对结果的认定须要将各个取证设施和取证手法得到的数据结合起来进行关联分析以了解当中的相关性以及对结果产生的因果关系和相互确证，才干够重构过程。

 对于这样的情况全然由人工分析非常显然不太现实，所以我们能够利用开源OSSIM平台得以实现。这样你面对的是多纬度以及大视角的海量数据分析， 採用多数据纬度关联分析，比如假设防火墙检測到非正常业务逻辑的文件上传同一时候主机Hids 检測到非正常业务CGI 生成，非常大可能是攻击者在利用文件上传漏洞上传可疑Webshell（由Snort负责分析） 。以上述检測规则作为给定规则，构建规则模式，形成规则模式集，继而分析证据集。

六、取证案例

为了让大家可以理解各种网络取证方法，在10多年Unix/Linux运维经验中笔者出版《Unix/Linux网络日志分析与流量监控》一书中，例举了二十一个常见网络故障。每一个案例完整地介绍了故障的背景、发生、发展。以及终于的故障排除过程。

其目的在于维护网络安全。通过开源工具的灵活运用。来解决运维实战工作中的各种复杂的故障。

精彩案比例如以下：

• 案例一：闪现Segmentation Fault为哪般

• 案例二：谁动了我的胶片

• 案例三：邂逅DNS故障

• 案例四：站点遭遇DoS攻击

• 案例五：“太囧”防火墙

• 案例六：围堵Solaris后门

• 案例七：遭遇溢出攻击

• 案例八：真假root账号

• 案例九：为rootkit把脉

• 案例十：当网页遭遇篡改之后

• 案例十一：UNIX下捉虫记

• 案例十二：泄露的裁员名单

• 案例十三：后台数据库遭遇SQL注入

• 案例十四：大意的程序猿之SQL注入

• 案例十五：修补SSHserver漏洞

• 案例十六：无辜的“跳板”

• 案例十七：IDS系统遭遇IP碎片攻击

• 案例十八：智取不速之客

• 案例十九：无线网遭受的攻击

• 案例二十：无线会场的“不速之客”

• 案例二十一：“神奇”的加密指纹

因为篇幅所限就不一一详述，各位读者能够到新华书店和图书馆获取该书详情。

七、后记

眼下，网络取证技术还没有统一的、比較完备的网络取证流程，这对应的造成了没有比較统一的取证工具以及对应的评价指标。但笔者通过多年研究开发和应用OSSIM系统发现。该系统的确能够解决眼下网络安全取证环节遇到的一些问题。