文章速覽:
為什么要使用便攜式網(wǎng)絡(luò )取證工具?
構建便攜式網(wǎng)絡(luò )取證套件
法證分析
ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)
網(wǎng)絡(luò )安全領(lǐng)域日益重視便攜式取證工具的靈活應用。本文介紹了如何構建一個(gè)以ProfiShark 1G為核心的便攜式網(wǎng)絡(luò )取證工具包,以提高網(wǎng)絡(luò )取證的效率和實(shí)效性。
一、為什么要使用便攜式網(wǎng)絡(luò )取證工具?
1、企業(yè)自身需求
網(wǎng)絡(luò )取證和網(wǎng)絡(luò )安全團隊需要具備攔截網(wǎng)絡(luò )流量和實(shí)時(shí)捕獲數據包的能力,以防止威脅和實(shí)時(shí)攻擊。企業(yè)組織需要根據其網(wǎng)絡(luò )的規模和架構建立網(wǎng)絡(luò )攔截和流量捕獲機制。例如,擁有分布式數據中心的大型網(wǎng)絡(luò )的公司必須部署多個(gè)捕獲點(diǎn),并將數據包送至中央數據包分析設備(網(wǎng)絡(luò )分析儀),該設備能夠以10 Gbps甚至高達100 Gbps的速度接收和分析數據。
2、企業(yè)面臨的困境
然而,并非所有公司都在分布式架構中擁有多個(gè)數據中心。大多數中小型企業(yè)的整個(gè)IT基礎設施都托管在一個(gè)站點(diǎn)上。這些公司大多沒(méi)有能力投資網(wǎng)絡(luò )安全分析產(chǎn)品。那這些中小型企業(yè)該如何改善企業(yè)網(wǎng)絡(luò )安全呢?
答案是,便攜式網(wǎng)絡(luò )取證工具包。成本低得多,但仍能按需對網(wǎng)絡(luò )的任何網(wǎng)段進(jìn)行實(shí)時(shí)取證分析。
即使是大型多分支機構也不能否認它的實(shí)用性和好處。在網(wǎng)絡(luò )攻擊案例中,分支機構與總部斷開(kāi)連接,而本地IT團隊希望對分支機構的內部網(wǎng)絡(luò )進(jìn)行取證分析?;蛘?,如果由于內部連接問(wèn)題,網(wǎng)絡(luò )分析儀設備被隔離在數據中心內,該怎么辦?在這種情況下,即使是大型企業(yè),在很短得調查時(shí)間內,也會(huì )青睞便攜式取證工具包。
二、構建便攜式網(wǎng)絡(luò )取證套件
接下來(lái)我們將介紹構建用于取證分析的便攜式套件的三個(gè)基本工具。
1、一臺筆記本電腦
首先需要一臺筆記本電腦。
1)最低規格: 4GB內存、容量至少500GB的快速存儲設備(SSD)、1Gbps網(wǎng)卡、USB 3.0端口和3小時(shí)的備用電池。
2)我們強烈推薦使用基于SSD(固態(tài)硬盤(pán))的存儲設備,因為它們比硬盤(pán)快得多,這種速度有利于正確捕獲。開(kāi)始對網(wǎng)絡(luò )進(jìn)行取證分析之前,首先需要在筆記本電腦上捕獲和存儲數據包。如果能在安全危機期間盡快存儲和解析數據包,固態(tài)硬盤(pán)存儲將為您帶來(lái)顯著(zhù)的時(shí)間優(yōu)勢。硬盤(pán)的最大磁盤(pán)寫(xiě)入速度一般為 100 MB/s,相比之下,固態(tài)硬盤(pán)的磁盤(pán)寫(xiě)入速度要快得多,可達500MB/s(某些固態(tài)硬盤(pán)甚至更高)。
3)這臺筆記本電腦不應該是IT團隊日常使用的機器,因為這意味著(zhù)上面安裝了大量應用程序,注冊表會(huì )發(fā)生重大變化,內存負荷也會(huì )增加,從而導致性能降低。相反,這臺筆記本電腦應該是專(zhuān)用于特殊用途的特定機器,如取證分析或現場(chǎng)故障排除。下一節將解釋對USB 3.0端口的要求。
2、數據包分析器
接下來(lái),需要一個(gè)數據包分析器(也稱(chēng)為數據包嗅探器),它是一種可以記錄、解析和分析通過(guò)網(wǎng)絡(luò )的流量的工具(軟件或硬件)。當數據在網(wǎng)絡(luò )上流動(dòng)時(shí),數據包分析器接收捕獲的數據包并解碼數據包的原始數據,顯示數據包中各個(gè)字段的值(例如 TCP 標頭、會(huì )話(huà)詳細信息等)。你可以根據相應的 RFC 規范分析這些值,以推斷數據包在網(wǎng)絡(luò )點(diǎn)之間傳輸期間是否存在任何異常行為。
3、便攜式網(wǎng)絡(luò )分路器
為了進(jìn)行網(wǎng)絡(luò )取證,需要有一個(gè)特定的數據包捕獲設備,可以攔截并捕獲實(shí)時(shí)流量中的數據包。在端口鏡像(SPAN)和網(wǎng)絡(luò )TAP兩種捕獲數據包的方法中,后者更可靠、更準確。TAP能夠捕獲線(xiàn)路上的數據包,保證100%實(shí)時(shí)捕獲實(shí)時(shí)流量中的數據包。TAP被廣泛用于安全應用程序,因為它們是非侵入式的,并且在網(wǎng)絡(luò )上無(wú)法檢測到,并且沒(méi)有物理或邏輯地址。因此,取證團隊可以以隱形模式執行他們的活動(dòng)。
在當今可用的各種類(lèi)型的TAP中,便攜式TAP能夠靈活地在現場(chǎng)攜帶并在任何位置立即部署,因而迅速普及開(kāi)來(lái)。如何選擇便攜式TAP呢?必要的兩個(gè)條件的是:一是功能足夠強大,足以承擔全部流量;二是便攜容易部署。
三、法證分析
這里給大家補充一些關(guān)于法證分析的知識,你可以從幾個(gè)基本步驟開(kāi)始,進(jìn)行取證分析。
1、檢查活動(dòng)時(shí)間
事件計時(shí)(即事件之間的時(shí)間)對于識別網(wǎng)絡(luò )中是否存在惡意活動(dòng)至關(guān)重要。在短時(shí)間內(例如幾百毫秒甚至幾秒)發(fā)生的事件表明這些事件是由機器人或惡意軟件生成的。例如,在幾毫秒內從同一源IP接收到針對單個(gè)網(wǎng)站的數十個(gè)DNS請求,或者在幾毫秒內從多個(gè)源IP接
收到針對單個(gè)網(wǎng)站的多個(gè)DNS請求,這些示例表明這些請求可能是由自動(dòng)化生成的。由機器人或惡意軟件啟動(dòng)的腳本。
2、檢查DNS流量
由于DNS是所有發(fā)送到 Internet 的請求的主要處理程序,因此應檢查DNS服務(wù)器的流量活動(dòng)。如果網(wǎng)絡(luò )中存在流氓系統或網(wǎng)絡(luò )蠕蟲(chóng),并且有可能與Internet建立出站連接,那么你可以在DNS服務(wù)器上檢測到其惡意活動(dòng)。如果在短時(shí)間內(例如幾百毫秒)看到來(lái)自同一源IP的連接請求數量異常高,那么這可能是惡意活動(dòng),可以深入挖掘數據包標頭以進(jìn)一步調查。如果你的DNS服務(wù)器受到大量請求的轟炸,它很可能受到DoS攻擊。
3、檢查中間人攻擊
這是組織網(wǎng)絡(luò )中最常見(jiàn)的攻擊之一,中間人(MitM)攻擊是攻擊者試圖通過(guò)充當網(wǎng)絡(luò )中可信系統之一來(lái)滲透到網(wǎng)絡(luò )中的攻擊。使用過(guò)濾器選項,過(guò)濾所有數據包以?xún)H查看ARP數據包。如果您看到大量ARP流量(廣播和回復),那么這很可疑。因為在運行的網(wǎng)絡(luò )中,所有受信任的系統通常在其緩存中都有MAC到IP的映射,所以您不應該看到一長(cháng)串ARP消息。深入研究數據包標頭中的源地址和目標地址,并進(jìn)一步調查以查明是否正在發(fā)生MitM攻擊。
4、檢查DOS (DDOS)攻擊
這也是最常見(jiàn)的攻擊之一,可以在網(wǎng)絡(luò )內部或從網(wǎng)絡(luò )外部進(jìn)行。DoS(拒絕服務(wù))攻擊的目的是消耗機器或網(wǎng)絡(luò )的資源,最終導致實(shí)際用戶(hù)無(wú)法使用。要快速識別是否發(fā)生DoS攻擊,請在Wireshark中過(guò)濾查看TCP數據包。使用Wireshark上的選項查看數據包序列圖,該圖通過(guò)源系統和目標系統之間的箭頭說(shuō)明TCP連接流。如果您看到大量TCP/SYN數據包從單個(gè)源IP轟炸到目標服務(wù)器IP,并且服務(wù)器IP沒(méi)有回復,或者只有SYN-ACK消息但沒(méi)有來(lái)自源的ACK回復,那么您最有可能正在觀(guān)看實(shí)際的DoS攻擊。如果您看到一長(cháng)串TCP/SYN請求從多個(gè)源IP轟炸到目標服務(wù)器P,則這是DDoS(分布式拒絕服務(wù))攻擊,其中多個(gè)流氓系統攻擊目標服務(wù)器,并且更具致命性比DoS攻擊。
四、ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)
1、體積小巧,真正便攜,不依賴(lài)于外部電源,可以再任何位置使用。
2、2個(gè)千兆位網(wǎng)絡(luò )端口,可以完美地結合兩個(gè)流量流,通過(guò)單個(gè)監控端口進(jìn)行傳輸。
3、利用USB 3.0的強大功能,數據傳輸速度高達5 Gbps。通過(guò)USB 3.0鏈路輕松傳輸2 Gbps的聚合流量流。這意味著(zhù)緩沖存儲器不需要丟棄任何數據包,也不需要將數據包存儲足夠長(cháng)的時(shí)間來(lái)影響它們的時(shí)序。因為它可以輕松連接到筆記本電腦的USB端口,即插即用的最佳部分。
4、ProfiShark 1G配備了自己的基于GUI的配置軟件ProfiShark Manager,它與任何網(wǎng)絡(luò )分析儀(WireShark、Omnipeek等)并行工作,并且與Windows和Linux平臺兼容。
5、ProfiShark Manager允許直接在筆記本電腦上一鍵捕獲流量,而無(wú)需特別需要網(wǎng)絡(luò )分析儀來(lái)捕獲流量。當您需要捕獲遠程網(wǎng)段上的流量并希望通過(guò)導出PCAP文件在筆記本電腦以外的另一臺計算機上分析流量時(shí),這尤其有用。GUI還有一個(gè)計數器部分,顯示兩個(gè)網(wǎng)絡(luò )端口A(yíng)和B的內部計數器。這顯示了有效/無(wú)效數據包的數量、CRC錯誤、沖突和不同的數據包大小。這是一種無(wú)需打開(kāi)網(wǎng)絡(luò )分析儀即可查看每個(gè)端口接收的流量質(zhì)量的快速方法。
審核編輯 黃宇
-
數據中心
+關(guān)注
關(guān)注
15文章
4312瀏覽量
70886 -
數據包
+關(guān)注
關(guān)注
0文章
231瀏覽量
24149 -
分路器
+關(guān)注
關(guān)注
0文章
17瀏覽量
2040
發(fā)布評論請先 登錄
相關(guān)推薦
評論