【虹科分享】利用ProfiShark 構建便攜式網(wǎng)絡(luò )取證工具包

文章速覽：

為什么要使用便攜式網(wǎng)絡(luò )取證工具？

構建便攜式網(wǎng)絡(luò )取證套件

法證分析

ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)

網(wǎng)絡(luò )安全領(lǐng)域日益重視便攜式取證工具的靈活應用。本文介紹了如何構建一個(gè)以ProfiShark 1G為核心的便攜式網(wǎng)絡(luò )取證工具包，以提高網(wǎng)絡(luò )取證的效率和實(shí)效性。

一、為什么要使用便攜式網(wǎng)絡(luò )取證工具？
1、企業(yè)自身需求
網(wǎng)絡(luò )取證和網(wǎng)絡(luò )安全團隊需要具備攔截網(wǎng)絡(luò )流量和實(shí)時(shí)捕獲數據包的能力，以防止威脅和實(shí)時(shí)攻擊。企業(yè)組織需要根據其網(wǎng)絡(luò )的規模和架構建立網(wǎng)絡(luò )攔截和流量捕獲機制。例如，擁有分布式數據中心的大型網(wǎng)絡(luò )的公司必須部署多個(gè)捕獲點(diǎn)，并將數據包送至中央數據包分析設備（網(wǎng)絡(luò )分析儀），該設備能夠以10 Gbps甚至高達100 Gbps的速度接收和分析數據。
2、企業(yè)面臨的困境
然而，并非所有公司都在分布式架構中擁有多個(gè)數據中心。大多數中小型企業(yè)的整個(gè)IT基礎設施都托管在一個(gè)站點(diǎn)上。這些公司大多沒(méi)有能力投資網(wǎng)絡(luò )安全分析產(chǎn)品。那這些中小型企業(yè)該如何改善企業(yè)網(wǎng)絡(luò )安全呢？

答案是，便攜式網(wǎng)絡(luò )取證工具包。成本低得多，但仍能按需對網(wǎng)絡(luò )的任何網(wǎng)段進(jìn)行實(shí)時(shí)取證分析。

即使是大型多分支機構也不能否認它的實(shí)用性和好處。在網(wǎng)絡(luò )攻擊案例中，分支機構與總部斷開(kāi)連接，而本地IT團隊希望對分支機構的內部網(wǎng)絡(luò )進(jìn)行取證分析?；蛘?，如果由于內部連接問(wèn)題，網(wǎng)絡(luò )分析儀設備被隔離在數據中心內，該怎么辦？在這種情況下，即使是大型企業(yè)，在很短得調查時(shí)間內，也會(huì )青睞便攜式取證工具包。

二、構建便攜式網(wǎng)絡(luò )取證套件
接下來(lái)我們將介紹構建用于取證分析的便攜式套件的三個(gè)基本工具。

1、一臺筆記本電腦
首先需要一臺筆記本電腦。
1）最低規格： 4GB內存、容量至少500GB的快速存儲設備(SSD)、1Gbps網(wǎng)卡、USB 3.0端口和3小時(shí)的備用電池。

2）我們強烈推薦使用基于SSD（固態(tài)硬盤(pán)）的存儲設備，因為它們比硬盤(pán)快得多，這種速度有利于正確捕獲。開(kāi)始對網(wǎng)絡(luò )進(jìn)行取證分析之前，首先需要在筆記本電腦上捕獲和存儲數據包。如果能在安全危機期間盡快存儲和解析數據包，固態(tài)硬盤(pán)存儲將為您帶來(lái)顯著(zhù)的時(shí)間優(yōu)勢。硬盤(pán)的最大磁盤(pán)寫(xiě)入速度一般為 100 MB/s，相比之下，固態(tài)硬盤(pán)的磁盤(pán)寫(xiě)入速度要快得多，可達500MB/s（某些固態(tài)硬盤(pán)甚至更高）。

3）這臺筆記本電腦不應該是IT團隊日常使用的機器，因為這意味著(zhù)上面安裝了大量應用程序，注冊表會(huì )發(fā)生重大變化，內存負荷也會(huì )增加，從而導致性能降低。相反，這臺筆記本電腦應該是專(zhuān)用于特殊用途的特定機器，如取證分析或現場(chǎng)故障排除。下一節將解釋對USB 3.0端口的要求。

2、數據包分析器
接下來(lái)，需要一個(gè)數據包分析器（也稱(chēng)為數據包嗅探器），它是一種可以記錄、解析和分析通過(guò)網(wǎng)絡(luò )的流量的工具（軟件或硬件）。當數據在網(wǎng)絡(luò )上流動(dòng)時(shí)，數據包分析器接收捕獲的數據包并解碼數據包的原始數據，顯示數據包中各個(gè)字段的值（例如 TCP 標頭、會(huì )話(huà)詳細信息等）。你可以根據相應的 RFC 規范分析這些值，以推斷數據包在網(wǎng)絡(luò )點(diǎn)之間傳輸期間是否存在任何異常行為。

3、便攜式網(wǎng)絡(luò )分路器
為了進(jìn)行網(wǎng)絡(luò )取證，需要有一個(gè)特定的數據包捕獲設備，可以攔截并捕獲實(shí)時(shí)流量中的數據包。在端口鏡像(SPAN)和網(wǎng)絡(luò )TAP兩種捕獲數據包的方法中，后者更可靠、更準確。TAP能夠捕獲線(xiàn)路上的數據包，保證100%實(shí)時(shí)捕獲實(shí)時(shí)流量中的數據包。TAP被廣泛用于安全應用程序，因為它們是非侵入式的，并且在網(wǎng)絡(luò )上無(wú)法檢測到，并且沒(méi)有物理或邏輯地址。因此，取證團隊可以以隱形模式執行他們的活動(dòng)。

在當今可用的各種類(lèi)型的TAP中，便攜式TAP能夠靈活地在現場(chǎng)攜帶并在任何位置立即部署，因而迅速普及開(kāi)來(lái)。如何選擇便攜式TAP呢？必要的兩個(gè)條件的是：一是功能足夠強大，足以承擔全部流量；二是便攜容易部署。

三、法證分析
這里給大家補充一些關(guān)于法證分析的知識，你可以從幾個(gè)基本步驟開(kāi)始，進(jìn)行取證分析。

1、檢查活動(dòng)時(shí)間
事件計時(shí)（即事件之間的時(shí)間）對于識別網(wǎng)絡(luò )中是否存在惡意活動(dòng)至關(guān)重要。在短時(shí)間內（例如幾百毫秒甚至幾秒）發(fā)生的事件表明這些事件是由機器人或惡意軟件生成的。例如，在幾毫秒內從同一源IP接收到針對單個(gè)網(wǎng)站的數十個(gè)DNS請求，或者在幾毫秒內從多個(gè)源IP接
收到針對單個(gè)網(wǎng)站的多個(gè)DNS請求，這些示例表明這些請求可能是由自動(dòng)化生成的。由機器人或惡意軟件啟動(dòng)的腳本。

2、檢查DNS流量
由于DNS是所有發(fā)送到 Internet 的請求的主要處理程序，因此應檢查DNS服務(wù)器的流量活動(dòng)。如果網(wǎng)絡(luò )中存在流氓系統或網(wǎng)絡(luò )蠕蟲(chóng)，并且有可能與Internet建立出站連接，那么你可以在DNS服務(wù)器上檢測到其惡意活動(dòng)。如果在短時(shí)間內（例如幾百毫秒）看到來(lái)自同一源IP的連接請求數量異常高，那么這可能是惡意活動(dòng)，可以深入挖掘數據包標頭以進(jìn)一步調查。如果你的DNS服務(wù)器受到大量請求的轟炸，它很可能受到DoS攻擊。

3、檢查中間人攻擊
這是組織網(wǎng)絡(luò )中最常見(jiàn)的攻擊之一，中間人(MitM)攻擊是攻擊者試圖通過(guò)充當網(wǎng)絡(luò )中可信系統之一來(lái)滲透到網(wǎng)絡(luò )中的攻擊。使用過(guò)濾器選項，過(guò)濾所有數據包以?xún)H查看ARP數據包。如果您看到大量ARP流量（廣播和回復），那么這很可疑。因為在運行的網(wǎng)絡(luò )中，所有受信任的系統通常在其緩存中都有MAC到IP的映射，所以您不應該看到一長(cháng)串ARP消息。深入研究數據包標頭中的源地址和目標地址，并進(jìn)一步調查以查明是否正在發(fā)生MitM攻擊。

4、檢查DOS (DDOS)攻擊
這也是最常見(jiàn)的攻擊之一，可以在網(wǎng)絡(luò )內部或從網(wǎng)絡(luò )外部進(jìn)行。DoS（拒絕服務(wù)）攻擊的目的是消耗機器或網(wǎng)絡(luò )的資源，最終導致實(shí)際用戶(hù)無(wú)法使用。要快速識別是否發(fā)生DoS攻擊，請在Wireshark中過(guò)濾查看TCP數據包。使用Wireshark上的選項查看數據包序列圖，該圖通過(guò)源系統和目標系統之間的箭頭說(shuō)明TCP連接流。如果您看到大量TCP/SYN數據包從單個(gè)源IP轟炸到目標服務(wù)器IP，并且服務(wù)器IP沒(méi)有回復，或者只有SYN-ACK消息但沒(méi)有來(lái)自源的ACK回復，那么您最有可能正在觀(guān)看實(shí)際的DoS攻擊。如果您看到一長(cháng)串TCP/SYN請求從多個(gè)源IP轟炸到目標服務(wù)器P，則這是DDoS（分布式拒絕服務(wù)）攻擊，其中多個(gè)流氓系統攻擊目標服務(wù)器，并且更具致命性比DoS攻擊。

四、ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)
1、體積小巧，真正便攜，不依賴(lài)于外部電源，可以再任何位置使用。
2、2個(gè)千兆位網(wǎng)絡(luò )端口，可以完美地結合兩個(gè)流量流，通過(guò)單個(gè)監控端口進(jìn)行傳輸。
3、利用USB 3.0的強大功能，數據傳輸速度高達5 Gbps。通過(guò)USB 3.0鏈路輕松傳輸2 Gbps的聚合流量流。這意味著(zhù)緩沖存儲器不需要丟棄任何數據包，也不需要將數據包存儲足夠長(cháng)的時(shí)間來(lái)影響它們的時(shí)序。因為它可以輕松連接到筆記本電腦的USB端口，即插即用的最佳部分。
4、ProfiShark 1G配備了自己的基于GUI的配置軟件ProfiShark Manager，它與任何網(wǎng)絡(luò )分析儀（WireShark、Omnipeek等）并行工作，并且與Windows和Linux平臺兼容。
5、ProfiShark Manager允許直接在筆記本電腦上一鍵捕獲流量，而無(wú)需特別需要網(wǎng)絡(luò )分析儀來(lái)捕獲流量。當您需要捕獲遠程網(wǎng)段上的流量并希望通過(guò)導出PCAP文件在筆記本電腦以外的另一臺計算機上分析流量時(shí)，這尤其有用。GUI還有一個(gè)計數器部分，顯示兩個(gè)網(wǎng)絡(luò )端口A(yíng)和B的內部計數器。這顯示了有效/無(wú)效數據包的數量、CRC錯誤、沖突和不同的數據包大小。這是一種無(wú)需打開(kāi)網(wǎng)絡(luò )分析儀即可查看每個(gè)端口接收的流量質(zhì)量的快速方法。

審核編輯 黃宇