网络取证

网络取证

定义

针对民事，刑事案件而进行的对网络数据流的研究，目的是保护用户，防范犯罪。
网络取证通常与网络监控相结合，例如入侵检测技术(IDS)和蜜网(honeynet)技术，利用网络监控激活取证。

特点

1. 主要研究对象与**数据报(packets)或网络数据流(Network Traffic)**有关，而不仅仅局限于计算机；
2. 为满足证据的实时性和连续性，网络取证是动态的，并且结合入侵前后的网络环境变量，可以重建入侵过程；
3. 为保证证据的完整性，网络取证有时是分布式的，需要部署多个取证点或取证代理(Agent)，而且这些取证点是相关和联动的；
4. 为实现网络取证，通常需要与防火墙、入侵检测系统等网络监控(Network Monitoring)技术相结合。

黑客的攻击流程

1. 信息收集(Information Gathering)
2. 踩点(Footprinting)
3. 查点(Enumerating)
4. 探测弱点(Probing for Weaknesses)
5. 突破(Penetration)
6. 创建后门、种植木马(Back dooring，Trojans，etc)
7. 清除(Cleanup)、掩盖入侵踪迹。

网络取证的重点

1. 周界网络（Perimeter Network）：指在本地网的防火墙以外，与外部公网连接的所有设备及其连接
2. 端到端（end to end）：攻击者计算机与受害者计算机想连
3. 日志相关（log Correlation）：
4. 环境数据(Ambient Data)：指删除后仍然存在，以及存在于交换文件和slack空间的数据；
5. 攻击现场(Attack Scenario)：将攻击再现、重建并按照逻辑顺序组织起来的事件。（重现攻击现场）

网络取证数据源

防火墙和路由器

1. 可以将基本信息或者所有被拒绝的连接尝试以及无连接的数据记入日志。
2. 日志内容包括数据包被处理的日期和时间、源和目的IP地址、传输层协议（TCP、UDP、ICMP等）、基本的协议信息（TCP或UDP的端口号，ICMP的类型和代码）等。
3. 数据包的内容通常不做记录。
4. 一些防火墙兼有代理服务器功能，代理服务器会将每一个连接的基本信息记入日志。

数据包嗅探器和协议分析器

1. 用来监视网络通信并捕获数据包。一般用来捕获特定类型数据以协助排除网络故障或者取证调查。
2. 很多数据包嗅探器同时也是协议分析器（Protocol Analyzers），能把分散的数据包重组为数据通信，进而识别通信。
3. 协议分析器不仅能处理实时数据通信，也能够分析数据包嗅探器事先捕获并保存为捕获文件的数据通信。
4. 协议分析器在分析不明格式的原始数据包时格外有用。

入侵检测系统

1. 网络型入侵检测系统通过执行数据报嗅探和网络通信分析来识别可疑活动并记录相关信息，其传感器会监视特定网络段的所有网络通信；
2. 主机型入侵检测系统****监视特定系统的现象和发生的事件，也包括网络数据，它仅仅监视与自身有关的网络通信。

远程访问服务器

1. 例如VPN网关和调制解调服务器（Modem Servers）等，提供了网络之间的连接能力，例如外部的系统通过远程访问服务器连接到内部系统，以及内部的系统连接到外部系统或者内部系统。
2. 远程访问服务器通常记录每一个连接的产生，以及每个会话属于哪一个授权的账号。
3. 远程访问服务器并不理解应用程序的功能，所以它基本不记载任何具体应用程序的数据。
4. 网络中还经常存在很多其他特殊的应用程序，用来提供到某个特定主机系统的远程访问，例如SSH、Telnet、终端服务、远程控制软件、Client/Server应用程序等。

安全事件管理（SEM）软件

1. 用来从多种不同的网络通信数据源（比如防火墙日志、入侵检测系统日志等）导入安全事件信息并关联这些数据源的事件。
2. 将其规范为标准格式，最后通过匹配IP地址、时间标记及其他特征来识别相关事件。
3. SEM不产生原始的事件数据，而是依靠导入的事件数据生成元事件数据。

网络取证分析工具（NFAT，Network Forensic Analysis Tools）

在单一产品中提供和数据包嗅探器、协议分析器和SEM软件一样的功能。

其他来源

1. 蜜罐（Honeypot）和蜜网（Honeynet）。
2. DHCP服务器。
3. 网络监控软件。
4. ISP（互联网服务提供商）记录。
5. 客户端/服务器（C/S）应用程序。
6. 主机的网络配置和连接。

技术问题

1. 关键字搜索技术
2. 结构化数据搜索技术（搜索结构化的数据，例如c语言中的结构体变量？）
3. 数据存储容量（确定保留数据时间）
4. 加密数据通信（进行解密）
5. 服务运行在不明节点
6. 改变了进入点
7. 监控失败
8. 时间日期问题

检查分析网络通信数据

辨认相关的事件

辨认方法

1. 企业内工作人员发现异常
2. 分析人员在例行的安全数据检查过程中发现问题

web服务器例子

1. 确定入侵时间
2. 从日志中找到ASP木马
3. 确定提升权限的方式

检查数据源

攻击者确认

1. 确认攻击者并不是首要任务，首要任务是确定攻击已经停止，恢复关键数据
2. 如果攻击正在进行，就要确定攻击者的ip地址，进行阻止

确定ip地址方法

1. 联系ip地址所有者
2. 调查ip地址使用历史