網(wǎng)絡(luò)取證原理與實戰(zhàn)

cgweb

網(wǎng)絡(luò)取證原理與實戰(zhàn)
一、分析背景
網(wǎng)絡(luò)取證技術(shù)通過技術(shù)手段，提取網(wǎng)絡(luò)犯罪過程中在多個數(shù)據(jù)源遺留下來的日志等電子證據(jù)，形成證據(jù)鏈，根據(jù)證據(jù)鏈對網(wǎng)絡(luò)犯罪行為進行調(diào)查、分析、識別，是解決網(wǎng)絡(luò)安全問題的有效途徑之一。目前，傳統(tǒng)的計算機取證模型和方法比較成熟，而應(yīng)用于大數(shù)據(jù)時代則需要OSSIM等集成分析平臺對海量數(shù)據(jù)盡心網(wǎng)絡(luò)取證分析。
二、取證分析特點
網(wǎng)絡(luò)取證不同于傳統(tǒng)的計算機取證，主要側(cè)重于對網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)數(shù)據(jù)流以及使用網(wǎng)絡(luò)服務(wù)的電子終端中網(wǎng)絡(luò)數(shù)據(jù)的檢測、整理、收集與分析，主要針對攻擊網(wǎng)絡(luò)服務(wù)（Web服務(wù)等）的網(wǎng)絡(luò)犯罪。計算機取證屬于典型的事后取證，當事件發(fā)生后，才會對相關(guān)的計算機或電子設(shè)備有針對性的進行調(diào)查取證工作。而網(wǎng)絡(luò)取證技術(shù)則屬于事前或事件發(fā)生中的取證，在入侵行為發(fā)生前，網(wǎng)絡(luò)取證技術(shù)可以監(jiān)測、評估異常的數(shù)據(jù)流與非法訪問；由于網(wǎng)絡(luò)取證中的電子證據(jù)具有多樣性、易破壞性等特點，網(wǎng)絡(luò)取證過程中需要考慮一下問題：
（1）按照一定的計劃與步驟及時采集證據(jù)，防止電子證據(jù)的更改或破壞。網(wǎng)絡(luò)取證針對的是網(wǎng)絡(luò)多個數(shù)據(jù)源中的電子數(shù)據(jù)，可以被新數(shù)據(jù)覆蓋或影響，極易隨著網(wǎng)絡(luò)環(huán)境的變更或者人為破壞等因素發(fā)生改變，這就要求取證人員迅速按照數(shù)據(jù)源的穩(wěn)定性從弱到強的順序進行取證。
（2）不要在要被取證的網(wǎng)絡(luò)或磁盤上直接進行數(shù)據(jù)采集。根據(jù)諾卡德交換原理，當兩個對象接觸時，物質(zhì)就會在這兩個對象之間產(chǎn)生交換或傳送。取證人員與被取證設(shè)備的交互（如網(wǎng)絡(luò)連接的建立）越多、越頻繁，系統(tǒng)發(fā)生更改的概率越高，電子證據(jù)被更改或覆蓋的幾率越大。這就要求在進行取證時不要隨意更改目標機器或者目標網(wǎng)絡(luò)環(huán)境，做好相關(guān)的備份
工作。
（3）使用的取證工具必須得到規(guī)范認證。網(wǎng)絡(luò)取證可以借助OSSIM這種安全分析平臺。
由于業(yè)內(nèi)水平不一且沒有統(tǒng)一的行業(yè)標準，對取證結(jié)果的可信性產(chǎn)生了一定的影響。這就要求取證人員使用規(guī)范的取證工具。四處在網(wǎng)上下載的小工具是沒有說服力的。
    網(wǎng)絡(luò)取證的重點是證據(jù)鏈的生成，其過程一般都是層次性的或基于對象的，一般可分為證據(jù)的確定、收集、保護、分析和報告等階段，每個階段完成后都會為下一個階段提供信息，下一個階段得到的結(jié)果又為前一個階段的取證提供佐證。網(wǎng)絡(luò)取證的每一個階段都是相互聯(lián)系的，這就需要這些信息相互關(guān)聯(lián)，主要由關(guān)聯(lián)分析引擎實現(xiàn)。
三、網(wǎng)絡(luò)證據(jù)的數(shù)據(jù)源
網(wǎng)絡(luò)取證的對象是可能記錄了網(wǎng)絡(luò)犯罪過程中遺留下來的數(shù)據(jù)的多個網(wǎng)絡(luò)數(shù)據(jù)源。人們不管是使用Web 服務(wù)、云服務(wù)或社交網(wǎng)絡(luò)服務(wù)，都需要包含服務(wù)提供端（如云服務(wù)器）、客戶端（PC、手機等智能終端設(shè)備）以及網(wǎng)絡(luò)數(shù)據(jù)流。
在網(wǎng)絡(luò)取證證據(jù)的提取的過程中，首要的問題就是確定捕獲什么樣的數(shù)據(jù)。按照計算機取證的方法，為了準確地構(gòu)造證據(jù)鏈，需要捕獲網(wǎng)絡(luò)環(huán)境中所有的數(shù)據(jù)（通過SPAN實現(xiàn)）。
四、網(wǎng)絡(luò)證據(jù)分析
網(wǎng)絡(luò)取證中證據(jù)鏈的開端是被入侵網(wǎng)站記錄的非法訪問數(shù)據(jù)。由于針對網(wǎng)絡(luò)服務(wù)的犯罪往往是以竊取網(wǎng)絡(luò)服務(wù)管理員的權(quán)限為突破口的，因此，進行網(wǎng)絡(luò)取證工作時，首先就是針對用戶權(quán)限以及用戶訪問點的調(diào)查。
取證者在可以進入程序管理模塊調(diào)查用戶賬戶的可疑記錄，例如是否有管理員賬戶是用萬能密碼登陸的，后臺是否有錯誤的管理賬戶登錄記錄以及可疑的文件記錄，是否有用戶加載了XSS 跨站session 腳本等異常腳本，進行邊界數(shù)據(jù)監(jiān)測如文件的上傳與下載等用戶活動。在進行證據(jù)收集的過程中，分析電子證據(jù)體現(xiàn)的可疑行為，從而推斷犯罪者的攻擊方式與信息，以作為下一步的取證活動的指導(dǎo)。
發(fā)現(xiàn)有可疑行為的用戶記錄后，收集該用戶訪問點的所有訪問記錄，包括認證用戶的權(quán)限與對應(yīng)的會話管理等，記錄該用戶的所有會話ID。對于可疑的行為記錄，以截圖、錄屏、存儲等方式將證據(jù)固化到取證設(shè)備中，并使用Hash函數(shù)對數(shù)據(jù)進行計算得到信息摘要并保存在基準數(shù)據(jù)庫中。在證據(jù)分析之前，對要分析的證據(jù)再做一次Hash 計算，比較兩者的結(jié)果，如果相同則說明數(shù)據(jù)完整性未被破壞。分析并對應(yīng)用戶與會話ID 之后，則以其作為指示信息收集網(wǎng)絡(luò)服務(wù)器及應(yīng)用服務(wù)器日志中有關(guān)該用戶及其所有的會話信息記錄。
如果后臺應(yīng)用管理模塊中的可疑已經(jīng)被攻擊者刪除而無法取得可疑會話信息時，則以收集與分析可疑訪問的日志作為取證主體�？梢傻脑L問包括記錄的訪問頻率異常、錯誤信息處理記錄、日志審核報告、網(wǎng)站重定向、管理員監(jiān)控警報、收集站點信息的爬蟲記錄以及表單隱藏域等。
收集分析日志信息的最大難點在于如何在網(wǎng)站龐大的數(shù)據(jù)中檢索出需要的信息，網(wǎng)絡(luò)取證技術(shù)主要采用日志精簡與人工忽略兩種思想進行篩選。日志精簡主要是根據(jù)例如犯罪發(fā)生的時間等犯罪信息作為篩選信息進行日志篩選。另外，可以有針對性的查找特定的攻擊手段
留下的痕跡。當攻擊時間前后公布了某一系統(tǒng)漏洞或者在當時某種攻擊手法正在流行時，用這種針對性比較強的調(diào)查手段會取得更好的效果。
針對網(wǎng)站日志的分析是Web 取證在網(wǎng)站服務(wù)器端的主要應(yīng)用，除此之外，取證者還可以應(yīng)用其他技術(shù)作為輔助手段協(xié)助完成證據(jù)鏈。
五、針對網(wǎng)絡(luò)數(shù)據(jù)流的取證
網(wǎng)絡(luò)取證需要監(jiān)測網(wǎng)絡(luò)環(huán)境信息與網(wǎng)絡(luò)流，進行數(shù)據(jù)包的捕獲與分析。網(wǎng)絡(luò)環(huán)境的相關(guān)信息主要依靠OSSIM系統(tǒng)中的IDS等進行獲取。這一系列的工具可以用來進行網(wǎng)絡(luò)信息收集與網(wǎng)絡(luò)安全監(jiān)測、IP/MAC 地址的分析與定位、監(jiān)測TCP/UDP 端口與DHCP 列表、SMTP 活動記錄等。在進行網(wǎng)絡(luò)包捕獲方面，使用的技術(shù)包括基于Libpcap 庫、PF_RING 接口、直接使用系統(tǒng)調(diào)用等多種。
在被捕獲的網(wǎng)絡(luò)流中，網(wǎng)絡(luò)包會按照其在網(wǎng)絡(luò)上傳輸?shù)捻樞蝻@示，相關(guān)網(wǎng)絡(luò)取證工具可以對這些包進行重組，即將這些包組織成兩個網(wǎng)絡(luò)連接點之間的傳輸層連接。雖然很多取證工具可以對未重組的原始數(shù)據(jù)進行分析，但是這樣會造成非標準端口協(xié)議的丟失以及無法應(yīng)對數(shù)據(jù)編碼與加密傳輸干擾的問題。
網(wǎng)絡(luò)取證中的相關(guān)性分析研究主要因為網(wǎng)絡(luò)攻擊行為往往是分布、多變的，因此對結(jié)果的認定需要將各個取證設(shè)施和取證手法得到的數(shù)據(jù)結(jié)合起來進行關(guān)聯(lián)分析以了解其中的相關(guān)性以及對結(jié)果產(chǎn)生的因果關(guān)系和相互確證，才可以重構(gòu)過程。
對于這種情況完全由人工分析很顯然不太現(xiàn)實，所以我們可以利用開源OSSIM平臺得以實現(xiàn)。這樣你面對的是多緯度以及大視角的海量數(shù)據(jù)分析， 采用多數(shù)據(jù)緯度關(guān)聯(lián)分析，例如如果防火墻檢測到非正常業(yè)務(wù)邏輯的文件上傳同時主機Hids 檢測到非正常業(yè)務(wù)CGI 生成，很大可能是攻擊者在利用文件上傳漏洞上傳可疑Webshell（由Snort負責分析） 。以上述檢測規(guī)則作為給定規(guī)則，構(gòu)建規(guī)則模式，形成規(guī)則模式集，繼而分析證據(jù)集。
六、取證案例
為了讓大家能夠理解各種網(wǎng)絡(luò)取證方法，在10多年Unix/Linux運維經(jīng)驗中筆者出版《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書，例舉了二十一個常見網(wǎng)絡(luò)故障，每個案例完整地介紹了故障的背景、發(fā)生、發(fā)展，以及最終的故障排除過程。其目的在于維護網(wǎng)絡(luò)安全，通過開源工具的靈活運用，來解決運維實戰(zhàn)工作中的各種復(fù)雜的故障。
精彩案例如下：
案例一：閃現(xiàn)Segmentation Fault為哪般
案例二：誰動了我的膠片
案例三：邂逅DNS故障
案例四：網(wǎng)站遭遇DoS攻擊
案例五：“太囧”防火墻
案例六：圍堵Solaris后門
案例七：遭遇溢出攻擊
案例八：真假root賬號
案例九：為rootkit把脈
案例十：當網(wǎng)頁遭遇篡改之后
案例十一：UNIX下捉蟲記
案例十二：泄露的裁員名單
案例十三：后臺數(shù)據(jù)庫遭遇SQL注入
案例十四：大意的程序員之SQL注入
案例十五：修補SSH服務(wù)器漏洞
案例十六：無辜的“跳板”
案例十七：IDS系統(tǒng)遭遇IP碎片攻擊
案例十八：智取不速之客
案例十九：無線網(wǎng)遭受的攻擊
案例二十：無線會場的“不速之客”
案例二十一：“神秘”的加密指紋
由于篇幅所限就不一一詳述，各位讀者可以到新華書店和圖書館獲取該書詳情。
七、后記
目前，網(wǎng)絡(luò)取證技術(shù)還沒有統(tǒng)一、比較完備的網(wǎng)絡(luò)取證流程，這相應(yīng)的造成了沒有統(tǒng)一的取證工具以及相應(yīng)的評價指標。但筆者通過多年研究開發(fā)和應(yīng)用OSSIM系統(tǒng)發(fā)現(xiàn)，該系統(tǒng)的確可以解決目前網(wǎng)絡(luò)安全取證環(huán)節(jié)遇到的一些問題。