免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

滿屏閃爍的代碼

帽兜中忽明忽暗的臉

談笑間輕輕按下的回車鍵

一次黑客攻擊悄無聲息的發(fā)生了

……

隨著黑客技術(shù)的不斷發(fā)展和普及，黑客攻擊變得越來越普遍，企業(yè)和組織面對的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)與日俱增，防御措施需要更加敏感和先進(jìn)。

通常，黑客攻擊都是通過網(wǎng)絡(luò)發(fā)起的。了解網(wǎng)絡(luò)取證可以幫助我們及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中黑客攻擊的行為，進(jìn)而保護(hù)整個(gè)網(wǎng)絡(luò)免受黑客的攻擊。今天我們主要分享網(wǎng)絡(luò)取證過程中非常重要的一項(xiàng)——即流量分析，并模擬利用流量分析的方式還原惡意攻擊入侵的全過程，希望帶給您一定參考價(jià)值！

我們將從以下幾方面展開相關(guān)分享。

一、什么是網(wǎng)絡(luò)取證

從本質(zhì)上講，網(wǎng)絡(luò)取證是數(shù)字取證的一個(gè)分支，網(wǎng)絡(luò)取證是對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、記錄和分析，以確定網(wǎng)絡(luò)攻擊的來源。

其主要目標(biāo)是收集證據(jù)，并試圖分析從不同站點(diǎn)和不同網(wǎng)絡(luò)設(shè)備（如防火墻和IDS）收集的網(wǎng)絡(luò)流量數(shù)據(jù)。

此外，網(wǎng)絡(luò)取證也是檢測入侵模式的過程，它可以在網(wǎng)絡(luò)上監(jiān)控以檢測攻擊并分析攻擊者的性質(zhì)，側(cè)重于攻擊者活動(dòng)。

二、 網(wǎng)絡(luò)取證的步驟

網(wǎng)絡(luò)取證主要包括以下步驟

識別

根據(jù)網(wǎng)絡(luò)指標(biāo)識別和確定事件。

保存

存在的問題及原因。

搜集

使用標(biāo)準(zhǔn)化方法和程序記錄物理場景并復(fù)制數(shù)字證據(jù)。

檢查

深入系統(tǒng)搜索與網(wǎng)絡(luò)攻擊有關(guān)的證據(jù)。

分析

確定重要性，多維度分析網(wǎng)絡(luò)流量數(shù)據(jù)包，并根據(jù)發(fā)現(xiàn)的證據(jù)得出結(jié)論。

展示

總結(jié)并提供已得出結(jié)論的解釋。

事件

響應(yīng)

根據(jù)收集的信息啟動(dòng)對檢測到的攻擊或入侵的響應(yīng)，以驗(yàn)證和評估事件。

與其它數(shù)據(jù)取證一樣，網(wǎng)絡(luò)取證中的挑戰(zhàn)是數(shù)據(jù)流量的嗅探、數(shù)據(jù)關(guān)聯(lián)、攻擊來源的確定。由于這些問題，網(wǎng)絡(luò)取證的主要任務(wù)是分析捕獲的網(wǎng)絡(luò)數(shù)據(jù)包，也就是流量分析。

三、流量分析

A.什么是流量分析？

網(wǎng)絡(luò)流量是指能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)流量。

不同的應(yīng)用層，流量分析起到的作用不同。

1.用戶層：運(yùn)營商通過分析用戶網(wǎng)絡(luò)流量，來計(jì)算網(wǎng)絡(luò)消費(fèi)。

2.管理層：分析網(wǎng)絡(luò)流量可以幫助政府、企業(yè)了解流量使用情況，通過添加網(wǎng)絡(luò)防火墻等控制網(wǎng)絡(luò)流量來減少資源損失。

3.網(wǎng)站層：了解網(wǎng)站訪客的數(shù)據(jù)，如ip地址、瀏覽器信息等；統(tǒng)計(jì)網(wǎng)站在線人數(shù)，了解用戶所訪問網(wǎng)站頁面；通過分析出異?？梢詭椭W(wǎng)站管理員知道是否有濫用現(xiàn)象；可以了解網(wǎng)站使用情況，提前應(yīng)對網(wǎng)站服務(wù)器系統(tǒng)的負(fù)載問題；了解網(wǎng)站對用戶是否有足夠的吸引能力。

4.綜合層：評價(jià)一個(gè)網(wǎng)站的權(quán)重；統(tǒng)計(jì)大多數(shù)用戶上網(wǎng)習(xí)慣，從而進(jìn)行有方向性的規(guī)劃以更適應(yīng)用戶需求。

B.如何進(jìn)行流量分析？

網(wǎng)絡(luò)流量分析主要方法:

1.軟硬件流量統(tǒng)計(jì)分析

基于軟件通過修改主機(jī)網(wǎng)絡(luò)流入接口，使其有捕獲數(shù)據(jù)包功能，硬件主要有用于收藏和分析流量數(shù)據(jù)，常見的軟件數(shù)據(jù)包捕獲工具pCap（packet capture），硬件有流量鏡像的方式。

2.網(wǎng)絡(luò)流量粒度分析

在bit級上關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路傳輸速率，吞吐量變化等；在分組級主要關(guān)注ip分組達(dá)到的過程，延遲，丟包率；在流級的劃分主要依據(jù)地址和應(yīng)用協(xié)議，關(guān)注于流的到達(dá)過程、到達(dá)間隔及其局部特征。

網(wǎng)絡(luò)流量分析常用技術(shù)

RMON技術(shù)

RMON(遠(yuǎn)程監(jiān)控)是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及遠(yuǎn)程監(jiān)控和網(wǎng)管站之間的接口，實(shí)現(xiàn)對一個(gè)網(wǎng)段或整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行監(jiān)控。

SNMP技術(shù)

此技術(shù)是基于RMON和RMON II，僅能對網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，能獲取設(shè)備端口出入歷史或?qū)崟r(shí)的流量統(tǒng)計(jì)信息、不能深入分析包類型、流向信息，具有實(shí)現(xiàn)簡單，標(biāo)準(zhǔn)統(tǒng)一，接口開放的特點(diǎn)。

實(shí)時(shí)抓包分析

提供纖細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。但該方法主要側(cè)重于協(xié)議分析，而非用戶流量訪問統(tǒng)計(jì)和趨勢分析，僅能在短時(shí)間內(nèi)對流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析，無法滿足大流量、長期的抓包和趨勢分析的要求。

FLOW技術(shù)

當(dāng)前主流技術(shù)主要有兩種，sFlow和netFlow。

sFlow是由InMon、HP和Foundry Netfworks在2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)控技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可以提供完整的，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，能夠提供超大網(wǎng)絡(luò)流量（如大于10Gbps）環(huán)境下的流量分析，用戶能夠?qū)崟r(shí)、詳細(xì)的分析網(wǎng)絡(luò)傳輸過程中的傳輸性能、趨勢和存在的問題。

NetFlow是Cisco公司開發(fā)的技術(shù)，它既是一種交換技術(shù)，又是一種流量分析技術(shù)，同時(shí)也是業(yè)界主流的計(jì)費(fèi)技術(shù)之一?？梢栽敿?xì)統(tǒng)計(jì)IP流量的時(shí)間、地點(diǎn)、使用協(xié)議、訪問內(nèi)容、具體流量。

C.流量分析在取證中作用

計(jì)算機(jī)取證可以分為事后取證和實(shí)時(shí)取證。而流量分析正是實(shí)時(shí)取證的重要內(nèi)容，對原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原、重現(xiàn)入侵現(xiàn)場具有重要意義。

事后取證

事后取證也稱為靜態(tài)取證，是指設(shè)備在被入侵后運(yùn)用各種技術(shù)對其進(jìn)行取證工作。隨著網(wǎng)絡(luò)犯罪的方法和手段的提高，事后取證已不能滿足計(jì)算機(jī)取證的需求。

實(shí)時(shí)取證

實(shí)時(shí)取證，也被稱為動(dòng)態(tài)取證，是指通過設(shè)備或軟件實(shí)時(shí)捕獲流經(jīng)網(wǎng)絡(luò)設(shè)備和終端應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)并分析網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)容，來獲取攻擊者的企圖和攻擊者的行為證據(jù)。

利用分析采集后的數(shù)據(jù)，對網(wǎng)絡(luò)入侵時(shí)間，網(wǎng)絡(luò)犯罪活動(dòng)進(jìn)行證據(jù)獲取、保存、和還原，流量分析能夠真實(shí)、持續(xù)的捕獲網(wǎng)絡(luò)中發(fā)生的各種行為，能夠完整的保存攻擊者攻擊過程中的數(shù)據(jù)，對保存的原始數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)還原，重現(xiàn)入侵現(xiàn)場。

四.流量分析取證過程模擬

下面是我們使用wireshark抓取本地虛擬機(jī)網(wǎng)絡(luò)流量，并使用構(gòu)建的漏洞環(huán)境進(jìn)行流量取證分析過程的示例模擬，真實(shí)還原惡意攻擊入侵的全過程。（以下模擬案例、數(shù)據(jù)是本文分享的主要內(nèi)容，僅供參考學(xué)習(xí)。任何人不得用于非法用途，轉(zhuǎn)載請注明出處，否則后果自負(fù)。）

具體操作步驟:

1、打開wireshark抓取指定虛擬機(jī)網(wǎng)絡(luò)；

2、使用NAT模式將虛擬機(jī)中漏洞環(huán)境的80端口映射到本地主機(jī)的9999端口并訪問漏洞環(huán)境網(wǎng)站；

3、在漏洞環(huán)境中的網(wǎng)站發(fā)現(xiàn)一個(gè)登錄頁面，并且沒有驗(yàn)證碼；

4、使用burpsuite攔截登錄請求，并使用intruder模塊進(jìn)行登錄爆破；

5、通過暴力破解找到登錄的用戶名和密碼，然后利用用戶名admin和密碼admin登錄，猜測是后臺管理員用戶名和密碼成功登錄網(wǎng)站后臺；

同時(shí)還在漏洞環(huán)境的網(wǎng)站中找到一個(gè)文件上傳的頁面并上傳惡意文件；

6、上傳文件后點(diǎn)擊browse，看到文件描述，使用F12查看文件在網(wǎng)站的路徑到找到上傳文件的具體位置；

7、使用惡意文件連接工具連接惡意文件并進(jìn)行相關(guān)惡意操作；

8、在wirkshark中查看已捕獲的惡意攻擊者入侵的整個(gè)流程和詳細(xì)內(nèi)容；

9、查看通過http協(xié)議進(jìn)行的通信內(nèi)容：

看到源IP 192.168.0.168訪問了的漏洞環(huán)境中網(wǎng)站的/wordpress/接著訪問了wordpress/wp-login.php然后對wordpress/wp-login.php進(jìn)行了一系列的POST請求，說明攻擊者在進(jìn)行一系列的登錄。

10、在這些請求內(nèi)容中發(fā)現(xiàn)一個(gè)狀態(tài)碼為302，302表示頁面重定向。

11、通過追蹤流的形式查看整個(gè)請求內(nèi)容，看到使用用戶名admin和密碼admin進(jìn)行了登錄，且重定向到了wp-admin/；

12、繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者進(jìn)行了對后臺頁面的登錄；

13、在后面的數(shù)據(jù)記錄中發(fā)現(xiàn)攻擊者訪問了wordpress/ap-admin/post.php?action=edit&post=4的頁面；

14、在此處發(fā)現(xiàn)了一個(gè)POST請求，并上傳了一個(gè)名為image.php的文件，通過流追蹤的方式查看到文件內(nèi)容，文件類容正是我們上傳的內(nèi)容；

15、看到上傳惡意文件的文件名稱，繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者訪問了image.php這個(gè)惡意文件，并隨后并發(fā)起了一系列POST請求；

16、查看這些請求和響應(yīng)內(nèi)容均為加密內(nèi)容；

至此我們通過本地模擬惡意攻擊者入侵過程，并利用流量分析的方式對惡意攻擊者入侵的過程進(jìn)行了一個(gè)真實(shí)完整的還原，充分體現(xiàn)了網(wǎng)絡(luò)流量分析在計(jì)算機(jī)實(shí)時(shí)取證中有著重要的作用和意義。

本文主要介紹了網(wǎng)絡(luò)取證之流量分析的方法和技術(shù)，并實(shí)操利用流量分析方式對惡意攻擊者入侵進(jìn)行完整還原取證的全過程，希望對大家有參考價(jià)值！