网络犯罪侦察技术5.pptVIP

linying@ 网络犯罪侦察技术 林英.信息安全 第五章 收集网络证据 Outline 理解网络监视的目的 学习tcpdump、snort和Windump软件的使用以执行网络监视 网络流量的全文监视 FTP Telnet Web 解释网络攻击 网络监视的目的和目标 网络监视不是为了阻止攻击，而是为了让调查人员能够完成以下任务： 确认或排除被指控的计算机安全事件的嫌疑 积累更多的证据和信息 检查危害范围 查出其他同谋 确定网络事件的时间表 保证和预期事件相一致 确定危及的范围 系统 用户帐号和密码 建立一份用于将基于主机的日志记录和基于网络的日志记录相关联的时间表 用已调查出来的线索建立案例 识别攻击者的源IP地址 识别被攻击站点和相关的电子邮件地址 截获网络传输的证据文件 确定事件发生可能的动机和目的 情报收集 评估攻击者的技术的等级 确定攻击者的数目 网络证据 全内容监视所得到的结果或截获的电子通信信息。 收集网络证据包括建立一个执行网络监视的计算机系统，部署网络监视器和评价该网络监视器的有效性。 截获通信只是一部分工作，另一个挑战是提取有价值的信息。当收集到组成网络证据的原始数据后，就需要分析这些数据。 对网络证据的分析包括重建网络活动、进行底层协议分析和解释网络活动。 网络证据 基于主机的证据 基于网络的证据 从受害网络中获得的，而不是从受害计算机中获得的信息 路由器、防火墙、服务器、其它网络设备的日志记录 地理上分散、格式不统一 依赖的时间不一致 需要耗费大量精力和时间来组装 所以通过网络监视来增加日志中获得的数据 网络监视的类型 事件监视 陷阱跟踪监视 全内容监视 事件监视 事件监视是基于网络平台上的规则和门限的。事件只是警告网络上发生了某些事情。传统的事件是由网络IDS生成的，不过事件也可以由网络状况监视软件如MRTG（Multi Router Traffic Grapher）或NTOP来创建。 网络资源： MRTG： http://people.ee.ethz.ch/~oetiker/webtools/mrtg NTOP: Snort: 陷阱跟踪监视 非内容监视记录概括网络活动的会话或事务数据。执法部门把这种非内容监视称为笔式监视（pen register）或陷阱跟踪。 典型的非内容监视的项目包括协议、IP地址以及网络通信使用的端口。附加的数据包括会话间的标志、双方发送信息的字节数和数据包数。 网络资源 Tcptrace: /software/tcptrace 全内容监视 全内容监视产生的数据包括从电缆上收集的原始数据包。因为重现了网络计算机间的实际通信，所以保真度很高。 安装网络监视系统 创建一个成功的网络监视系统包括下面几步： 确定网络监视的目的 确保你有正当的法律依据进行监视活动 获得并实现合适的硬件和软件 确保平台的安全性，无论是电子上还是物理上 确保监视器布置在网络上合适的地方 评估你的网络监视器 确定监视的目标 进行网络监视的第一步先要知道为什么要这样做。确定网络监视的目标，决定你想要完成什么，例如： 监视一个特定主机的通信 监视一个特定网络的通信 监视某一个人的活动 确定入侵企图 寻找特定的攻击信号 关注某一特定协议的使用 选择合适的硬件 网络资源 Niksun 监视分析系统： http：// Sandstorm监视分析系统： Network Associates监视和分析系统： 选择合适的软件 下面是一些选择软件时应考虑的问题： 使用什么主机操作系统 是否允许远程访问监视器或者只允许在控制台访问 是否想要实行秘密的嗅探 被捕获得文件需要具有可携性吗 负责监视的人员要求具有哪些技能 网络通信量是多少？ 部署网络监视器 现代交换机有一个特性是交换端口分析SPAN（Switched port analysis）,允许交换机的一个端口传送所有的数据帧，不管交换机是否侦听到那个端口的目的地址。 SPAN 交换端口分析器（SPAN）功能有时被称为端口镜像或端口监控，该功能可通过网络分析器（例如交换机探测设备或者其它远程监控（RMON）探测器）选择网络流量进行分析。 为什么需要SPAN 在交换机上引入SPAN功能，是因为交换机和集线器有着根本的差异。当集线器在某端口上接收到一个数据包时，它将向除接收该数据包端口之外的其它所有端口发送一份数据包的拷贝。当交换机启动时，它将根据