网络犯罪侦察技术13.pptVIP

linying@ 网络犯罪侦察技术 林英.信息安全 第14章 计算机及网络攻击应急响应与取证 14.1 计算机及网络攻击应急响应 14.2 计算机及网络攻击取证 14.1 计算机及网络攻击应急响应 随着因特网规模的不断扩张，一个安防组织已经不能满足迅速扩大的安防需求了。类似于CERT的组织在世界各地涌现出来，企业也开始建立自己的计算机安防事故反应团队（Computer Security Incident Response Team, 简称CSIR 团队）。 CSIR团队的主要职责是提供事故反应服务，除此之外，它们还可以利用自己的学识和经验提供一些其他的服务： 安全事件响应； 安全事件与软件安全缺陷分析研究； 安全知识库开发与管理，包括漏洞知识、入侵检测； 发布安全信息，如系统缺陷公告； 教育与培训，包括安全管理及应急培训。 14.1.2 应急预案 应急预案是指在突发情况下，按事先设想的安全事件类型及意外情形，制定处理安全事件的工作步骤。 应急预案的基本内容应该包括： 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法； 详细列出系统紧急情况的类型； 应急处理所要采取的具体步骤及操作顺序。 常见的安全事件类型有： 物理实体及环境类安全事件； 网络通信类安全事件； 主机系统类安全事件； 应用系统类安全事件。 14.1.3 应急事件处理流程 应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事故处理、撰写安全事故报告、应急工作总结等步骤。 14.1.4 事故响应评估调查表 事故响应计划（Incident Response Plan，IRP）和CIRS团队对企业和企业完整的安防体系具有重要的意义；企业必须根据自己的实际情况制定出相应的IRP计划，组建出自己的CIRS团队。但在着手做这些事情之前，企业必须先知道自己有哪些东西需要保护。企业必须有自己的评估调查表。评估调查表是围绕三个主题展开： 详细列出企业的脆弱点； 制定出事故响应计划和流程； 明确了危机管理团队的权利。 例如针对网络服务，事故响应评估调查表应关注： 是否运行有rlogin 或者 Remote Shell（rsh）？ 是否运行有rexec？ Finger 的端口是打开的吗？ 系统上是否运行有Sendmail 或者类似的东西？是哪一个版本的？ 是否运行有Trivial File Transfer Protocol(tftp)? 系统上是否有x 窗口系统？它在运行吗？ 是否运行有Unix-to-Unix Copy Program（uucp）？ 系统是否有一个hosts 文件？ 系统是否使用了符号链接？ 系统是否有.rhosts或hosts.equiv文件？ 系统上是否运行着 System Logging Deemon（syslogd）？ 根据取证时间的不同，计算机及网络攻击取证主要分为实时取证和事后取证两类。 取证的工具有很多，以下是常用实时取证类工具表： Netstat：显示当前受害机器的网络监听程序及网络连接； ARP：查看受害机器的地址解析缓存表； Who：显示系统在线用户信息； Last：显示系统登陆用户信息； Ps：查看UNIX系统进程信息。 * * 14.1.1 什么是事故管理 事故响应概念是从1988年蠕虫席卷全球之后开始出现的.莫里斯蠕虫通过因特网感染了60000多台系统。从这次事件中恢复之后，人们逐步形成了这样一种共识：因特网需要一个值得信任的组织来帮助大家应对安防事件。到了1988年的11月，CERT/CC（Computer Emergency Response Team Coordination Center,)组织在美国的卡内基梅隆大学成立了。 计算机及网络攻击取证是指通过特定的软件和工具，从计算机及网络系统中提取攻击的证据。 就计算机及网络攻击的总体状况来看，计算机及网络取证正处于发展的时期，其特点与变化趋势表现为以下几个方面： 14.2 计算机及网络攻击取证 大容量的存储设备提取，特别是隐藏数据的提取； 动态数据取证； 加密数据取证； 实时取证； 网络流量取证； 网络攻击取证； 证据关联分析 * *