网路封包分析操作File-软体学习资源服务平台.DOC

第 PAGE 22頁 / 共 NUMPAGES 22頁 網路封包分析操作 教學手冊 目錄 TOC \h \z \t 標題 1,1,標題 2,2 HYPERLINK \l _Toc472935148 一、專有名詞及網路封包相關工具說明 PAGEREF _Toc472935148 \h 3 HYPERLINK \l _Toc472935149 二、網路封包分析概略流程 PAGEREF _Toc472935149 \h 5 HYPERLINK \l _Toc472935150 三、網路封包側錄及分析工具操作說明 PAGEREF _Toc472935150 \h 6 HYPERLINK \l _Toc472935151 四、封包分析實作案例 PAGEREF _Toc472935151 \h 16 HYPERLINK \l _Toc472935152 五、附錄 – 參考文獻 PAGEREF _Toc472935152 \h 22 一、專有名詞及網路封包相關工具說明 專有名詞 數位證據 隨著資訊電子產品大量普及，電子犯罪事件日益頻繁，學者Casey[3]定義數位證據係指能夠證明犯罪或提供案件相關線索之任何數位資料。國際規範中，SWGDE(Scientific Working Group on Digital Evidence)定義數位證據為任何具證明犯罪案件價值之儲存或傳送數位資料[6]；ISO/IEC 27043: 2015[2]定義為以二進制儲存或傳輸且可被認可為證據之資訊或檔案。簡言之，數位證據為數位資訊媒體中所存在之電磁紀錄，該電磁紀錄可提供案件相關證明。我國刑法第十條第六項，定義電磁紀錄為：「以電子、磁性、光學或其他相類似方式所製成，而供電腦處理之紀錄，稱為電磁紀錄」。Casey亦提出數位證據四種特性[3]： 數位證據蒐集和處理相當困難，只有少部份可成為證據。 無法直接以人的知覺瞭解內容。 易於複製與修改，不易保留原始狀態。 不易證實來源及完整性。 數位鑑識 傳統刑事案件涉及刑事鑑識學，涵蓋彈道學、血液學等，發展較早且可供參考，隨著資訊科技發達，數位鑑識為取得、妥善保存及分析數位證據而衍生之專門領域。學者Solms及Lourens[7]定義數位鑑識為「為分析及調查技巧，用以保存、識別、擷取、文件化及分析儲存媒體中之證據或根因分析」，此類型調查作業將協助法院處理電腦及網路犯罪案件或企業內部調查[8]。學者Kuchta[9]則對數位鑑識定義為「數位鑑識是電腦應用的法律議題，使用電腦技術針對電子儲存媒體之數位證據，進行擷取及分析說明，進而取得法律上的效力」。由此可知，數位鑑識作業因案件需進入司法訴訟程序，或數位鑑識作業結果將用於釐清責任、究責等，成為關鍵重點。 有別於鑑識傳統刑事案件，數位鑑識可分為電腦鑑識、行動裝置鑑識、網路鑑識、資料庫鑑識、多媒體鑑識、屬於新興科技之雲端鑑識[10]及物聯網(Internet of Thing, IOT)鑑識等領域。若以分析標的劃分，分為如惡意程式鑑識、即時通訊鑑識、檔案系統鑑識及電子郵件鑑識等項目。為因應各種不同數位鑑識作業，鑑識分析人員需在可信賴且完善數位鑑識設備環境，透過標準作業程序，產出可被信任的數位鑑識結果分析報告。 證據力 為證據之憑信性及對於要證事實之實質上的價值評價，「證據力」是指如果可以作為證據，其能夠證明為真實的程度如何 證據能力 稱之為形式資格，亦即該證據得用以作合法證據調查程序中之資料能力，證據能力是指得成為證明犯罪事實存在與否之證據資格 網路封包相關工具 以下為常用網路封包分析工具及其相關資訊，本手冊將於第二節說明網路封包分析作業程序與工具應用時機。第三節簡述各工具操作介面及功能，並於第四節將各工具實際運用至網路封包分析案例中。 表 SEQ 表 \* ARABIC 1 常用網路封包分析工具 軟體名稱 軟體版本 /釋出時間 內建於Kali Linux 下載網址 功能簡述 WireShark 2.2.3 / 2016.12 Y /download.html 擷取當下網路封包並存檔 分析封包資料檔(*.pcap檔) 顯示網路封包與通訊協定資料 NetworkMiner / 2016.08 /?page=NetworkMiner 擷取當下網路封包並存檔 分析封包資料檔(*.pcap檔) 將傳送檔案之封包重組回完整檔案 tcpdump 4.8.1 Y (N/A，內建於Kali Linux v2016.2) 為命令列工具，可擷取當下網路封包並存檔 Mandiant Highlighter 1.1.3 / 2011.09 /resources/download/highlighter 主要用來分析日誌檔案，透過同時多組關鍵字搜尋、標記及檔案中位置定位，使用