全屏闪烁代码
引擎盖上的一张脸
说出并按Enter键
黑客攻击悄然发生。
..
如何利用网络取证的流量分析方法恢复恶意攻击入侵的全过程?
随着黑客技术的不断发展和普及,黑客攻击越来越普遍,企业和组织面临的网络攻击风险日益增加,防御措施需要更加敏感和先进。
通常,通过网络启动黑客攻击。了解网络取证可以帮助我们及时发现网络上的黑客攻击,从而保护整个网络免受黑客攻击。今天我们主要在网络取证过程中共享一个非常重要的——流量分析过程,并模拟使用流量分析来恢复恶意攻击入侵的整个过程,希望能为您带来一些参考价值!
我们将分享以下几个方面。
首先,什么是网络取证?
从本质上讲,网络取证是数字取证的一个分支。网络取证是对网络数据包的捕获,记录和分析,以确定网络攻击的来源。
其主要目标是收集证据并尝试分析从不同站点和不同网络设备(如防火墙和IDS)收集的网络流量数据。
此外,网络取证也是检测入侵模式的过程,可以在网络上监控以检测攻击并分析攻击者的性质,重点关注攻击者活动。
二,网络取证的步骤
网络取证主要包括以下步骤。
识别:根据网络指标识别和识别事件。
保存:问题和原因。
收集:使用标准化方法和程序记录物理场景并复制数字证据。
检查:潜入系统以搜索与网络攻击相关的证据。
分析:确定重要性,分析多维度的网络流量包,并根据发现的证据得出结论。
显示:总结并提供已经得出的结论的解释。
事件响应:根据收集的信息启动对检测到的攻击或入侵的响应,以验证和评估事件。
与其他数据取证一样,网络取证方面的挑战是嗅探数据流量,数据关联以及确定攻击来源。由于这些问题,网络取证的主要任务是分析捕获的网络数据包,即流量分析。
三,流量分析
1.什么是流量分析?
网络流量是指连接到网络上的网络的设备生成的数据流量。
流量分析在不同的应用层中起着不同的作用。
用户层:运营商通过分析用户网络流量来计算网络消耗。管理:通过添加网络防火墙来控制网络流量,分析网络流量可以帮助政府和企业了解流量使用并减少网络损失。
网站层:了解网站访问者的数据,如IP地址,浏览器信息等;统计在线用户数量,了解用户访问的网站页面;分析异常情况,帮助网站管理员了解是否存在滥用行为;你可以了解网站的使用情况,提前处理网络服务器系统的负载问题;了解网站是否对用户有足够的吸引力。
综合层:评估网站的权重;统计大多数用户的在线习惯,然后进行定向规划,以更好地满足用户需求。
2.如何进行流量分析?
网络流量分析的主要方法:
(1)硬件和软件流量的统计分析
基于该软件,主机网络流入接口被修改为具有捕获数据包的功能。硬件主要具有收集和分析流量数据的功能,通用软件包捕获工具pCap(数据包捕获),硬件具有流量镜像。
(2)网络流量粒度分析
注意比特级网络流量的数据特征,如网络线传输速率,吞吐量变化等;在分组级别,主要关注ip包到达,延迟,丢包率的过程;流类的划分主要基于地址和应用协议。重点关注流程的到达过程,到达间隔及其局部特征。
3.网络流量分析的常用技术
(1)RMON技术
RMON(远程监控)是IETF定义的远程监控标准。 RMON是SNMP标准的扩展。它定义了远程监控和网络管理站之间的标准功能和接口,以实现网段或整个网络上的数据。交通受到监控。
(2)SNMP技术
该技术基于RMON和RMON II。它只能分析网络设备端口的总体流量。它可以获取设备端口的历史或实时流量统计信息,无法深入分析数据包类型和流向信息。它易于实施和标准化。界面是开放的。
(3)实时数据包捕获分析
提供从物理层到应用层的粒度数据分析。但是,该方法主要侧重于协议分析,而不是用户流量访问统计和趋势分析。它只能在短时间内分析流经接口的数据包,不能满足大流量,长期数据包捕获和趋势分析的要求。
(4)流动技术
目前有两种主流技术,sFlow和netFlow。
sFlow是由InMon,HP和Foundry Netfworks于2001年联合开发的网络监控技术。它使用数据流随机抽样技术提供完整,均匀的网络流量信息,提供大型网络流量(例如用于大于环境的流量分析)通过10 Gbps,用户可以实时,详细地分析网络传输过程中的传输性能,趋势和问题。NetFlow是思科开发的一项技术。它既是一种交换技术,也是一种流量分析技术。它也是业界主流的计费技术之一。您可以详细说明IP流量的时间,位置,使用协议,访问内容和特定流量。
流量分析在取证中起着重要作用
计算机取证可分为事后取证和实时取证。流量分析是实时取证的重要组成部分。恢复原始数据并重现入侵站点具有重要意义。
(1)事后取证
事后取证也称为静态取证。它指的是在设备被入侵后使用各种技术获取证据。随着网络犯罪方法和手段的改进,事后取证已无法满足计算机取证的需要。
(2)实时取证
实时取证,也称为动态取证,是指通过网络设备和终端应用程序实时捕获网络数据,并通过设备或软件分析网络数据内容,以获取攻击者的企图和攻击者行为的证据。
通过分析收集的数据,网络入侵时间和网络犯罪活动的证据获取,保存和恢复可以准确,连续地捕获网络中发生的各种行为,并可以完全保留攻击者的攻击过程。数据,网络恢复保存的原始数据,重现入侵站点。
四,流量分析取证过程模拟
以下是流量取证分析过程的示例模拟,该过程使用wireshark获取本地虚拟机网络流量,并使用构建的漏洞环境真正恢复恶意攻击入侵的整个过程。