我們都遇到過(guò)各種網(wǎng)絡(luò)問(wèn)題,有時(shí)會(huì)需要網(wǎng)絡(luò)取證分析。但是您或許不知道從哪里開(kāi)始,該怎么辦?或者,更準(zhǔn)確地說(shuō),您不知道需要什么硬件來(lái)捕獲網(wǎng)絡(luò)線上的信息,以及在分析數(shù)據(jù)時(shí)需要尋找什么?不清除這些問(wèn)題的答案可能會(huì)導(dǎo)致安全漏洞或網(wǎng)絡(luò)中出現(xiàn)其他異常情況。
作為安全分析師,您需要查找正確的癥狀來(lái)快速檢測(cè)網(wǎng)絡(luò)中的異常。當(dāng)然,這需要多年的實(shí)踐和正確的網(wǎng)絡(luò)取證工具。
為了對(duì)情況進(jìn)行正確的評(píng)估,查看您可以獲得的所有信息是非常重要的。因?yàn)榧词故羌夹g(shù)嫻熟的網(wǎng)絡(luò)工程師,如果無(wú)法100%了解網(wǎng)絡(luò)上發(fā)生的事情,也無(wú)法正確評(píng)估情況(需要網(wǎng)絡(luò)可視化架構(gòu)及正確的工具)。選擇正確的工具后,下一步就是監(jiān)視和分析。以下是一些(重要的)惡意活動(dòng)(事件計(jì)時(shí)、網(wǎng)絡(luò)檢查等),在執(zhí)行網(wǎng)絡(luò)取證分析時(shí)應(yīng)注意這些活動(dòng)。
檢查事件計(jì)時(shí)
事件計(jì)時(shí),即事件之間的時(shí)間,對(duì)于確定網(wǎng)絡(luò)中是否存在惡意活動(dòng)至關(guān)重要。在短時(shí)間內(nèi)(比如幾百毫秒甚至幾秒)發(fā)生的事件表明,它們是由機(jī)器人或惡意軟件生成的,而不是由人類生成的。
這些短時(shí)間跨度(毫秒到秒)的范圍取決于網(wǎng)絡(luò)管理員應(yīng)該了解的活動(dòng)的性質(zhì)。
例如,在幾毫秒內(nèi)從同一源IP接收數(shù)十個(gè)針對(duì)單個(gè)網(wǎng)站的DNS請(qǐng)求,或在幾毫秒內(nèi)從多個(gè)源IP接收多個(gè)針對(duì)單個(gè)網(wǎng)站的DNS請(qǐng)求,這些情況表明,這些請(qǐng)求可能是由機(jī)器人程序或惡意軟件啟動(dòng)的自動(dòng)腳本生成的。
檢查DNS流量
由于DNS是處理所有發(fā)送到Internet的請(qǐng)求的主要處理程序,因此您應(yīng)該檢查DNS服務(wù)器的流量活動(dòng)。如果您的網(wǎng)絡(luò)中有惡意系統(tǒng)或網(wǎng)絡(luò)蠕蟲(chóng)對(duì)建立與Internet的出站連接感興趣,則可以在DNS服務(wù)器上檢測(cè)到它的惡意活動(dòng)。
例如,使用Wireshark,您可以過(guò)濾DNS服務(wù)器IP地址的所有數(shù)據(jù)包,并檢查DNS服務(wù)器在特定時(shí)間窗口內(nèi)收到的請(qǐng)求。如果您在短時(shí)間內(nèi)(例如幾百毫秒)看到來(lái)自同一源IP的連接請(qǐng)求數(shù)量異常多,那么您應(yīng)該懷疑這是惡意活動(dòng),并更深入地研究數(shù)據(jù)包標(biāo)頭以進(jìn)行進(jìn)一步調(diào)查。
如果您的DNS服務(wù)器受到大量請(qǐng)求的轟炸,則很可能它受到DoS攻擊。
檢查中間人攻擊
這是在企業(yè)網(wǎng)絡(luò)中的最常見(jiàn)的攻擊之一。中間人(MitM)攻擊是指攻擊者通過(guò)充當(dāng)該網(wǎng)絡(luò)中的受信任系統(tǒng)之一來(lái)嘗試訪問(wèn)該網(wǎng)絡(luò)。在MitM攻擊中,惡意系統(tǒng)在兩個(gè)受信任的系統(tǒng)之間進(jìn)行干預(yù),并劫持其對(duì)話通道,從而將所有通信量轉(zhuǎn)移到自身。這兩個(gè)受信任的系統(tǒng)認(rèn)為它們彼此直接通信,而實(shí)際上,它們是通過(guò)惡意系統(tǒng)進(jìn)行通信。
這使惡意系統(tǒng)不僅可以偵聽(tīng)整個(gè)對(duì)話,還可以對(duì)其進(jìn)行修改。執(zhí)行MitM攻擊的最常見(jiàn)方法是通過(guò)ARP欺騙,也稱為ARP緩存中毒。在這種技術(shù)中,攻擊者在LAN中廣播錯(cuò)誤的ARP消息,以將其mac地址與局域網(wǎng)中受信任系統(tǒng)的IP地址(例如,默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器或DHCP服務(wù)器)相關(guān)聯(lián),具體取決于攻擊計(jì)劃。
使用監(jiān)視軟件的過(guò)濾器選項(xiàng),過(guò)濾所有數(shù)據(jù)包,僅查看ARP數(shù)據(jù)包。如果您看到大量的ARP流量(廣播和答復(fù)),那么這很可疑。在運(yùn)行中的網(wǎng)絡(luò)中,所有受信任的系統(tǒng)通常在其緩存中都具有MAC到IP的映射,因此您應(yīng)該不會(huì)看到一長(zhǎng)串ARP消息。在數(shù)據(jù)包標(biāo)頭中挖掘源地址和目標(biāo)地址,再進(jìn)一步調(diào)查以發(fā)現(xiàn)是否發(fā)生了MitM攻擊。
檢查DoS(DDoS)攻擊
這也是當(dāng)今最常見(jiàn)的虛擬攻擊之一,它可以在網(wǎng)絡(luò)內(nèi)部進(jìn)行,也可以從網(wǎng)絡(luò)外部進(jìn)行。拒絕服務(wù)(DoS)攻擊的目的是,使機(jī)器或網(wǎng)絡(luò)的資源過(guò)度消耗,最終它們的實(shí)際用戶將無(wú)法使用它們。當(dāng)服務(wù)器連接到Internet時(shí),通常在Web服務(wù)器上進(jìn)行DoS攻擊以暫停Web服務(wù)。
在DoS攻擊期間,流氓系統(tǒng)會(huì)使用TCP / SYN消息向目標(biāo)服務(wù)器發(fā)起轟炸,請(qǐng)求打開(kāi)連接,但是源地址要么是錯(cuò)誤,要么是偽造的。
如果源是假的,則服務(wù)器無(wú)法響應(yīng)TCP / SYN-ACK消息,因?yàn)樗鼰o(wú)法解析源的MAC地址。
如果源是偽造的,服務(wù)器將用一個(gè)TCP/SYN-ACK消息來(lái)響應(yīng),并等待最終的ACK消息來(lái)完成TCP連接。
但是,由于實(shí)際源從未啟動(dòng)此連接,因此服務(wù)器從未收到最終響應(yīng),并一直在等待半開(kāi)放的連接。無(wú)論哪種情況,服務(wù)器都會(huì)被TCP / SYN請(qǐng)求“淹沒(méi)”,從而導(dǎo)致異常大量的不完整連接,因此飽和了服務(wù)器可能建立的連接數(shù)。
要快速確定是否發(fā)生DoS攻擊,要先在使用的軟件分析工具中進(jìn)行篩選,查看TCP數(shù)據(jù)包。使用該工具查看數(shù)據(jù)包序列圖,圖上用箭頭表示源系統(tǒng)和目標(biāo)系統(tǒng)之間的TCP連接流。如果您看到大量的TCP / SYN數(shù)據(jù)包從單個(gè)源IP轟炸到目標(biāo)服務(wù)器IP,或者沒(méi)有從服務(wù)器IP返回的答復(fù),或者只有SYN-ACK消息但沒(méi)有來(lái)自源的ACK答復(fù),那么您很有可能查看到了DoS攻擊。
如果您看到很長(zhǎng)的TCP / SYN請(qǐng)求流從多個(gè)源IP推送到目標(biāo)服務(wù)器IP,那么可以確定這是DDoS(分布式拒絕服務(wù))攻擊,這種攻擊有多個(gè)流氓系統(tǒng)攻擊目標(biāo)服務(wù)器,甚至比DoS攻擊更致命。有關(guān)監(jiān)視工具如何幫助您防止DDoS攻擊的更多信息。
無(wú)論如何,正如我們?cè)诒疚拈_(kāi)頭提到的那樣,您的網(wǎng)絡(luò)安全團(tuán)隊(duì)需要正確的網(wǎng)絡(luò)取證工具,可以完全訪問(wèn)網(wǎng)絡(luò),以便正確評(píng)估情況并采取相應(yīng)措施。
文章來(lái)自:網(wǎng)絡(luò)安全與可視化
