【虹科分享】利用ProfiShark 構建便攜式網絡取證工具包
文章速覽:
- 為什么要使用便攜式網絡取證工具?
- 構建便攜式網絡取證套件
- 法證分析
- ProfiShark 1G作為便攜式分路器的優點
網絡安全領域日益重視便攜式取證工具的靈活應用。本文介紹了如何構建一個以ProfiShark 1G為核心的便攜式網絡取證工具包,以提高網絡取證的效率和實效性。
一、為什么要使用便攜式網絡取證工具?
1、企業自身需求
網絡取證和網絡安全團隊需要具備攔截網絡流量和實時捕獲數據包的能力,以防止威脅和實時攻擊。企業組織需要根據其網絡的規模和架構建立網絡攔截和流量捕獲機制。例如,擁有分布式數據中心的大型網絡的公司必須部署多個捕獲點,并將數據包送至中央數據包分析設備(網絡分析儀),該設備能夠以10 Gbps甚至高達100 Gbps的速度接收和分析數據。
2、企業面臨的困境
然而,并非所有公司都在分布式架構中擁有多個數據中心。大多數中小型企業的整個IT基礎設施都托管在一個站點上。這些公司大多沒有能力投資網絡安全分析產品。那這些中小型企業該如何改善企業網絡安全呢?
答案是,便攜式網絡取證工具包。成本低得多,但仍能按需對網絡的任何網段進行實時取證分析。
即使是大型多分支機構也不能否認它的實用性和好處。在網絡攻擊案例中,分支機構與總部斷開連接,而本地IT團隊希望對分支機構的內部網絡進行取證分析。或者,如果由于內部連接問題,網絡分析儀設備被隔離在數據中心內,該怎么辦?在這種情況下,即使是大型企業,在很短得調查時間內,也會青睞便攜式取證工具包。
二、構建便攜式網絡取證套件
接下來我們將介紹構建用于取證分析的便攜式套件的三個基本工具。
1、一臺筆記本電腦
首先需要一臺筆記本電腦。
1)最低規格: 4GB內存、容量至少500GB的快速存儲設備(SSD)、1Gbps網卡、USB 3.0端口和3小時的備用電池。
2)我們強烈推薦使用基于SSD(固態硬盤)的存儲設備,因為它們比硬盤快得多,這種速度有利于正確捕獲。開始對網絡進行取證分析之前,首先需要在筆記本電腦上捕獲和存儲數據包。如果能在安全危機期間盡快存儲和解析數據包,固態硬盤存儲將為您帶來顯著的時間優勢。硬盤的最大磁盤寫入速度一般為 100 MB/s,相比之下,固態硬盤的磁盤寫入速度要快得多,可達500MB/s(某些固態硬盤甚至更高)。
3)這臺筆記本電腦不應該是IT團隊日常使用的機器,因為這意味著上面安裝了大量應用程序,注冊表會發生重大變化,內存負荷也會增加,從而導致性能降低。相反,這臺筆記本電腦應該是專用于特殊用途的特定機器,如取證分析或現場故障排除。下一節將解釋對USB 3.0端口的要求。
2、數據包分析器
接下來,需要一個數據包分析器(也稱為數據包嗅探器),它是一種可以記錄、解析和分析通過網絡的流量的工具(軟件或硬件)。當數據在網絡上流動時,數據包分析器接收捕獲的數據包并解碼數據包的原始數據,顯示數據包中各個字段的值(例如 TCP 標頭、會話詳細信息等)。你可以根據相應的 RFC 規范分析這些值,以推斷數據包在網絡點之間傳輸期間是否存在任何異常行為。
3、便攜式網絡分路器
為了進行網絡取證,需要有一個特定的數據包捕獲設備,可以攔截并捕獲實時流量中的數據包。在端口鏡像(SPAN)和網絡TAP兩種捕獲數據包的方法中,后者更可靠、更準確。TAP能夠捕獲線路上的數據包,保證100%實時捕獲實時流量中的數據包。TAP被廣泛用于安全應用程序,因為它們是非侵入式的,并且在網絡上無法檢測到,并且沒有物理或邏輯地址。因此,取證團隊可以以隱形模式執行他們的活動。
在當今可用的各種類型的TAP中,便攜式TAP能夠靈活地在現場攜帶并在任何位置立即部署,因而迅速普及開來。如何選擇便攜式TAP呢?必要的兩個條件的是:一是功能足夠強大,足以承擔全部流量;二是便攜容易部署。
三、法證分析
這里給大家補充一些關于法證分析的知識,你可以從幾個基本步驟開始,進行取證分析。
1、檢查活動時間
事件計時(即事件之間的時間)對于識別網絡中是否存在惡意活動至關重要。在短時間內(例如幾百毫秒甚至幾秒)發生的事件表明這些事件是由機器人或惡意軟件生成的。例如,在幾毫秒內從同一源IP接收到針對單個網站的數十個DNS請求,或者在幾毫秒內從多個源IP接
收到針對單個網站的多個DNS請求,這些示例表明這些請求可能是由自動化生成的。由機器人或惡意軟件啟動的腳本。
2、檢查DNS流量
由于DNS是所有發送到 Internet 的請求的主要處理程序,因此應檢查DNS服務器的流量活動。如果網絡中存在流氓系統或網絡蠕蟲,并且有可能與Internet建立出站連接,那么你可以在DNS服務器上檢測到其惡意活動。如果在短時間內(例如幾百毫秒)看到來自同一源IP的連接請求數量異常高,那么這可能是惡意活動,可以深入挖掘數據包標頭以進一步調查。如果你的DNS服務器受到大量請求的轟炸,它很可能受到DoS攻擊。
3、檢查中間人攻擊
這是組織網絡中最常見的攻擊之一,中間人(MitM)攻擊是攻擊者試圖通過充當網絡中可信系統之一來滲透到網絡中的攻擊。使用過濾器選項,過濾所有數據包以僅查看ARP數據包。如果您看到大量ARP流量(廣播和回復),那么這很可疑。因為在運行的網絡中,所有受信任的系統通常在其緩存中都有MAC到IP的映射,所以您不應該看到一長串ARP消息。深入研究數據包標頭中的源地址和目標地址,并進一步調查以查明是否正在發生MitM攻擊。
4、檢查DOS (DDOS)攻擊
這也是最常見的攻擊之一,可以在網絡內部或從網絡外部進行。DoS(拒絕服務)攻擊的目的是消耗機器或網絡的資源,最終導致實際用戶無法使用。要快速識別是否發生DoS攻擊,請在Wireshark中過濾查看TCP數據包。使用Wireshark上的選項查看數據包序列圖,該圖通過源系統和目標系統之間的箭頭說明TCP連接流。如果您看到大量TCP/SYN數據包從單個源IP轟炸到目標服務器IP,并且服務器IP沒有回復,或者只有SYN-ACK消息但沒有來自源的ACK回復,那么您最有可能正在觀看實際的DoS攻擊。如果您看到一長串TCP/SYN請求從多個源IP轟炸到目標服務器P,則這是DDoS(分布式拒絕服務)攻擊,其中多個流氓系統攻擊目標服務器,并且更具致命性比DoS攻擊。
四、ProfiShark 1G作為便攜式分路器的優點
1、體積小巧,真正便攜,不依賴于外部電源,可以再任何位置使用。
2、2個千兆位網絡端口,可以完美地結合兩個流量流,通過單個監控端口進行傳輸。
3、利用USB 3.0的強大功能,數據傳輸速度高達5 Gbps。通過USB 3.0鏈路輕松傳輸2 Gbps的聚合流量流。這意味著緩沖存儲器不需要丟棄任何數據包,也不需要將數據包存儲足夠長的時間來影響它們的時序。因為它可以輕松連接到筆記本電腦的USB端口,即插即用的最佳部分。
4、ProfiShark 1G配備了自己的基于GUI的配置軟件ProfiShark Manager,它與任何網絡分析儀(WireShark、Omnipeek等)并行工作,并且與Windows和Linux平臺兼容。
5、ProfiShark Manager允許直接在筆記本電腦上一鍵捕獲流量,而無需特別需要網絡分析儀來捕獲流量。當您需要捕獲遠程網段上的流量并希望通過導出PCAP文件在筆記本電腦以外的另一臺計算機上分析流量時,這尤其有用。GUI還有一個計數器部分,顯示兩個網絡端口A和B的內部計數器。這顯示了有效/無效數據包的數量、CRC錯誤、沖突和不同的數據包大小。這是一種無需打開網絡分析儀即可查看每個端口接收的流量質量的快速方法。
