網路安全領域日益重視便攜式取證工具的靈活應用。本文介紹瞭如何構建一個以ProfiShark 1G為核心的便攜式網路取證工具包,以提高網路取證的效率和實效性。
文章速覽:
● 為什麼要使用便攜式網路取證工具
● 構建便攜式網路取證套件
● 法證分析
● 1G作為便攜式分路器的優點
一、為什麼要使用便攜式網路取證工具
1、企業自身需求
網路取證和網路安全團隊需要具備攔截網路流量和實時捕獲數據包的能力,以防止威脅和實時攻擊。企業組織需要根據其網路的規模和架構建立網路攔截和流量捕獲機制。例如,擁有分佈式數據中心的大型網路的公司必須部署多個捕獲點,並將數據包送至中央數據包分析設備(網路分析儀),該設備能夠以10 Gbps甚至高達100 Gbps的速度接收和分析數據。
2、企業面臨的困境
然而,並非所有公司都在分佈式架構中擁有多個數據中心。大多數中小型企業的整個IT基礎設施都託管在一個站點上。這些公司大多沒有能力投資網路安全分析產品。那這些中小型企業該如何改善企業網路安全呢?
答案是,便攜式網路取證工具包。成本低得多,但仍能按需對網路的任何網段進行實時取證分析。
即使是大型多分支機構也不能否認它的實用性和好處。在網路攻擊案例中,分支機構與總部斷開連接,而本地IT團隊希望對分支機構的內部網路進行取證分析。或者,如果由於內部連接問題,網路分析儀設備被隔離在數據中心內,該怎麼辦?在這種情況下,即使是大型企業,在很短得調查時間內,也會青睞便攜式取證工具包。
二、構建便攜式網路取證套件
接下來我們將介紹構建用於取證分析的便攜式套件的三個基本工具。
1、一臺筆記本電腦
首先需要一臺筆記本電腦。
1)最低規格: 4GB內存、容量至少500GB的快速存儲設備(SSD)、1Gbps網卡、USB 3.0端口和3小時的備用電池。
2)我們強烈推薦使用基於SSD(固態硬盤)的存儲設備,因為它們比硬盤快得多,這種速度有利於正確捕獲。開始對網路進行取證分析之前,首先需要在筆記本電腦上捕獲和存儲數據包。如果能在安全危機期間儘快存儲和解析數據包,固態硬盤存儲將為您帶來顯著的時間優勢。硬盤的最大磁盤寫入速度一般為 100 MB/s,相比之下,固態硬盤的磁盤寫入速度要快得多,可達500MB/s(某些固態硬盤甚至更高)。
3)這檯筆記本電腦不應該是IT團隊日常使用的機器,因為這意味著上面安裝了大量應用程序,註冊表會發生重大變化,內存負荷也會增加,從而導致性能降低。相反,這檯筆記本電腦應該是專用於特殊用途的特定機器,如取證分析或現場故障排除。下一節將解釋對USB 3.0端口的要求。
2、數據包分析器
接下來,需要一個數據包分析器(也稱為數據包嗅探器),它是一種可以記錄、解析和分析通過網路的流量的工具(軟件或硬件)。當數據在網路上流動時,數據包分析器接收捕獲的數據包並解碼數據包的原始數據,顯示數據包中各個字段的值(例如 TCP 標頭、會話詳細信息等)。你可以根據相應的 RFC 規範分析這些值,以推斷數據包在網路點之間傳輸期間是否存在任何異常行為。
3、便攜式網路分路器
為了進行網路取證,需要有一個特定的數據包捕獲設備,可以攔截並捕獲實時流量中的數據包。在端口鏡像(SPAN)和網路TAP兩種捕獲數據包的方法中,後者更可靠、更準確。TAP能夠捕獲線路上的數據包,保證100%實時捕獲實時流量中的數據包。TAP被廣泛用於安全應用程序,因為它們是非侵入式的,並且在網路上無法檢測到,並且沒有物理或邏輯地址。因此,取證團隊可以以隱形模式執行他們的活動。
在當今可用的各種類型的TAP中,便攜式TAP能夠靈活地在現場攜帶並在任何位置立即部署,因而迅速普及開來。如何選擇便攜式TAP呢?必要的兩個條件的是:一是功能足夠強大,足以承擔全部流量;二是便攜容易部署。
三、法證分析
這裡給大家補充一些關於法證分析的知識,你可以從幾個基本步驟開始,進行取證分析。
1、檢查活動時間
事件計時(即事件之間的時間)對於識別網路中是否存在惡意活動至關重要。在短時間內(例如幾百毫秒甚至幾秒)發生的事件表明這些事件是由機器人或惡意軟件生成的。例如,在幾毫秒內從同一源IP接收到針對單個網站的數十個DNS請求,或者在幾毫秒內從多個源IP接
收到針對單個網站的多個DNS請求,這些示例表明這些請求可能是由自動化生成的。由機器人或惡意軟件啟動的腳本。
2、檢查DNS流量
由於DNS是所有發送到 Internet 的請求的主要處理程序,因此應檢查DNS服務器的流量活動。如果網路中存在流氓系統或網路蠕蟲,並且有可能與Internet建立出站連接,那麼你可以在DNS服務器上檢測到其惡意活動。如果在短時間內(例如幾百毫秒)看到來自同一源IP的連接請求數量異常高,那麼這可能是惡意活動,可以深入挖掘數據包標頭以進一步調查。如果你的DNS服務器受到大量請求的轟炸,它很可能受到DoS攻擊。
3、檢查中間人攻擊
這是組織網路中最常見的攻擊之一,中間人(MitM)攻擊是攻擊者試圖通過充當網路中可信系統之一來滲透到網路中的攻擊。使用過濾器選項,過濾所有數據包以僅查看ARP數據包。如果您看到大量ARP流量(廣播和回覆),那麼這很可疑。因為在運行的網路中,所有受信任的系統通常在其緩存中都有MAC到IP的映射,所以您不應該看到一長串ARP消息。深入研究數據包標頭中的源地址和目標地址,並進一步調查以查明是否正在發生MitM攻擊。
4、檢查DOS (DDOS)攻擊
這也是最常見的攻擊之一,可以在網路內部或從網路外部進行。DoS(拒絕服務)攻擊的目的是消耗機器或網路的資源,最終導致實際用戶無法使用。要快速識別是否發生DoS攻擊,請在Wireshark中過濾查看TCP數據包。使用Wireshark上的選項查看數據包序列圖,該圖通過源系統和目標系統之間的箭頭說明TCP連接流。如果您看到大量TCP/SYN數據包從單個源IP轟炸到目標服務器IP,並且服務器IP沒有回覆,或者只有SYN-ACK消息但沒有來自源的ACK回覆,那麼您最有可能正在觀看實際的DoS攻擊。如果您看到一長串TCP/SYN請求從多個源IP轟炸到目標服務器P,則這是DDoS(分佈式拒絕服務)攻擊,其中多個流氓系統攻擊目標服務器,並且更具致命性比DoS攻擊。
四、ProfiShark 1G作為便攜式分路器的優點
1、體積小巧,真正便攜,不依賴於外部電源,可以再任何位置使用。
2、2個千兆位網路端口,可以完美地結合兩個流量流,通過單個監控端口進行傳輸。
3、利用USB 3.0的強大功能,數據傳輸速度高達5 Gbps。通過USB 3.0鏈路輕鬆傳輸2 Gbps的聚合流量流。這意味著緩衝存儲器不需要丟棄任何數據包,也不需要將數據包存儲足夠長的時間來影響它們的時序。因為它可以輕鬆連接到筆記本電腦的USB端口,即插即用的最佳部分。
4、ProfiShark 1G配備了自己的基於GUI的配置軟件ProfiShark Manager,它與任何網路分析儀(WireShark、Omnipeek等)並行工作,並且與Windows和Linux平臺兼容。
5、ProfiShark Manager允許直接在筆記本電腦上一鍵捕獲流量,而無需特別需要網路分析儀來捕獲流量。當您需要捕獲遠程網段上的流量並希望通過導出PCAP文件在筆記本電腦以外的另一臺計算機上分析流量時,這尤其有用。GUI還有一個計數器部分,顯示兩個網路端口A和B的內部計數器。這顯示了有效/無效數據包的數量、CRC錯誤、衝突和不同的數據包大小。這是一種無需打開網路分析儀即可查看每個端口接收的流量質量的快速方法。
如有任何問題,歡迎聯絡我們!