文章速覽：

為什么要使用便攜式網(wǎng)絡(luò)取證工具？

構(gòu)建便攜式網(wǎng)絡(luò)取證套件

法證分析

ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)

網(wǎng)絡(luò)安全領(lǐng)域日益重視便攜式取證工具的靈活應(yīng)用。本文介紹了如何構(gòu)建一個(gè)以ProfiShark 1G為核心的便攜式網(wǎng)絡(luò)取證工具包，以提高網(wǎng)絡(luò)取證的效率和實(shí)效性。

一、為什么要使用便攜式網(wǎng)絡(luò)取證工具？
1、企業(yè)自身需求
網(wǎng)絡(luò)取證和網(wǎng)絡(luò)安全團(tuán)隊(duì)需要具備攔截網(wǎng)絡(luò)流量和實(shí)時(shí)捕獲數(shù)據(jù)包的能力，以防止威脅和實(shí)時(shí)攻擊。企業(yè)組織需要根據(jù)其網(wǎng)絡(luò)的規(guī)模和架構(gòu)建立網(wǎng)絡(luò)攔截和流量捕獲機(jī)制。例如，擁有分布式數(shù)據(jù)中心的大型網(wǎng)絡(luò)的公司必須部署多個(gè)捕獲點(diǎn)，并將數(shù)據(jù)包送至中央數(shù)據(jù)包分析設(shè)備（網(wǎng)絡(luò)分析儀），該設(shè)備能夠以10 Gbps甚至高達(dá)100 Gbps的速度接收和分析數(shù)據(jù)。
2、企業(yè)面臨的困境
然而，并非所有公司都在分布式架構(gòu)中擁有多個(gè)數(shù)據(jù)中心。大多數(shù)中小型企業(yè)的整個(gè)IT基礎(chǔ)設(shè)施都托管在一個(gè)站點(diǎn)上。這些公司大多沒有能力投資網(wǎng)絡(luò)安全分析產(chǎn)品。那這些中小型企業(yè)該如何改善企業(yè)網(wǎng)絡(luò)安全呢？

答案是，便攜式網(wǎng)絡(luò)取證工具包。成本低得多，但仍能按需對網(wǎng)絡(luò)的任何網(wǎng)段進(jìn)行實(shí)時(shí)取證分析。

即使是大型多分支機(jī)構(gòu)也不能否認(rèn)它的實(shí)用性和好處。在網(wǎng)絡(luò)攻擊案例中，分支機(jī)構(gòu)與總部斷開連接，而本地IT團(tuán)隊(duì)希望對分支機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)進(jìn)行取證分析。或者，如果由于內(nèi)部連接問題，網(wǎng)絡(luò)分析儀設(shè)備被隔離在數(shù)據(jù)中心內(nèi)，該怎么辦？在這種情況下，即使是大型企業(yè)，在很短得調(diào)查時(shí)間內(nèi)，也會青睞便攜式取證工具包。

二、構(gòu)建便攜式網(wǎng)絡(luò)取證套件
接下來我們將介紹構(gòu)建用于取證分析的便攜式套件的三個(gè)基本工具。

1、一臺筆記本電腦
首先需要一臺筆記本電腦。
1）最低規(guī)格： 4GB內(nèi)存、容量至少500GB的快速存儲設(shè)備(SSD)、1Gbps網(wǎng)卡、USB 3.0端口和3小時(shí)的備用電池。

2）我們強(qiáng)烈推薦使用基于SSD（固態(tài)硬盤）的存儲設(shè)備，因?yàn)樗鼈儽扔脖P快得多，這種速度有利于正確捕獲。開始對網(wǎng)絡(luò)進(jìn)行取證分析之前，首先需要在筆記本電腦上捕獲和存儲數(shù)據(jù)包。如果能在安全危機(jī)期間盡快存儲和解析數(shù)據(jù)包，固態(tài)硬盤存儲將為您帶來顯著的時(shí)間優(yōu)勢。硬盤的最大磁盤寫入速度一般為 100 MB/s，相比之下，固態(tài)硬盤的磁盤寫入速度要快得多，可達(dá)500MB/s（某些固態(tài)硬盤甚至更高）。

3）這臺筆記本電腦不應(yīng)該是IT團(tuán)隊(duì)日常使用的機(jī)器，因?yàn)檫@意味著上面安裝了大量應(yīng)用程序，注冊表會發(fā)生重大變化，內(nèi)存負(fù)荷也會增加，從而導(dǎo)致性能降低。相反，這臺筆記本電腦應(yīng)該是專用于特殊用途的特定機(jī)器，如取證分析或現(xiàn)場故障排除。下一節(jié)將解釋對USB 3.0端口的要求。

2、數(shù)據(jù)包分析器
接下來，需要一個(gè)數(shù)據(jù)包分析器（也稱為數(shù)據(jù)包嗅探器），它是一種可以記錄、解析和分析通過網(wǎng)絡(luò)的流量的工具（軟件或硬件）。當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)上流動時(shí)，數(shù)據(jù)包分析器接收捕獲的數(shù)據(jù)包并解碼數(shù)據(jù)包的原始數(shù)據(jù)，顯示數(shù)據(jù)包中各個(gè)字段的值（例如 TCP 標(biāo)頭、會話詳細(xì)信息等）。你可以根據(jù)相應(yīng)的 RFC 規(guī)范分析這些值，以推斷數(shù)據(jù)包在網(wǎng)絡(luò)點(diǎn)之間傳輸期間是否存在任何異常行為。

3、便攜式網(wǎng)絡(luò)分路器
為了進(jìn)行網(wǎng)絡(luò)取證，需要有一個(gè)特定的數(shù)據(jù)包捕獲設(shè)備，可以攔截并捕獲實(shí)時(shí)流量中的數(shù)據(jù)包。在端口鏡像(SPAN)和網(wǎng)絡(luò)TAP兩種捕獲數(shù)據(jù)包的方法中，后者更可靠、更準(zhǔn)確。TAP能夠捕獲線路上的數(shù)據(jù)包，保證100%實(shí)時(shí)捕獲實(shí)時(shí)流量中的數(shù)據(jù)包。TAP被廣泛用于安全應(yīng)用程序，因?yàn)樗鼈兪欠乔秩胧降模⑶以诰W(wǎng)絡(luò)上無法檢測到，并且沒有物理或邏輯地址。因此，取證團(tuán)隊(duì)可以以隱形模式執(zhí)行他們的活動。

在當(dāng)今可用的各種類型的TAP中，便攜式TAP能夠靈活地在現(xiàn)場攜帶并在任何位置立即部署，因而迅速普及開來。如何選擇便攜式TAP呢？必要的兩個(gè)條件的是：一是功能足夠強(qiáng)大，足以承擔(dān)全部流量；二是便攜容易部署。

三、法證分析
這里給大家補(bǔ)充一些關(guān)于法證分析的知識，你可以從幾個(gè)基本步驟開始，進(jìn)行取證分析。

1、檢查活動時(shí)間
事件計(jì)時(shí)（即事件之間的時(shí)間）對于識別網(wǎng)絡(luò)中是否存在惡意活動至關(guān)重要。在短時(shí)間內(nèi)（例如幾百毫秒甚至幾秒）發(fā)生的事件表明這些事件是由機(jī)器人或惡意軟件生成的。例如，在幾毫秒內(nèi)從同一源IP接收到針對單個(gè)網(wǎng)站的數(shù)十個(gè)DNS請求，或者在幾毫秒內(nèi)從多個(gè)源IP接
收到針對單個(gè)網(wǎng)站的多個(gè)DNS請求，這些示例表明這些請求可能是由自動化生成的。由機(jī)器人或惡意軟件啟動的腳本。

2、檢查DNS流量
由于DNS是所有發(fā)送到 Internet 的請求的主要處理程序，因此應(yīng)檢查DNS服務(wù)器的流量活動。如果網(wǎng)絡(luò)中存在流氓系統(tǒng)或網(wǎng)絡(luò)蠕蟲，并且有可能與Internet建立出站連接，那么你可以在DNS服務(wù)器上檢測到其惡意活動。如果在短時(shí)間內(nèi)（例如幾百毫秒）看到來自同一源IP的連接請求數(shù)量異常高，那么這可能是惡意活動，可以深入挖掘數(shù)據(jù)包標(biāo)頭以進(jìn)一步調(diào)查。如果你的DNS服務(wù)器受到大量請求的轟炸，它很可能受到DoS攻擊。

3、檢查中間人攻擊
這是組織網(wǎng)絡(luò)中最常見的攻擊之一，中間人(MitM)攻擊是攻擊者試圖通過充當(dāng)網(wǎng)絡(luò)中可信系統(tǒng)之一來滲透到網(wǎng)絡(luò)中的攻擊。使用過濾器選項(xiàng)，過濾所有數(shù)據(jù)包以僅查看ARP數(shù)據(jù)包。如果您看到大量ARP流量（廣播和回復(fù)），那么這很可疑。因?yàn)樵谶\(yùn)行的網(wǎng)絡(luò)中，所有受信任的系統(tǒng)通常在其緩存中都有MAC到IP的映射，所以您不應(yīng)該看到一長串ARP消息。深入研究數(shù)據(jù)包標(biāo)頭中的源地址和目標(biāo)地址，并進(jìn)一步調(diào)查以查明是否正在發(fā)生MitM攻擊。

4、檢查DOS (DDOS)攻擊
這也是最常見的攻擊之一，可以在網(wǎng)絡(luò)內(nèi)部或從網(wǎng)絡(luò)外部進(jìn)行。DoS（拒絕服務(wù)）攻擊的目的是消耗機(jī)器或網(wǎng)絡(luò)的資源，最終導(dǎo)致實(shí)際用戶無法使用。要快速識別是否發(fā)生DoS攻擊，請?jiān)赪ireshark中過濾查看TCP數(shù)據(jù)包。使用Wireshark上的選項(xiàng)查看數(shù)據(jù)包序列圖，該圖通過源系統(tǒng)和目標(biāo)系統(tǒng)之間的箭頭說明TCP連接流。如果您看到大量TCP/SYN數(shù)據(jù)包從單個(gè)源IP轟炸到目標(biāo)服務(wù)器IP，并且服務(wù)器IP沒有回復(fù)，或者只有SYN-ACK消息但沒有來自源的ACK回復(fù)，那么您最有可能正在觀看實(shí)際的DoS攻擊。如果您看到一長串TCP/SYN請求從多個(gè)源IP轟炸到目標(biāo)服務(wù)器P，則這是DDoS（分布式拒絕服務(wù)）攻擊，其中多個(gè)流氓系統(tǒng)攻擊目標(biāo)服務(wù)器，并且更具致命性比DoS攻擊。

四、ProfiShark 1G作為便攜式分路器的優(yōu)點(diǎn)
1、體積小巧，真正便攜，不依賴于外部電源，可以再任何位置使用。
2、2個(gè)千兆位網(wǎng)絡(luò)端口，可以完美地結(jié)合兩個(gè)流量流，通過單個(gè)監(jiān)控端口進(jìn)行傳輸。
3、利用USB 3.0的強(qiáng)大功能，數(shù)據(jù)傳輸速度高達(dá)5 Gbps。通過USB 3.0鏈路輕松傳輸2 Gbps的聚合流量流。這意味著緩沖存儲器不需要丟棄任何數(shù)據(jù)包，也不需要將數(shù)據(jù)包存儲足夠長的時(shí)間來影響它們的時(shí)序。因?yàn)樗梢暂p松連接到筆記本電腦的USB端口，即插即用的最佳部分。
4、ProfiShark 1G配備了自己的基于GUI的配置軟件ProfiShark Manager，它與任何網(wǎng)絡(luò)分析儀（WireShark、Omnipeek等）并行工作，并且與Windows和Linux平臺兼容。
5、ProfiShark Manager允許直接在筆記本電腦上一鍵捕獲流量，而無需特別需要網(wǎng)絡(luò)分析儀來捕獲流量。當(dāng)您需要捕獲遠(yuǎn)程網(wǎng)段上的流量并希望通過導(dǎo)出PCAP文件在筆記本電腦以外的另一臺計(jì)算機(jī)上分析流量時(shí)，這尤其有用。GUI還有一個(gè)計(jì)數(shù)器部分，顯示兩個(gè)網(wǎng)絡(luò)端口A和B的內(nèi)部計(jì)數(shù)器。這顯示了有效/無效數(shù)據(jù)包的數(shù)量、CRC錯(cuò)誤、沖突和不同的數(shù)據(jù)包大小。這是一種無需打開網(wǎng)絡(luò)分析儀即可查看每個(gè)端口接收的流量質(zhì)量的快速方法。

審核編輯 黃宇