如何利用網(wǎng)絡(luò)取證還原惡意攻擊入侵的全過程

滿屏閃爍的代碼

帽兜中忽明忽暗的臉

談笑間輕輕按下的回車鍵

一次黑客攻擊悄無聲息的發(fā)生了

……

隨著黑客技術(shù)的不斷發(fā)展和普及，黑客攻擊變得越來越普遍，企業(yè)和組織面對的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)與日俱增，防御措施需要更加敏感和先進(jìn)。

通常，黑客攻擊都是通過網(wǎng)絡(luò)發(fā)起的。了解網(wǎng)絡(luò)取證可以幫助我們及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中黑客攻擊的行為，進(jìn)而保護(hù)整個(gè)網(wǎng)絡(luò)免受黑客的攻擊。今天創(chuàng)新互聯(lián)主要分享網(wǎng)絡(luò)取證過程中非常重要的一項(xiàng)——即流量分析，并模擬利用流量分析的方式還原惡意攻擊入侵的全過程，希望帶給您一定參考價(jià)值!

我們將從以下幾方面展開相關(guān)分享。

一、什么是網(wǎng)絡(luò)取證

從本質(zhì)上講，網(wǎng)絡(luò)取證是數(shù)字取證的一個(gè)分支，網(wǎng)絡(luò)取證是對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、記錄和分析，以確定網(wǎng)絡(luò)攻擊的來源。

其主要目標(biāo)是收集證據(jù)，并試圖分析從不同站點(diǎn)和不同網(wǎng)絡(luò)設(shè)備(如防火墻和IDS)收集的網(wǎng)絡(luò)流量數(shù)據(jù)。

此外，網(wǎng)絡(luò)取證也是檢測入侵模式的過程，它可以在網(wǎng)絡(luò)上監(jiān)控以檢測攻擊并分析攻擊者的性質(zhì)，側(cè)重于攻擊者活動(dòng)。

二、 網(wǎng)絡(luò)取證的步驟

網(wǎng)絡(luò)取證主要包括以下步驟。

• 識別：根據(jù)網(wǎng)絡(luò)指標(biāo)識別和確定事件。
• 保存：存在的問題及原因。
• 搜集：使用標(biāo)準(zhǔn)化方法和程序記錄物理場景并復(fù)制數(shù)字證據(jù)。
• 檢查：深入系統(tǒng)搜索與網(wǎng)絡(luò)攻擊有關(guān)的證據(jù)。
• 分析：確定重要性，多維度分析網(wǎng)絡(luò)流量數(shù)據(jù)包，并根據(jù)發(fā)現(xiàn)的證據(jù)得出結(jié)論。
• 展示：總結(jié)并提供已得出結(jié)論的解釋。
• 事件響應(yīng)：根據(jù)收集的信息啟動(dòng)對檢測到的攻擊或入侵的響應(yīng)，以驗(yàn)證和評估事件。

與其它數(shù)據(jù)取證一樣，網(wǎng)絡(luò)取證中的挑戰(zhàn)是數(shù)據(jù)流量的嗅探、數(shù)據(jù)關(guān)聯(lián)、攻擊來源的確定。由于這些問題，網(wǎng)絡(luò)取證的主要任務(wù)是分析捕獲的網(wǎng)絡(luò)數(shù)據(jù)包，也就是流量分析。

三、流量分析

1. 什么是流量分析?

網(wǎng)絡(luò)流量是指能夠連接網(wǎng)絡(luò)的設(shè)備在網(wǎng)絡(luò)上所產(chǎn)生的數(shù)據(jù)流量。

不同的應(yīng)用層，流量分析起到的作用不同。

• 用戶層：運(yùn)營商通過分析用戶網(wǎng)絡(luò)流量，來計(jì)算網(wǎng)絡(luò)消費(fèi)。
• 管理層：分析網(wǎng)絡(luò)流量可以幫助政府、企業(yè)了解流量使用情況，通過添加網(wǎng)絡(luò)防火墻等控制網(wǎng)絡(luò)流量來減少資源損失。
• 網(wǎng)站層：了解網(wǎng)站訪客的數(shù)據(jù)，如ip地址、瀏覽器信息等;統(tǒng)計(jì)網(wǎng)站在線人數(shù)，了解用戶所訪問網(wǎng)站頁面;通過分析出異?？梢詭椭W(wǎng)站管理員知道是否有濫用現(xiàn)象;可以了解網(wǎng)站使用情況，提前應(yīng)對網(wǎng)站服務(wù)器系統(tǒng)的負(fù)載問題;了解網(wǎng)站對用戶是否有足夠的吸引能力。
• 綜合層：評價(jià)一個(gè)網(wǎng)站的權(quán)重;統(tǒng)計(jì)大多數(shù)用戶上網(wǎng)習(xí)慣，從而進(jìn)行有方向性的規(guī)劃以更適應(yīng)用戶需求。

2. 如何進(jìn)行流量分析?

網(wǎng)絡(luò)流量分析主要方法：

(1) 軟硬件流量統(tǒng)計(jì)分析

基于軟件通過修改

(4) 使用burpsuite攔截登錄請求，并使用intruder模塊進(jìn)行登錄爆破;

(8) 在wirkshark中查看已捕獲的惡意攻擊者入侵的整個(gè)流程和詳細(xì)內(nèi)容;

(9) 查看通過http協(xié)議進(jìn)行的通信內(nèi)容：

(15) 看到上傳惡意文件的文件名稱，繼續(xù)向后追蹤發(fā)現(xiàn)攻擊者訪問了image.php這個(gè)惡意文件，并隨后并發(fā)起了一系列POST請求;

(16) 查看這些請求和響應(yīng)內(nèi)容均為加密內(nèi)容;

至此我們通過本地模擬惡意攻擊者入侵過程，并利用流量分析的方式對惡意攻擊者入侵的過程進(jìn)行了一個(gè)真實(shí)完整的還原，充分體現(xiàn)了網(wǎng)絡(luò)流量分析在計(jì)算機(jī)實(shí)時(shí)取證中有著重要的作用和意義。

本文主要介紹了網(wǎng)絡(luò)取證之流量分析的方法和技術(shù)，并實(shí)操利用流量分析方式對惡意攻擊者入侵進(jìn)行完整還原取證的全過程，希望對大家有參考價(jià)值!

當(dāng)前文章：如何利用網(wǎng)絡(luò)取證還原惡意攻擊入侵的全過程
文章URL：http://www.muchs.cn/news11/100761.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、自適應(yīng)網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站改版、域名注冊、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)