如何利用网络取证之流量分析的方式，还原恶意攻击入侵的全过程？

满屏闪烁的代码

帽兜中忽明忽暗的脸

谈笑间轻轻按下的回车键

一次黑客攻击悄无声息的发生了

……

随着黑客技术的不断发展和普及，黑客攻击变得越来越普遍，企业和组织面对的网络攻击风险与日俱增，防御措施需要更加敏感和先进。

通常，黑客攻击都是通过网络发起的。了解网络取证可以帮助我们及时发现网络中黑客攻击的行为，进而保护整个网络免受黑客的攻击。今天我们主要分享网络取证过程中非常重要的一项——即流量分析，并模拟利用流量分析的方式还原恶意攻击入侵的全过程，希望带给您一定参考价值!

我们将从以下几方面展开相关分享。

一、什么是网络取证

从本质上讲，网络取证是数字取证的一个分支，网络取证是对网络数据包的捕获、记录和分析，以确定网络攻击的来源。

其主要目标是收集证据，并试图分析从不同站点和不同网络设备(如防火墙和IDS)收集的网络流量数据。

此外，网络取证也是检测入侵模式的过程，它可以在网络上监控以检测攻击并分析攻击者的性质，侧重于攻击者活动。

二、 网络取证的步骤

网络取证主要包括以下步骤。

• 识别：根据网络指标识别和确定事件。
• 保存：存在的问题及原因。
• 搜集：使用标准化方法和程序记录物理场景并复制数字证据。
• 检查：深入系统搜索与网络攻击有关的证据。
• 分析：确定重要性，多维度分析网络流量数据包，并根据发现的证据得出结论。
• 展示：总结并提供已得出结论的解释。
• 事件响应：根据收集的信息启动对检测到的攻击或入侵的响应，以验证和评估事件。

与其它数据取证一样，网络取证中的挑战是数据流量的嗅探、数据关联、攻击来源的确定。由于这些问题，网络取证的主要任务是分析捕获的网络数据包，也就是流量分析。

三、流量分析

1. 什么是流量分析?

网络流量是指能够连接网络的设备在网络上所产生的数据流量。

不同的应用层，流量分析起到的作用不同。

• 用户层：运营商通过分析用户网络流量，来计算网络消费。
• 管理层：分析网络流量可以帮助政府、企业了解流量使用情况，通过添加网络防火墙等控制网络流量来减少资源损失。
• 网站层：了解网站访客的数据，如ip地址、浏览器信息等;统计网站在线人数，了解用户所访问网站页面;通过分析出异常可以帮助网站管理员知道是否有滥用现象;可以了解网站使用情况，提前应对网站服务器系统的负载问题;了解网站对用户是否有足够的吸引能力。
• 综合层：评价一个网站的权重;统计大多数用户上网习惯，从而进行有方向性的规划以更适应用户需求。

2. 如何进行流量分析?

网络流量分析主要方法：

(1) 软硬件流量统计分析

基于软件通过修改主机网络流入接口，使其有捕获数据包功能，硬件主要有用于收藏和分析流量数据，常见的软件数据包捕获工具pCap(packet capture)，硬件有流量镜像的方式。

(2) 网络流量粒度分析

在bit级上关注网络流量的数据特征，如网络线路传输速率，吞吐量变化等;在分组级主要关注ip分组达到的过程，延迟，丢包率;在流级的划分主要依据地址和应用协议，关注于流的到达过程、到达间隔及其局部特征。

3. 网络流量分析常用技术

(1) RMON技术

RMON(远程监控)是由IETF定义的一种远程监控标准，RMON是对SNMP标准的扩展，它定义了标准功能以及远程监控和网管站之间的接口，实现对一个网段或整个网络的数据流量进行监控。

(2) SNMP技术

此技术是基于RMON和RMON II，仅能对网络设备端口的整体流量进行分析，能获取设备端口出入历史或实时的流量统计信息、不能深入分析包类型、流向信息，具有实现简单，标准统一，接口开放的特点。

(3) 实时抓包分析

提供纤细的从物理层到应用层的数据分析。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。

(4) FLOW技术

当前主流技术主要有两种，sFlow和netFlow。

sFlow是由InMon、HP和Foundry Netfworks在2001年联合开发的一种网络监控技术，它采用数据流随机采样技术，可以提供完整的，甚至全网络范围内的流量信息，能够提供超大网络流量(如大于10Gbps)环境下的流量分析，用户能够实时、详细的分析网络传输过程中的传输性能、趋势和存在的问题。

NetFlow是Cisco公司开发的技术，它既是一种交换技术，又是一种流量分析技术，同时也是业界主流的计费技术之一。可以详细统计IP流量的时间、地点、使用协议、访问内容、具体流量。

4. 流量分析在取证中作用

计算机取证可以分为事后取证和实时取证。而流量分析正是实时取证的重要内容，对原始数据进行网络还原、重现入侵现场具有重要意义。

(1) 事后取证

事后取证也称为静态取证，是指设备在被入侵后运用各种技术对其进行取证工作。随着网络犯罪的方法和手段的提高，事后取证已不能满足计算机取证的需求。

(2) 实时取证

实时取证，也被称为动态取证，是指通过设备或软件实时捕获流经网络设备和终端应用的网络数据并分析网络数据的内容，来获取攻击者的企图和攻击者的行为证据。

利用分析采集后的数据，对网络入侵时间，网络犯罪活动进行证据获取、保存、和还原，流量分析能够真实、持续的捕获网络中发生的各种行为，能够完整的保存攻击者攻击过程中的数据，对保存的原始数据进行网络还原，重现入侵现场。

四、流量分析取证过程模拟

下面是我们使用wireshark抓取本地虚拟机网络流量，并使用构建的漏洞环境进行流量取证分析过程的示例模拟，真实还原恶意攻击入侵的全过程。(以下模拟案例、数据是本文分享的主要内容，仅供参考学习。任何人不得用于非法用途，转载请注明出处，否则后果自负。)

具体操作步骤:

(1) 打开wireshark抓取指定虚拟机网络;

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!