网络取证核心原理与实践（二）

证据获取

1、物理侦听

1. 线缆

   铜质线缆：普遍使用的是同轴电缆和双绞线。同轴电缆信息传输的媒介是单根铜芯，其优势是免遭电磁干扰，在使用同轴电缆的网络中，若是能接触到中间那根铜芯，就能访问共享这根物理媒介的全部站点上流入和流出的数据；双绞线中含多对铜线，通常部署在星型拓扑上，若是能接触到交换网络中某对双绞线里的全部铜线，就能接收流向该终端的数据。

   光纤：信号经过一捆玻璃丝进行传递。

   截取线缆中的流量：工具包括内接式网络分路器、刺穿式搭接器、感应线圈、光纤分光器。

2. 无线电频率

3. Hub

4. 交换机：要从交换机里嗅探到流量，有两种经常使用的方法。一是对交换机使用泛洪攻击——经过发送大量的MAC地址不一样的以太网包，向CAM表中注入虚假的信息，一旦CAM表被填满，许多交换机在默认状况下会进入应急模式，把不在CAM表里的全部流量转发到每个端口上。另外一种方法是进行ARP欺骗，ARP协议是局域网中的主机用来动态地把IP地址（第三层）映射成相应的MAC地址，在ARP欺骗攻击中，攻击者会广播伪造的ARP包，把攻击者的MAC地址和被攻击人的IP地址关联起来。局域网中的其余站点会把错误的信息添加到他们的ARP表中去，并在发往路由器IP地址的数据包中填上攻击者的MAC地址。这就致使本应发给受害人的全部IP包都被发送到攻击者那里。

 

2、流量抓取软件

1. libpcap和WinPcap：

   libpcap是一个UNIX下的C函数库，它提供了一个能获取和过滤从任意一块网卡获得数据链路层上帧的API。

2. 伯克利包过滤（bpf）语言：

3. tcpdump：

   网络流量抓取、过滤、分析工具。逐比特意获取流量，基于libpcap，在第二层（数据链路层）上进行获取；除了抓包之外，还能对常见的第二到四层协议进行解码（以及一些更高级的协议），并把相关信息展现给用户。

    

4. Wireshark

   一个图形化的，用来抓取、过滤、分析流量的开源工具。

5. tshark

   命令行的网络协议分析工具。

6. dumpcap

   专门抓包的命令行工具。

 

3、主动式获取

除了在空气或线缆传输时抓取网络流量外，也能够在包括防火墙、web代理、日志服务器等各种网络设备中收集证据。（会改变环境，努力把影响下降到最低限度）

经常使用接口：

 

1. Console接口：

   一个I/O系统，一般是指链接到计算机上的键盘和显示屏。

2. SSH（安全shell）：

   安全Shell协议，是调查人员经过远程命令行界面与包含网络证据的系统进行交互的经常使用方法。SSH是为了代替不安全的Telnet和rlogin而开发出来的，会把用户的登陆过程和传输的数据都加密起来。

3. SCP（安全复制）和SSH文件传输协议（SFTP）

   一个命令行程序，专门用来在网络间传输文件。

    

4. Telnet

   安全性几乎能够算是0。全部信息以明文形式传输。

5. 简单网络管理协议（SNMP）

   检查和管理网络设备最经常使用的协议之一。使用SNMP，能够从一个中央服务器轮询各个网络设备，或者把远程代理中的SNMP信息推送到某个中央汇聚点上。SNMP常常被用做传播和汇聚网络管理信息以及安全相关事件数据的媒介。在网络取证中，SNMP一般用在两个方面：基于事件的报警和配置查询。

   基本操做：

   轮询——GET、GETNEXT、GETBULK；

   中断——TRAP、INFORM；

   控制——SET。

6. 简单文件传输协议（TFTP)

   方便和自动地在远程系统间传输文件。

7. Web及其余专用接口

没有权限时咋办

1. 端口扫描

2. 漏洞扫描

策略

1. 尽可能避免重启或者关掉设备；

2. 尽可能经过console接口而不是网络链接设备；

3. 记录系统时间；

4. 根据易灭失程度依次收集证据；

5. 记录调查过程。