網(wǎng)絡(luò)偵查與取證技術(shù)

第13章網(wǎng)絡(luò)偵查與取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)13.2取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)本節(jié)介紹常見的網(wǎng)絡(luò)偵查技術(shù)，包括：網(wǎng)絡(luò)掃描——重點(diǎn)介紹三種掃描類型以及常見的掃描器網(wǎng)絡(luò)監(jiān)聽——重點(diǎn)介紹對(duì)以太網(wǎng)的監(jiān)聽和嗅探器口令破解——重點(diǎn)介紹口令破解器和字典文件13.1.1網(wǎng)絡(luò)掃描掃描是通過向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文，包括根據(jù)響應(yīng)獲得目標(biāo)主機(jī)的情況。根據(jù)方式的不同，掃描主要分為以下3種：地址掃描、端口掃描和漏洞掃描。1.地址掃描簡(jiǎn)單的做法就是通過ping這樣的程序判斷某個(gè)IP地址是否有活動(dòng)的主機(jī)，或者某個(gè)主機(jī)是否在線。Ping程序向目標(biāo)系統(tǒng)發(fā)送ICMP回顯請(qǐng)求報(bào)文，并等待返回的ICMP回顯應(yīng)答。Ping程序一次只能對(duì)一臺(tái)主機(jī)進(jìn)行測(cè)試。Fping能以并發(fā)的形式向大量的地址發(fā)出ping請(qǐng)求。對(duì)地址掃描的預(yù)防：在防火墻規(guī)則中加入丟棄ICMP回顯請(qǐng)求信息，或者在主機(jī)中通過一定的設(shè)置禁止對(duì)這樣的請(qǐng)求信息應(yīng)答。2.端口掃描為區(qū)別通信的程序，在所有的IP數(shù)據(jù)報(bào)文中不僅有源地址和目的地址，也有源端口號(hào)與目的端口號(hào)。常用的服務(wù)是使用標(biāo)準(zhǔn)的端口號(hào)，只要掃描到相應(yīng)的端口就能直到目標(biāo)主機(jī)上執(zhí)行著什么服務(wù)，然后入侵者才能針對(duì)這些服務(wù)進(jìn)行相應(yīng)的攻擊。端口掃描有下面幾種主要方法：（1）TCPconnect掃描（2）TCPSYN掃描（3）TCPFIN掃描3.漏洞掃描漏洞掃描指使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢。通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。漏洞掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。漏洞掃描器的外部掃描：在實(shí)際的Internet環(huán)境下通過網(wǎng)絡(luò)對(duì)系統(tǒng)管理員所維護(hù)的服務(wù)器進(jìn)行外部特征掃描；漏洞掃描器的內(nèi)部掃描：以系統(tǒng)管理員的身份對(duì)所維護(hù)的服務(wù)器進(jìn)行內(nèi)部特征掃描。13.1.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對(duì)協(xié)議進(jìn)行分析。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施，但監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備上（通常由網(wǎng)絡(luò)管理員來操作）。使用最方便的監(jiān)聽是在一個(gè)以太網(wǎng)中的任何一臺(tái)聯(lián)網(wǎng)的主機(jī)上實(shí)施，這是大多數(shù)黑客的做法。1.以太網(wǎng)的工作原理網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：（1）Unicast是指網(wǎng)卡在工作時(shí)接收的目的地址是本機(jī)硬件地址的數(shù)據(jù)幀；（2）Broadcast是指接收所有類型為廣播報(bào)文的數(shù)據(jù)幀；（3）Multicast是指接收特定的組播報(bào)文；（4）Promiscuous即混雜模式，是指對(duì)報(bào)文中的目的硬件地址不加任何檢查，全部接收的工作模式。以太網(wǎng)邏輯上是總線拓?fù)浣Y(jié)構(gòu)，采用廣播的通信方式。當(dāng)網(wǎng)卡工作在混雜模式下時(shí)，無論幀中的目標(biāo)物理地址是什么，主機(jī)都接收。如果在這臺(tái)主機(jī)上安裝了監(jiān)聽軟件，就可以達(dá)到監(jiān)聽的目的。2.Sniffer（嗅探器）Sniffer是一種在網(wǎng)絡(luò)上非常流行的軟件，它的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。但是，由于Sniffer可以捕獲網(wǎng)絡(luò)報(bào)文，因此它對(duì)網(wǎng)絡(luò)也存在著極大的危害。（1）Sniffer工作原理一臺(tái)安裝了Sniffer的主機(jī)能捕獲到達(dá)本機(jī)端口的報(bào)文，如果要想完成監(jiān)聽，捕獲網(wǎng)段上所有的報(bào)文，前提條件是：①網(wǎng)段必須共享以太網(wǎng)；②把本機(jī)上的網(wǎng)卡設(shè)置為混雜模式。（2）Sniffer的分類Sniffer分為軟件和硬件兩種。軟件的Sniffer，如NetXray，Packetbody，Netmonitor等，價(jià)廉物美，易于學(xué)習(xí)使用，也易于交流，但無法抓取網(wǎng)絡(luò)上所有的傳輸。硬件Sniffer通常也稱為協(xié)議分析儀，一般都是商業(yè)性的，價(jià)格也比較昂貴。Sniffer只能抓取一個(gè)五路網(wǎng)段內(nèi)的包，也就是說，監(jiān)聽者與監(jiān)聽的目標(biāo)中間不能有路由（交換）或其他屏蔽廣播包的設(shè)備。所以對(duì)一般撥號(hào)上網(wǎng)的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。（3）網(wǎng)絡(luò)監(jiān)聽的目的Sniffer屬于第二層次的攻擊，就是說只有在攻擊者已經(jīng)進(jìn)入目標(biāo)系統(tǒng)的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。如果Sniffer運(yùn)行在路由器上或者有路由功能的主機(jī)上，就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控，因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。3.網(wǎng)絡(luò)監(jiān)聽的防范方法Sniffer是發(fā)生在以太網(wǎng)內(nèi)的。防范網(wǎng)絡(luò)監(jiān)聽的方法：（1）確保以太網(wǎng)的整體安全性。只有有漏洞的主機(jī)被攻破，才能進(jìn)行Sniffer。（2）采用加密技術(shù)（3）對(duì)安全性要求比較高的公司可以考慮Kerberos，提供可信第三方服務(wù)的面向開放系統(tǒng)的認(rèn)證機(jī)制。（4）使用交換機(jī)以及一次性口令技術(shù)。4.檢測(cè)網(wǎng)絡(luò)監(jiān)聽的手段（1）反映時(shí)間向懷疑有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)報(bào)，根據(jù)各個(gè)主機(jī)回應(yīng)的情況進(jìn)行判斷，正常的系統(tǒng)回應(yīng)時(shí)間應(yīng)該沒有太明顯的變化。（2）DNS測(cè)試許多的網(wǎng)絡(luò)監(jiān)聽軟件都會(huì)嘗試進(jìn)行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽行為發(fā)生時(shí)，可以在DNS系統(tǒng)上觀測(cè)有沒有明顯增多的解析請(qǐng)求。（3）利用ping進(jìn)行監(jiān)測(cè)用正確的IP地址和處錯(cuò)誤的物理地址ping，運(yùn)行模式程序的計(jì)算機(jī)會(huì)有響應(yīng)。因?yàn)檎５挠?jì)算機(jī)不接收錯(cuò)誤的物理地址，如果IPstack不再次反向檢查的話，就會(huì)響應(yīng)。（4）利用ARP數(shù)據(jù)包進(jìn)行監(jiān)測(cè)向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP包，如果局域網(wǎng)內(nèi)的某臺(tái)主機(jī)響應(yīng)了這個(gè)ARP請(qǐng)求，我們就可以判斷它很有可能就是處于網(wǎng)絡(luò)監(jiān)聽模式了。13.1.3口令破解1.字典文件所謂字典文件，就是根據(jù)用戶的各種信息建立一個(gè)用戶可能使用的口令的列表文件。字典中的口令是根據(jù)人們?cè)O(shè)置自己賬號(hào)口令的習(xí)慣總結(jié)出的常用口令。對(duì)攻擊者來說，攻擊的口令在這字典文件中的可能性很大，而且因?yàn)樽值錀l目相對(duì)較少，在破解速度上也遠(yuǎn)快于窮舉法口令攻擊。這種字典有很多種，適合在不同的情況下使用。2.口令攻擊類型（1）字典攻擊使用一部1萬個(gè)單詞的字典一般能猜測(cè)出系統(tǒng)中70%的口令。（2）強(qiáng)行攻擊沒有攻不破的口令，只是個(gè)時(shí)間問題。如果有速度足夠快的計(jì)算機(jī)能嘗試字母、數(shù)字、特殊字符的所有組合，將最終能破解所有的口令。（3）組合攻擊使用字典單詞但是單詞尾部串接幾個(gè)字母和數(shù)字，這就是組合攻擊。（鑒于很多管理員要求使用字母和數(shù)字，用戶的對(duì)策是在口令后面添加幾個(gè)數(shù)字）3.口令破解器口令破解器是一個(gè)程序，它能將口令解譯出來，或者讓口令保護(hù)失效?？诹钇平馄饕话悴皇钦嬲娜ソ獯a，因?yàn)槭聦?shí)上很多加密算法是不可逆的。大多數(shù)口令破解器是通過嘗試一個(gè)一個(gè)的單詞，用已知的加密算法來加密這些單詞，直到發(fā)現(xiàn)一個(gè)單詞經(jīng)過加密后的結(jié)果和待解密的數(shù)據(jù)一樣，就認(rèn)為這個(gè)單詞是要找的密碼。Windows口令破解Windows口令的安全性比UNIX要脆弱得多，這是由其采用的數(shù)據(jù)庫存儲(chǔ)和加密機(jī)制所直接導(dǎo)致的。Windows口令破解程序主要有：（1）L0phtcrack：是一個(gè)NT口令破解工具，它能通過保存在NT操作系統(tǒng)中的cryptographichashes列表來破解用戶口令。（2）NTSweep：利用Microsoft允許用戶改變口令的機(jī)制，NTSweep首先取定一個(gè)詞，NTSweep使用這個(gè)單詞作為賬號(hào)的原始口令并試圖把用戶的口令改為同一個(gè)單詞。NTSweep能通過防火墻，也不需要任何特殊權(quán)限來允許。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT環(huán)境下破解，它和NTSweep的工作原理類似，但功能上有限。（4）PWDump2：用來從SAM數(shù)據(jù)庫中提取哈希口令。13.2取證技術(shù)13.2.1電子證據(jù)計(jì)算機(jī)證據(jù)國(guó)際組織（IOCE）對(duì)電子證據(jù)相關(guān)定義如下：①電子證據(jù)：法庭上可能成為證據(jù)的以二進(jìn)制形式存儲(chǔ)或傳送的信息。②原始電子證據(jù)：查封計(jì)算機(jī)犯罪現(xiàn)場(chǎng)時(shí)，相關(guān)物理介質(zhì)及其存儲(chǔ)的數(shù)據(jù)對(duì)象。③電子證據(jù)副本：原始物理介質(zhì)上獲取的所有數(shù)據(jù)對(duì)象的完全拷貝。④拷貝：獨(dú)立于物理介質(zhì)，包含在數(shù)據(jù)對(duì)象中的信息的精確復(fù)制。電子證據(jù)的特點(diǎn)（1）表現(xiàn)形式的多樣性（2）存儲(chǔ)介質(zhì)的電子性（3）準(zhǔn)確性（4）脆弱性（5）數(shù)據(jù)的揮發(fā)性（6）電子證據(jù)的高科技性常見的電子證據(jù)（1）計(jì)算機(jī)系統(tǒng)（2）聯(lián)網(wǎng)設(shè)備（調(diào)制解調(diào)器、網(wǎng)卡、路由器…）（3）自動(dòng)應(yīng)答設(shè)備（4）數(shù)碼相機(jī)（5）便攜電子設(shè)備（個(gè)人數(shù)字助理…）（6）尋呼機(jī)（7）手機(jī)（8）打印機(jī)（9）掃描儀（10）其他電子設(shè)備（復(fù)印機(jī)、傳真機(jī)、讀卡機(jī)、全球定位儀）13.2.2計(jì)算機(jī)取證的定義與原則廣義的計(jì)算機(jī)取證：發(fā)現(xiàn)計(jì)算機(jī)及其相關(guān)設(shè)備中的有利于計(jì)算機(jī)事件調(diào)查的數(shù)據(jù)，并提取、保護(hù)、保存的過程。狹義的計(jì)算機(jī)取證：能夠?yàn)榉ㄍソ邮艿?、原始的、完整的、有說服力的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的提取、保護(hù)和保存的過程。IOCE提交的報(bào)告中指出計(jì)算機(jī)取證過程中應(yīng)該遵守的一般原則:（1）處理電子證據(jù)時(shí)，必須遵守所有的常規(guī)取證步驟、原則。（2）獲取電子證據(jù)時(shí)，必須保證證據(jù)的不變性。（3）進(jìn)行原始證據(jù)處理的取證人員應(yīng)該進(jìn)過專業(yè)培訓(xùn)。（4）所有與電子證據(jù)的獲取、訪問、存儲(chǔ)、傳送相關(guān)的處理都必須完全歸檔、保存好。（5）個(gè)人在擁有與安全相關(guān)的電子證據(jù)時(shí)，應(yīng)該對(duì)其所有在電子證據(jù)上所進(jìn)行的相關(guān)操作負(fù)有責(zé)任。（6）任何代理機(jī)構(gòu)，在負(fù)責(zé)提取、訪問、保存或傳送電子證據(jù)時(shí)都必須遵守這些原則。實(shí)際處理過程中，也就是在對(duì)計(jì)算機(jī)犯罪進(jìn)行證據(jù)提取的過程中，應(yīng)該遵守以下各個(gè)原則：（1）必須盡早搜集證據(jù)，并保證其沒有受到任何破壞，如銷毀、篡改或其他的破壞方式，也不要被取證程序本身所破壞。（2）必須保證在取證過程中，計(jì)算機(jī)病毒不會(huì)被引入目標(biāo)計(jì)算機(jī)。（3）必須保證“證據(jù)連續(xù)性”（ChainofCustody），即在證據(jù)被正式提交給法庭時(shí)必需保證一直能被追蹤。也就是說，要能明白證據(jù)的取證拷貝是安全的，用于拷貝證據(jù)的進(jìn)程是可靠并且可以復(fù)驗(yàn)的，以及所有的介質(zhì)都是安全的。（4）整個(gè)檢查、取證過程必須受到其他方委派的專家監(jiān)督。（5）必須保證提取出來的可能有用的證據(jù)不會(huì)受到機(jī)械或電磁損害。（6）被取證的對(duì)象如果必須運(yùn)行某些商務(wù)程序，要確保該程序的運(yùn)行只能影響一段有限時(shí)間。（7）在取證的過程中，應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶代理人的私人信息，不能把這些信息泄露出去。13.2.3計(jì)算機(jī)取證的步驟對(duì)于計(jì)算機(jī)犯罪的取證，一般包括以下六個(gè)步驟：（1）證據(jù)的獲?。⊿eizureProcess）（2）位拷貝（BitCopyProcess）（3）分析檢查（ExaminationProcess）（4）取證提交（ReportingProcess）（5）證據(jù)存檔（ArchivingProcess）（6）證據(jù)呈貢（Deposition&testimonyProcess）13.2.4計(jì)算機(jī)取證方法傳統(tǒng)的靜態(tài)取證是在案發(fā)后對(duì)現(xiàn)場(chǎng)進(jìn)行分析取證，所獲取的證據(jù)缺乏實(shí)時(shí)性與連續(xù)性，因而在法庭上缺乏說明力，有時(shí)入侵者會(huì)在入侵后清除入侵足跡。動(dòng)態(tài)取證則在犯罪發(fā)生中進(jìn)行取證，即能在入侵時(shí)實(shí)時(shí)進(jìn)行，從而其證據(jù)具有實(shí)時(shí)性和連續(xù)性，結(jié)合入侵前后的網(wǎng)絡(luò)環(huán)境可再現(xiàn)入侵過程，所以，動(dòng)態(tài)取證取得的電子證據(jù)更具有說服力與法律效力。1.取證模型攻擊進(jìn)行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測(cè)到攻擊備份證據(jù)原始證據(jù)分析結(jié)果傳統(tǒng)靜態(tài)取證模型動(dòng)態(tài)靜態(tài)取證模型網(wǎng)絡(luò)及主機(jī)信息攻擊進(jìn)行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)監(jiān)控法律制裁證據(jù)分析攻擊發(fā)生攻擊信息備份證據(jù)提交原始證據(jù)與分析結(jié)果2.取證方法（1）利用IDS取證利用入侵檢測(cè)系統(tǒng)檢測(cè)非法的入侵或惡意行為并激活取證系統(tǒng)，進(jìn)行實(shí)時(shí)的電子證據(jù)的收集，是IDS新的應(yīng)用方向，也是IDS中的研究熱點(diǎn)之一?？梢园讶肭謾z測(cè)系統(tǒng)發(fā)展成一種在緊急事故出現(xiàn)的時(shí)候既可以提供檢測(cè)/響應(yīng)，又能提供可靠電子證據(jù)的工具。（未來的一個(gè)發(fā)展方向）（2）利用蜜罐技術(shù)蜜罐是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人（如電腦黑客）而設(shè)計(jì)的。蜜罐系統(tǒng)是一種包含漏洞的誘騙系統(tǒng)，通過模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者一個(gè)容易攻擊的目標(biāo)。蜜罐并沒有向外界提供真正有價(jià)值的服務(wù)，因此所有的連接都會(huì)被認(rèn)為是可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊。蜜罐技術(shù)可疑對(duì)防火墻和其他入侵檢測(cè)系統(tǒng)等安全解決方案起到一定的補(bǔ)充作用，提供先進(jìn)誘騙技術(shù)和早期檢測(cè)感應(yīng)器。13.2.5證據(jù)分析經(jīng)過電子證據(jù)的收集，取證人員會(huì)得到大量的數(shù)據(jù)信息，這些原始的數(shù)據(jù)信息經(jīng)過數(shù)字簽名并加蓋時(shí)間戳后，由專用的、安全的VPN通道傳送至證據(jù)服務(wù)器。對(duì)于備份則要經(jīng)過證據(jù)分析，從海量的原始證據(jù)中發(fā)現(xiàn)與入侵攻擊相關(guān)的、反映案件客觀事實(shí)的證據(jù)信息。1.一般的證據(jù)分析技術(shù)在已經(jīng)獲取的原始數(shù)據(jù)流或信息流中尋找、匹配入侵相關(guān)的關(guān)鍵詞或關(guān)鍵短語是證據(jù)分析的主要技術(shù)。其具體包括：（1）文件屬性分析技術(shù)（2）文件數(shù)字摘要分析技術(shù)（3）日志分析技術(shù)（4）根據(jù)已獲得的文件或數(shù)據(jù)的用詞、語法和寫作風(fēng)格，推斷可能作者的分析技術(shù)。（5）發(fā)掘同一事件的不同證據(jù)間聯(lián)系的分析技術(shù)。（6