我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么?不清除这些问题的答案可能会导致安全漏洞或网络中出现其他异常情况。
作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。
为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。因为即使是技术娴熟的网络工程师,如果无法100%了解网络上发生的事情,也无法正确评估情况(需要网络可视化架构及正确的工具)。选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。
检查事件计时
事件计时,即事件之间的时间,对于确定网络中是否存在恶意活动至关重要。在短时间内(比如几百毫秒甚至几秒)发生的事件表明,它们是由机器人或恶意软件生成的,而不是由人类生成的。
这些短时间跨度(毫秒到秒)的范围取决于网络管理员应该了解的活动的性质。
例如,在几毫秒内从同一源IP接收数十个针对单个网站的DNS请求,或在几毫秒内从多个源IP接收多个针对单个网站的DNS请求,这些情况表明,这些请求可能是由机器人程序或恶意软件启动的自动脚本生成的。
检查DNS流量
由于DNS是处理所有发送到Internet的请求的主要处理程序,因此您应该检查DNS服务器的流量活动。如果您的网络中有恶意系统或网络蠕虫对建立与Internet的出站连接感兴趣,则可以在DNS服务器上检测到它的恶意活动。
例如,使用Wireshark,您可以过滤DNS服务器IP地址的所有数据包,并检查DNS服务器在特定时间窗口内收到的请求。如果您在短时间内(例如几百毫秒)看到来自同一源IP的连接请求数量异常多,那么您应该怀疑这是恶意活动,并更深入地研究数据包标头以进行进一步调查。
如果您的DNS服务器受到大量请求的轰炸,则很可能它受到DoS攻击。
检查中间人攻击
这是在企业网络中的最常见的攻击之一。中间人(MitM)攻击是指攻击者通过充当该网络中的受信任系统之一来尝试访问该网络。在MitM攻击中,恶意系统在两个受信任的系统之间进行干预,并劫持其对话通道,从而将所有通信量转移到自身。这两个受信任的系统认为它们彼此直接通信,而实际上,它们是通过恶意系统进行通信。
这使恶意系统不仅可以侦听整个对话,还可以对其进行修改。执行MitM攻击的最常见方法是通过ARP欺骗,也称为ARP缓存中毒。在这种技术中,攻击者在LAN中广播错误的ARP消息,以将其mac地址与局域网中受信任系统的IP地址(例如,默认网关、DNS服务器或DHCP服务器)相关联,具体取决于攻击计划。
使用监视软件的过滤器选项,过滤所有数据包,仅查看ARP数据包。如果您看到大量的ARP流量(广播和答复),那么这很可疑。在运行中的网络中,所有受信任的系统通常在其缓存中都具有MAC到IP的映射,因此您应该不会看到一长串ARP消息。在数据包标头中挖掘源地址和目标地址,再进一步调查以发现是否发生了MitM攻击。
检查DoS(DDoS)攻击
这也是当今最常见的虚拟攻击之一,它可以在网络内部进行,也可以从网络外部进行。拒绝服务(DoS)攻击的目的是,使机器或网络的资源过度消耗,最终它们的实际用户将无法使用它们。当服务器连接到Internet时,通常在Web服务器上进行DoS攻击以暂停Web服务。
在DoS攻击期间,流氓系统会使用TCP / SYN消息向目标服务器发起轰炸,请求打开连接,但是源地址要么是错误,要么是伪造的。
如果源是假的,则服务器无法响应TCP / SYN-ACK消息,因为它无法解析源的MAC地址。
如果源是伪造的,服务器将用一个TCP/SYN-ACK消息来响应,并等待最终的ACK消息来完成TCP连接。
但是,由于实际源从未启动此连接,因此服务器从未收到最终响应,并一直在等待半开放的连接。无论哪种情况,服务器都会被TCP / SYN请求“淹没”,从而导致异常大量的不完整连接,因此饱和了服务器可能建立的连接数。
要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。如果您看到大量的TCP / SYN数据包从单个源IP轰炸到目标服务器IP,或者没有从服务器IP返回的答复,或者只有SYN-ACK消息但没有来自源的ACK答复,那么您很有可能查看到了DoS攻击。
如果您看到很长的TCP / SYN请求流从多个源IP推送到目标服务器IP,那么可以确定这是DDoS(分布式拒绝服务)攻击,这种攻击有多个流氓系统攻击目标服务器,甚至比DoS攻击更致命。有关监视工具如何帮助您防止DDoS攻击的更多信息。
无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。
文章来自:网络安全与可视化