网络侦查与取证技术课件.ppt

1、第13章 网络侦查与取证技术13.1 网络侦查技术13.2 取证技术13.1 网络侦查技术n本节介绍常见的网络侦查技术，包括：n网络扫描重点介绍三种扫描类型以及常见的扫描器n网络监听重点介绍对以太网的监听和嗅探器n口令破解重点介绍口令破解器和字典文件13.1.1 网络扫描n扫描是通过向目标主机发送数据报文，包括根据响应获得目标主机的情况。根据方式的不同，扫描主要分为以下3种：地址扫描、端口扫描和漏洞扫描。n1.地址扫描n简单的做法就是通过ping这样的程序判断某个IP地址是否有活动的主机，或者某个主机是否在线。Ping程序向目标系统发送ICMP回显请求报文，并等待返回的ICMP回显应答。Pin

2、g程序一次只能对一台主机进行测试。Fping能以并发的形式向大量的地址发出ping请求。n对地址扫描的预防：在防火墙规则中加入丢弃ICMP回显请求信息，或者在主机中通过一定的设置禁止对这样的请求信息应答。2.端口扫描n为区别通信的程序，在所有的IP数据报文中不仅有源地址和目的地址，也有源端口号与目的端口号。常用的服务是使用标准的端口号，只要扫描到相应的端口就能直到目标主机上执行着什么服务，然后入侵者才能针对这些服务进行相应的攻击。n端口扫描有下面几种主要方法：（1）TCP connect扫描 （2）TCP SYN扫描 （3）TCP FIN扫描3.漏洞扫描n漏洞扫描指使用漏洞扫描程序对目标系统进

3、行信息查询。通过漏洞扫描，可以发现系统中存在的不安全的地方。n漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。n漏洞扫描器的外部扫描：在实际的Internet环境下通过网络对系统管理员所维护的服务器进行外部特征扫描；n漏洞扫描器的内部扫描：以系统管理员的身份对所维护的服务器进行内部特征扫描。13.1.2 网络监听n网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。n网络监听可以在网上的任何一个位置实施，但监听效果最好的地方是在网关、路由器、防火墙一类的设备上（通常由网络管理员来操作）。使用最方便的监听是在一个以太网中的任何一台联网的主机上实施，这是大多数黑客的做法。1.以太网

4、的工作原理n网卡有几种接收数据帧的状态：n（1）Unicast是指网卡在工作时接收的目的地址是本机硬件地址的数据帧；n（2）Broadcast是指接收所有类型为广播报文的数据帧；n（3）Multicast是指接收特定的组播报文；n（4）Promiscuous即混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。n以太网逻辑上是总线拓扑结构，采用广播的通信方式。当网卡工作在混杂模式下时，无论帧中的目标物理地址是什么，主机都接收。如果在这台主机上安装了监听软件，就可以达到监听的目的。2.Sniffer（嗅探器）nSniffer是一种在网络上非常流行的软件，它的正当用处主要是分析网

5、络的流量，以便找出所关心的网络中潜在的问题。但是，由于Sniffer可以捕获网络报文，因此它对网络也存在着极大的危害。n（1）Sniffer工作原理n一台安装了Sniffer的主机能捕获到达本机端口的报文，如果要想完成监听，捕获网段上所有的报文，前提条件是：n网段必须共享以太网；n把本机上的网卡设置为混杂模式。n（2）Sniffer的分类nSniffer分为软件和硬件两种。n软件的Sniffer，如NetXray，Packetbody，Net monitor等，价廉物美，易于学习使用，也易于交流，但无法抓取网络上所有的传输。n硬件Sniffer通常也称为协议分析仪，一般都是商业性的，价格也比较

6、昂贵。nSniffer只能抓取一个五路网段内的包，也就是说，监听者与监听的目标中间不能有路由（交换）或其他屏蔽广播包的设备。所以对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。n（3）网络监听的目的nSniffer属于第二层次的攻击，就是说只有在攻击者已经进入目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。n如果Sniffer运行在路由器上或者有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。3.网络监听的防范方法nSniffer是发生在以太网内的。防范网络监听的方法：n（1）确保以太网的整体安全性。

7、只有有漏洞的主机被攻破，才能进行Sniffer。n（2）采用加密技术n（3）对安全性要求比较高的公司可以考虑Kerberos，提供可信第三方服务的面向开放系统的认证机制。n（4）使用交换机以及一次性口令技术。4.检测网络监听的手段n（1）反映时间 向怀疑有网络监听行为的网络发送大量垃圾数据报，根据各个主机回应的情况进行判断，正常的系统回应时间应该没有太明显的变化。n（2）DNS测试 许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听行为发生时，可以在DNS系统上观测有没有明显增多的解析请求。n（3）利用ping进行监测 用正确的IP地址和处错误的物理地址ping，运行模式程序的计算机

8、会有响应。因为正常的计算机不接收错误的物理地址，如果IPstack不再次反向检查的话，就会响应。n（4）利用ARP数据包进行监测 向局域网内的主机发送非广播方式的ARP包，如果局域网内的某台主机响应了这个ARP请求，我们就可以判断它很有可能就是处于网络监听模式了。13.1.3 口令破解n1.字典文件n所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。2.口

9、令攻击类型n（1）字典攻击n使用一部1万个单词的字典一般能猜测出系统中70%的口令。n（2）强行攻击n没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所有组合，将最终能破解所有的口令。n（3）组合攻击n使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字）3.口令破解器n口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法是不可逆的。n大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现

10、一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码。Windows 口令破解nWindows口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。nWindows口令破解程序主要有：n（1）L0phtcrack：是一个NT口令破解工具，它能通过保存在NT操作系统中的cryptographic hashes列表来破解用户口令。n（2）NTSweep：利用Microsoft允许用户改变口令的机制，NTSweep首先取定一个词，NTSweep使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限

11、来允许。n（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT环境下破解，它和NTSweep的工作原理类似，但功能上有限。n（4）PWDump2：用来从SAM数据库中提取哈希口令。13.2 取证技术n13.2.1 电子证据n计算机证据国际组织（IOCE）对电子证据相关定义如下：n电子证据：法庭上可能成为证据的以二进制形式存储或传送的信息。n原始电子证据：查封计算机犯罪现场时，相关物理介质及其存储的数据对象。n电子证据副本：原始物理介质上获取的所有数据对象的完全拷贝。n拷贝：独立于物理介质，包含在数据对象中的信息的精确复制。电子证据的特点n（1）表现形式的多样性n（2）存储介质的电子

12、性n（3）准确性n（4）脆弱性n（5）数据的挥发性n（6）电子证据的高科技性常见的电子证据n（1）计算机系统n（2）联网设备（调制解调器、网卡、路由器）n（3）自动应答设备n（4）数码相机n（5）便携电子设备（个人数字助理）n（6）寻呼机n（7）手机n（8）打印机n（9）扫描仪n（10）其他电子设备（复印机、传真机、读卡机、全球定位仪）13.2.2 计算机取证的定义与原则n广义的计算机取证：发现计算机及其相关设备中的有利于计算机事件调查的数据，并提取、保护、保存的过程。n狭义的计算机取证：能够为法庭接受的、原始的、完整的、有说服力的，存在于计算机和相关外设中的电子证据的提取、保护和保存的过程。

13、nIOCE提交的报告中指出计算机取证过程中应该遵守的一般原则:n（1）处理电子证据时，必须遵守所有的常规取证步骤、原则。n（2）获取电子证据时，必须保证证据的不变性。n（3）进行原始证据处理的取证人员应该进过专业培训。n（4）所有与电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。n（5）个人在拥有与安全相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。n（6）任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。n实际处理过程中，也就是在对计算机犯罪进行证据提取的过程中，应该遵守以下各个原则：n（1）必须尽早搜集证据，并保证其没有受到任何破

14、坏，如销毁、篡改或其他的破坏方式，也不要被取证程序本身所破坏。n（2）必须保证在取证过程中，计算机病毒不会被引入目标计算机。n（3）必须保证“证据连续性”（Chain of Custody），即在证据被正式提交给法庭时必需保证一直能被追踪。也就是说，要能明白证据的取证拷贝是安全的，用于拷贝证据的进程是可靠并且可以复验的，以及所有的介质都是安全的。n（4）整个检查、取证过程必须受到其他方委派的专家监督。n（5）必须保证提取出来的可能有用的证据不会受到机械或电磁损害。n（6）被取证的对象如果必须运行某些商务程序，要确保该程序的运行只能影响一段有限时间。n（7）在取证的过程中，应当尊重不小心获取的任

15、何关于客户代理人的私人信息，不能把这些信息泄露出去。13.2.3 计算机取证的步骤n对于计算机犯罪的取证，一般包括以下六个步骤：n（1）证据的获取（Seizure Process）n（2）位拷贝（Bit Copy Process）n（3）分析检查（Examination Process）n（4）取证提交（Reporting Process）n（5）证据存档（Archiving Process）n（6）证据呈贡（Deposition&testimony Process）13.2.4 计算机取证方法n传统的静态取证是在案发后对现场进行分析取证，所获取的证据缺乏实时性与连续性，因而在法庭上缺乏说明力

16、，有时入侵者会在入侵后清除入侵足迹。n动态取证则在犯罪发生中进行取证，即能在入侵时实时进行，从而其证据具有实时性和连续性，结合入侵前后的网络环境可再现入侵过程，所以，动态取证取得的电子证据更具有说服力与法律效力。1.取证模型攻击进行中证据收集证据分析法律裁判攻击发生检测到攻击备份证据原始证据分析结果传统静态取证模型动态静态取证模型网络及主机信息攻击进行中取证收集响应系统网络监控法律制裁证据分析攻击发生攻击信息备份证据提交原始证据与分析结果2.取证方法n（1）利用IDS取证n利用入侵检测系统检测非法的入侵或恶意行为并激活取证系统，进行实时的电子证据的收集，是IDS新的应用方向，也是IDS中的研究

17、热点之一。n可以把入侵检测系统发展成一种在紧急事故出现的时候既可以提供检测/响应，又能提供可靠电子证据的工具。（未来的一个发展方向）（2）利用蜜罐技术n蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人（如电脑黑客）而设计的。n蜜罐系统是一种包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。蜜罐并没有向外界提供真正有价值的服务，因此所有的连接都会被认为是可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击。n蜜罐技术可疑对防火墙和其他入侵检测系统等安全解决方案起到一定的补充作用，提供先进诱骗技术和早期检测感应器。13

18、.2.5 证据分析n经过电子证据的收集，取证人员会得到大量的数据信息，这些原始的数据信息经过数字签名并加盖时间戳后，由专用的、安全的VPN通道传送至证据服务器。n对于备份则要经过证据分析，从海量的原始证据中发现与入侵攻击相关的、反映案件客观事实的证据信息。1.一般的证据分析技术n在已经获取的原始数据流或信息流中寻找、匹配入侵相关的关键词或关键短语是证据分析的主要技术。n其具体包括：n（1）文件属性分析技术n（2）文件数字摘要分析技术n（3）日志分析技术n（4）根据已获得的文件或数据的用词、语法和写作风格，推断可能作者的分析技术。n（5）发掘同一事件的不同证据间联系的分析技术。n（6）数据解密技

19、术n（7）密码破译技术n（8）对电子介质中的被保护信息强行访问技术等。2.电子证据分析的工具n开放源代码软件Coroners工具包，它是计算机犯罪取证检查的一些工具软件的集合。n专门的商业软件：Encase基于Windows平台，提供从数据发现到分析到生成报表的全面的解决方案；AccessData，用于获取口令的软件；以及ThumbsPlus，Snapbackn在相应的电子证据分析工具中，最著名的是NTI公司的软件系统Net Threat Analyzer。能发现系统中曾发生过的E-mail交流、因特网浏览及文件上传下载等活动。3.日志系统分析n通过手工或借助相应的日志分析工具对系统文件进行详

20、细的审查，可以了解入侵过程中攻击者执行了哪些操作，以及哪些远程主机访问了你的主机。n但是系统中的任何日志文件都可能被入侵者改动过，一旦入侵者获得了系统root权限，就可以轻易地破坏或删除操作系统所保存的日志记录，从而掩盖他们留下的痕迹。（使用第三方日志工具）4.电子证据审查n（1）证据能力审查n审查证据的合法性，即审查证据是否符合证据要求，包括计算机系统自身的安全性和工作过程的可靠性；取证程序、证据固定保全是否符合法定要求。n（2）证据的证明能力审查n审查电子证据的客观性和关联性，结合全案其他证据，综合审查电子证据是否同其他证据相互印证、相互联系，建构成坚实可靠的证据体系，并据此认定案件的真实情况。