网络侦查与取证技术

第13章网络侦查与取证技术13.1网络侦查技术13.2取证技术13.1网络侦查技术本节介绍常见的网络侦查技术，包括：网络扫描——重点介绍三种扫描类型以及常见的扫描器网络监听——重点介绍对以太网的监听和嗅探器口令破解——重点介绍口令破解器和字典文件13.1.1网络扫描扫描是通过向目标主机发送数据报文，包括根据响应获得目标主机的情况。根据方式的不同，扫描主要分为以下3种：地址扫描、端口扫描和漏洞扫描。1.地址扫描简单的做法就是通过ping这样的程序判断某个IP地址是否有活动的主机，或者某个主机是否在线。Ping程序向目标系统发送ICMP回显请求报文，并等待返回的ICMP回显应答。Ping程序一次只能对一台主机进行测试。Fping能以并发的形式向大量的地址发出ping请求。对地址扫描的预防：在防火墙规则中加入丢弃ICMP回显请求信息，或者在主机中通过一定的设置禁止对这样的请求信息应答。2.端口扫描为区别通信的程序，在所有的IP数据报文中不仅有源地址和目的地址，也有源端口号与目的端口号。常用的服务是使用标准的端口号，只要扫描到相应的端口就能直到目标主机上执行着什么服务，然后入侵者才能针对这些服务进行相应的攻击。端口扫描有下面几种主要方法：（1）TCPconnect扫描（2）TCPSYN扫描（3）TCPFIN扫描3.漏洞扫描漏洞扫描指使用漏洞扫描程序对目标系统进行信息查询。通过漏洞扫描，可以发现系统中存在的不安全的地方。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。漏洞扫描器的外部扫描：在实际的Internet环境下通过网络对系统管理员所维护的服务器进行外部特征扫描；漏洞扫描器的内部扫描：以系统管理员的身份对所维护的服务器进行内部特征扫描。13.1.2网络监听网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。网络监听可以在网上的任何一个位置实施，但监听效果最好的地方是在网关、路由器、防火墙一类的设备上（通常由网络管理员来操作）。使用最方便的监听是在一个以太网中的任何一台联网的主机上实施，这是大多数黑客的做法。1.以太网的工作原理网卡有几种接收数据帧的状态：（1）Unicast是指网卡在工作时接收的目的地址是本机硬件地址的数据帧；（2）Broadcast是指接收所有类型为广播报文的数据帧；（3）Multicast是指接收特定的组播报文；（4）Promiscuous即混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。以太网逻辑上是总线拓扑结构，采用广播的通信方式。当网卡工作在混杂模式下时，无论帧中的目标物理地址是什么，主机都接收。如果在这台主机上安装了监听软件，就可以达到监听的目的。2.Sniffer（嗅探器）Sniffer是一种在网络上非常流行的软件，它的正当用处主要是分析网络的流量，以便找出所关心的网络中潜在的问题。但是，由于Sniffer可以捕获网络报文，因此它对网络也存在着极大的危害。（1）Sniffer工作原理一台安装了Sniffer的主机能捕获到达本机端口的报文，如果要想完成监听，捕获网段上所有的报文，前提条件是：①网段必须共享以太网；②把本机上的网卡设置为混杂模式。（2）Sniffer的分类Sniffer分为软件和硬件两种。软件的Sniffer，如NetXray，Packetbody，Netmonitor等，价廉物美，易于学习使用，也易于交流，但无法抓取网络上所有的传输。硬件Sniffer通常也称为协议分析仪，一般都是商业性的，价格也比较昂贵。Sniffer只能抓取一个五路网段内的包，也就是说，监听者与监听的目标中间不能有路由（交换）或其他屏蔽广播包的设备。所以对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。（3）网络监听的目的Sniffer属于第二层次的攻击，就是说只有在攻击者已经进入目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。如果Sniffer运行在路由器上或者有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。3.网络监听的防范方法Sniffer是发生在以太网内的。防范网络监听的方法：（1）确保以太网的整体安全性。只有有漏洞的主机被攻破，才能进行Sniffer。（2）采用加密技术（3）对安全性要求比较高的公司可以考虑Kerberos，提供可信第三方服务的面向开放系统的认证机制。（4）使用交换机以及一次性口令技术。4.检测网络监听的手段（1）反映时间向怀疑有网络监听行为的网络发送大量垃圾数据报，根据各个主机回应的情况进行判断，正常的系统回应时间应该没有太明显的变化。（2）DNS测试许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听行为发生时，可以在DNS系统上观测有没有明显增多的解析请求。（3）利用ping进行监测用正确的IP地址和处错误的物理地址ping，运行模式程序的计算机会有响应。因为正常的计算机不接收错误的物理地址，如果IPstack不再次反向检查的话，就会响应。（4）利用ARP数据包进行监测向局域网内的主机发送非广播方式的ARP包，如果局域网内的某台主机响应了这个ARP请求，我们就可以判断它很有可能就是处于网络监听模式了。13.1.3口令破解1.字典文件所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。2.口令攻击类型（1）字典攻击使用一部1万个单词的字典一般能猜测出系统中70%的口令。（2）强行攻击没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所有组合，将最终能破解所有的口令。（3）组合攻击使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字）3.口令破解器口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法是不可逆的。大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码。Windows口令破解Windows口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。Windows口令破解程序主要有：（1）L0phtcrack：是一个NT口令破解工具，它能通过保存在NT操作系统中的cryptographichashes列表来破解用户口令。（2）NTSweep：利用Microsoft允许用户改变口令的机制，NTSweep首先取定一个词，NTSweep使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限来允许。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT环境下破解，它和NTSweep的工作原理类似，但功能上有限。（4）PWDump2：用来从SAM数据库中提取哈希口令。13.2取证技术13.2.1电子证据计算机证据国际组织（IOCE）对电子证据相关定义如下：①电子证据：法庭上可能成为证据的以二进制形式存储或传送的信息。②原始电子证据：查封计算机犯罪现场时，相关物理介质及其存储的数据对象。③电子证据副本：原始物理介质上获取的所有数据对象的完全拷贝。④拷贝：独立于物理介质，包含在数据对象中的信息的精确复制。电子证据的特点（1）表现形式的多样性（2）存储介质的电子性（3）准确性（4）脆弱性（5）数据的挥发性（6）电子证据的高科技性常见的电子证据（1）计算机系统（2）联网设备（调制解调器、网卡、路由器…）（3）自动应答设备（4）数码相机（5）便携电子设备（个人数字助理…）（6）寻呼机（7）手机（8）打印机（9）扫描仪（10）其他电子设备（复印机、传真机、读卡机、全球定位仪）13.2.2计算机取证的定义与原则广义的计算机取证：发现计算机及其相关设备中的有利于计算机事件调查的数据，并提取、保护、保存的过程。狭义的计算机取证：能够为法庭接受的、原始的、完整的、有说服力的，存在于计算机和相关外设中的电子证据的提取、保护和保存的过程。IOCE提交的报告中指出计算机取证过程中应该遵守的一般原则:（1）处理电子证据时，必须遵守所有的常规取证步骤、原则。（2）获取电子证据时，必须保证证据的不变性。（3）进行原始证据处理的取证人员应该进过专业培训。（4）所有与电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。（5）个人在拥有与安全相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。（6）任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。实际处理过程中，也就是在对计算机犯罪进行证据提取的过程中，应该遵守以下各个原则：（1）必须尽早搜集证据，并保证其没有受到任何破坏，如销毁、篡改或其他的破坏方式，也不要被取证程序本身所破坏。（2）必须保证在取证过程中，计算机病毒不会被引入目标计算机。（3）必须保证“证据连续性”（ChainofCustody），即在证据被正式提交给法庭时必需保证一直能被追踪。也就是说，要能明白证据的取证拷贝是安全的，用于拷贝证据的进程是可靠并且可以复验的，以及所有的介质都是安全的。（4）整个检查、取证过程必须受到其他方委派的专家监督。（5）必须保证提取出来的可能有用的证据不会受到机械或电磁损害。（6）被取证的对象如果必须运行某些商务程序，要确保该程序的运行只能影响一段有限时间。（7）在取证的过程中，应当尊重不小心获取的任何关于客户代理人的私人信息，不能把这些信息泄露出去。13.2.3计算机取证的步骤对于计算机犯罪的取证，一般包括以下六个步骤：（1）证据的获取（SeizureProcess）（2）位拷贝（BitCopyProcess）（3）分析检查（ExaminationProcess）（4）取证提交（ReportingProcess）（5）证据存档（ArchivingProcess）（6）证据呈贡（Deposition&testimonyProcess）13.2.4计算机取证方法传统的静态取证是在案发后对现场进行分析取证，所获取的证据缺乏实时性与连续性，因而在法庭上缺乏说明力，有时入侵者会在入侵后清除入侵足迹。动态取证则在犯罪发生中进行取证，即能在入侵时实时进行，从而其证据具有实时性和连续性，结合入侵前后的网络环境可再现入侵过程，所以，动态取证取得的电子证据更具有说服力与法律效力。1.取证模型攻击进行中证据收集证据分析法律裁判攻击发生检测到攻击备份证据原始证据分析结果传统静态取证模型动态静态取证模型网络及主机信息攻击进行中取证收集响应系统网络监控法律制裁证据分析攻击发生攻击信息备份证据提交原始证据与分析结果2.取证方法（1）利用IDS取证利用入侵检测系统检测非法的入侵或恶意行为并激活取证系统，进行实时的电子证据的收集，是IDS新的应用方向，也是IDS中的研究热点之一。可以把入侵检测系统发展成一种在紧急事故出现的时候既可以提供检测/响应，又能提供可靠电子证据的工具。（未来的一个发展方向）（2）利用蜜罐技术蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人（如电脑黑客）而设计的。蜜罐系统是一种包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。蜜罐并没有向外界提供真正有价值的服务，因此所有的连接都会被认为是可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击。蜜罐技术可疑对防火墙和其他入侵检测系统等安全解决方案起到一定的补充作用，提供先进诱骗技术和早期检测感应器。13.2.5证据分析经过电子证据的收集，取证人员会得到大量的数据信息，这些原始的数据信息经过数字签名并加盖时间戳后，由专用的、安全的VPN通道传送至证据服务器。对于备份则要经过证据分析，从海量的原始证据中发现与入侵攻击相关的、反映案件客观事实的证据信息。1.一般的证据分析技术在已经获取的原始数据流或信息流中寻找、匹配入侵相关的关键词或关键短语是证据分析的主要技术。其具体包括：（1）文件属性分析技术（2）文件数字摘要分析技术（3）日志分析技术（4）根据已获得的文件或数据的用词、语法和写作风格，推断可能作者的分析技术。（5）发掘同一事件的不同证据间联系的分析技术。（6