Linux应急响应思路和技巧（三）：网络分析篇

前言

继上一篇“Linux应急响应思路和技巧：文件分析篇”了解了如何从文件入手进行主机侧应急排查的基础上，本篇我们将介绍Linux主机侧应急排查的网络分析部分。通过对系统网络监听、网络连接、甚至流量进行分析，可以帮助定位入侵入口和入侵手法，可以发现恶意软件与C2间纵向的连接、受害服务器和下一个目标服务器之间横向的连接，建立攻击事件的整个感染链路，以更全方位的视角对发生的安全事件有一个全局的了解，也为切断攻击、隔离感染系统提供依据。

下图为Linux主机应急排查思维导图，本篇从网络方面进行介绍。

图1 Linux应急排查思维导图

一、排查工具

网络分析常用排查工具包括lsof、ss、netstat、iptables、tcpdump等，还可添加audit规则审计网络连接相关系统调用，如connect、socket等。注意区分有rootkit和无rootkit情况下的工具使用，有rootkit情况下可采用busybox提供的命令集。

二、可疑网络连接定位

1. 定位纵向连接（恶意软件与恶意IP）

1）可疑进程异常外连

可利用已定位出的可疑进程，使用lsof -n -p [pid]查看可疑进程打开文件，查看其中的socket连接信息。若出现连接至可疑IP/域名（如境外IP、命中威胁情报恶意IP/域名、非业务和运维需要IP、洋葱网络域名），则可进一步确认为木马病毒或远控软件外连至黑IP或C2的行为。

图2 可疑进程异常外连示例

常用排查命令：

[root@localhost ~]#lsof -n -p [pid] #查看指定进程打开文件

2）外连可疑IP/域名

利用netstat或ss工具、或直接查看/proc/[pid]/net/[tcp*|udp*]排查网络连接情况，关注建连的网络连接（即状态为ESTABLISHED或st为01的）。若出现连接至可疑IP/域名（如境外IP、命中威胁情报恶意IP/域名、非业务和运维需要IP、洋葱网络域名），则可进一步确认存在外连至黑IP或C2的行为，且恶意网络连接对应的进程为木马病毒或远控软件。

若攻击者采用了一定的隐藏手法使得网络连接已不可见，可利用tcpdump监控网络连接，或利用audit审计监控connect系统调用，再提取出其中的外连ip/域名进行进一步分析。

图3 可疑外连示例

常用排查命令：

[root@localhost ~]#netstat –neatup | egrep "ESTAB|udp" | grep -v "UNCONN" #netstat查看tcp+udp网络连接

[root@localhost ~]#ss -neatup | egrep "ESTAB|udp" | grep -v "UNCONN" #ss查看tcp+udp网络连接

[root@localhost ~]#cat /proc/[pid]/net/[tcp*] | awk '{if($4=="01")print$0}' #查看指定进程的tcp连接

[root@localhost ~]#cat /proc/[pid]/net/[udp*] | awk '{if($4!="07"