网络取证原理与实战

原创已于 2025-01-09 10:47:02 修改 · 置顶 · 2.3k 阅读

31 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #数据库 #取证 #OSSIM

于 2025-01-09 10:45:34 首次发布

一、分析背景

网络取证技术通过技术手段，来提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据，形成证据链。依据证据链对网络犯罪行为进行调查、分析与识别，例如，将OSSIM集成分析平台对海量数据进行网络取证分析，就可以检测异常的数据流，发现非法访问，从而在入侵过程中，快速做出响应。

二、取证分析特点

网络取证与传统计算机取证不同，它更侧重于对网络设施、网络数据流及使用网络服务的电子终端中的网络数据进行检测、整理、收集与分析，主要针对的是攻击网络服务（如Web服务等）的网络犯罪行为。计算机取证属于典型的事后取证，当事件发生后，才会对相关的计算机或电子设备有针对性地进行调查取证工作。

网络取证技术，会应用一系列用于识别、收集、保护、分析和报告计算机系统、网络和数字设备中的电子证据的方法和工具。这属于事前或事件发生中的取证，在入侵行为发生前，网络取证技术可以监测、评估异常的数据流与非法访问；由于网络取证中的电子证据具有多样性、易破坏性等特点，网络取证过程中需要考虑以下问题：

1.按照一定的计划与步骤及时采集证据，防止电子证据更改或破坏。网络取证聚焦于网络中多个数据源的电子数据，这些数据易被新数据覆盖或影响，且易受网络环境变更或人为破坏等因素影响而变动，因此，取证人员需迅速行动，依据数据源稳定性由弱至强的顺序展开取证工作。

2.不要在要被取证的网络或磁盘上直接进行数据采集。根据洛卡德交换原理，每次接触都会留下痕迹，即当一个犯罪者与受害者或犯罪现场接触时，会有一个物质交换发生，犯罪者会带走一些东西，同时也会留下一些东西，这同样适用于网络世界。取证人员与被取证设备的交互（如网络连接的建立）越多、越频繁，系统发生更改的概率越高，电子证据被更改或覆盖的概率越大。这就要求在进行取证时不要随意更改目标机器或者目标网络环境，做好相关的备份工作（此案例参考日志分析场景五）。

3.使用的取证工具须规范认证。网络取证可以借助OSSIM这种安全分析平台。

由于业内水平不一致，没有统一的行业标准，对取证结果的可信性产生了一定的影响。这就要求取证人员使用规范的取证工具，四处在网上下载的小工具缺乏说服力。

网络取证的重点是证据链的生成，其过程一般都是层次性的或基于对象的，一般可分为证据的确定、收集、保护、分析和报告等阶段，每个阶段完成后都会为下一个阶段提供信息，下一个阶段得到的结果又为前一个阶段的取证提供佐证，网络取证的各个阶段紧密相连，要求信息间相互关联，这一功能主要由关联分析引擎来达成。

4.法律合规，是最容易忽略的问题，也极易出现问题，要确保取证过程遵守相关法律和规定，如搜查令、隐私保护法规等，笔者会在下面的案例中说明。

三、网络证据的数据源

网络取证的主要研究对象是那些可能记录了网络犯罪过程中遗留下来的数据的多个网络数据源。这些数据源包括但不限于各种形式的网络服务，比如Web服务、云服务以及社交网络服务。

在这些服务的使用过程中，无论是服务提供商还是用户，都会涉及到一系列的交互环节。这些环节包括但不限于服务端的数据处理，例如存储在云服务器上的信息，以及客户端的数据处理，比如个人电脑（PC）和智能终端设备上的数据。此外，网络数据流的交互也是网络取证关注的重点，因为这些数据流中可能隐藏着网络犯罪的线索和证据。

在网络取证证据的提取的过程中，首要的问题就是确定捕获什么样的数据。为了确保取证过程的完整性和准确性，按照计算机取证的标准方法，需要捕获网络环境中所有的数据。这包括了各种形式的数据传输，无论是明文还是加密的，都需要通过特定的技术手段进行捕获。

通常，为了实现这一目标，会使用一种称为SPAN的网络流量镜像技术，从而实现对网络流量的全面监控和捕获。通过这种方式，可以确保不遗漏任何可能包含关键证据的数据包，从而为后续的证据分析和法律诉讼提供坚实的基础。

四、网络证据分析

网络取证中证据链的开端是被入侵网站记录的非法访问数据。由于针对网络服务的犯罪往往是以窃取网络服务管理员的权限为突破口的，因此，在进行网络取证时，首要任务是调查用户权限和用户访问点。

取证者在可以进入程序管理模块调查用户账户的可疑记录，例如是否有管理员账户是用万能密码登录的，后台是否有错误的管理账户登录记录以及可疑的文件记录，是否有用户加载了XSS 跨站session 脚本等异常脚本，进行边界数据监测如文件的上传与下载等用户活动。在证据收集阶段，需深入分析电子证据所展现的可疑行为，据此推断犯罪者的攻击手段及意图，为后续取证工作提供指导。

发现有可疑行为的用户记录后，收集用户访问点的所有访问记录，包括认证用户的权限与对应的会话管理等，记录该用户的所有会话ID。对于可疑的行为记录，以截图、录屏等方式将证据固化到取证设备中，并使用Hash函数对数据进行计算得到信息摘要并保存在基准数据库中。

在证据分析之前，对要分析的证据再做一次Hash 计算，比较两者的结果，如果相同则说明数据完整性未被破坏。分析并匹配用户与会话ID后，将其作为关键线索，搜集网络服务器及应用服务器日志中涉及该用户及其所有会话的详细信息记录。

如果后台应用管理模块中的可疑已经被攻击者删除而无法取得可疑会话信息时，则以收集与分析可疑访问的日志作为取证主体。可疑的访问包括记录的访问频率异常、错误信息处理记录、日志审核报告、网站重定向、管理员监控警报、收集站点信息的爬虫记录以及表单隐藏域等。

就拿Web日志分析来说，收集分析日志信息的最大难点在于，如何在网站庞大的数据中检索出需要的信息，网络取证技术主要采用日志精简与人工忽略两种思想进行筛选。日志精简主要依据犯罪发生的时间等关键犯罪信息来筛选日志。

另外，可以有针对性地查找特定的攻击手段留下的痕迹。当攻击事件前后公布了某系统漏洞或者在当时某种攻击手法正在流行时，使用这种针对性比较强的调查手段会取得更好的效果。

针对网站日志的分析是Web 取证在网站服务器端的主要应用，除此之外，取证者还可以应用其他技术作为辅助手段协助完成证据链。

五、针对网络数据流的取证

网络取证需要监测网络环境信息与网络流，进行数据包的捕获与分析。网络环境的相关信息主要依靠OSSIM系统中的IDS等进行获取。这一系列的工具可以用来进行网络信息收集与网络安全监测、IP/MAC 地址的分析与定位、监测TCP/UDP 端口与DHCP 列表、SMTP 活动记录等。在进行网络包捕获方面，使用的技术包括基于Libpcap 库、PF_RING 接口、直接使用系统调用等多种。

在被捕获的网络流中，网络包会按照其在网络上传输的顺序显示，相关网络取证工具可以对这些包进行重组，即将这些包组织成两个网络连接点之间的传输层连接。尽管众多取证工具能够分析未重组的原始数据，然而，这种做法往往会导致非标准端口协议的遗漏，并且难以有效应对数据编码及加密传输所带来的干扰问题。

网络取证中的相关性分析研究主要因为网络攻击行为往往是分布、多变、综合的，因此对结果的认定需要将各个取证设施和取证手法得到的数据结合起来进行关联分析以了解其中的相关性以及对结果产生的因果关系和相互确证，才可以重构犯罪过程。

鉴于人工分析这种情况的庞大工作量并不现实，因此，我们可以借助开源的OSSIM平台来实现这一目标。这样你面对的是多维度以及大视角的海量数据分析，采用多数据维度关联分析，例如如果防火墙检测到非正常业务逻辑的文件上传同时主机Hids 检测到非正常业务CGI 生成，很大可能是攻击者在利用文件上传漏洞上传可疑Webshell（由Snort负责分析）。以上述检测规则作为给定规则，构建规则模式，形成规则模式集，继而分析证据集。

网络取证技术是网络安全领域的重要组成部分，它通过提取和分析网络犯罪过程中的电子证据，帮助调查和识别网络犯罪行为。网络取证与传统计算机取证不同，更侧重于网络设施、数据流和电子终端的检测、整理、收集与分析。网络取证技术包括证据的确定、收集、保护、分析和报告等阶段，每个阶段紧密相连，要求信息间相互关联。网络取证的对象是可能记录了网络犯罪过程中遗留下来的数据的多个网络数据源。

网络取证中证据链的开端是被入侵网站记录的非法访问数据，取证者需调查用户权限和用户访问点，收集可疑行为记录，并进行深入分析。网络取证还需要监测网络环境信息与网络流，进行数据包的捕获与分析。通过网络取证技术，可以有效地维护网络安全，解决运维实战工作中的各种复杂的故障。

六、取证案例

对于那些刚刚接触网络取证领域的新手来说，上述所提及的网络取证实践方法可能会显得有些难以理解，甚至有些晦涩难懂。为了帮助大家更好地掌握和理解各种网络取证方法，笔者凭借自己超过十年的Unix/Linux系统运维经验，精心撰写了《Unix/Linux网络日志分析与流量监控》一书。

针对网络取证分析技术，本书作者详尽剖析了二十一个典型的网络攻击案例，涵盖了每个案例的背景、发生、发展以及最终的故障排除流程。通过深入解读这些案例，读者能够清晰地理解如何在遭遇网络攻击时有效地进行日志分析和流量监控，并借助OSSIM安全平台实现日志的统一管理和分析。本书旨在维护和保障网络安全，通过灵活运用各类开源工具，解决运维实战中的复杂故障，并将晦涩的专业知识融入案例，提升阅读体验。

精彩案例如下：