网络数据捕获与分析
尽管无线网络中的数据传输是加密的,但是管理和控制帧一般是不加密的
交换机中含有一张CAM表(contentaddressable memory),其中存储的各个物理端口与各张网卡mac地址的对应关系
物理侦听:
同轴电缆(COAX):信息传输的传媒是单根铜芯,所以网络上的所有站点都必须通过竞争协议传输数据,并解析所有信号。同轴电缆的优点是铜芯能免遭电磁干扰
双绞线(twisted pair,tp)双绞线中含有多对铜线。将每一对铜线绞在一起,使得他们各自产生的电磁干扰相互抵消。一般部署在星型拓扑上。
用于截取光纤中的流量的工具有:内接式网络分路器(inline network tap)、刺穿式搭接器(vampire tap),感应线圈(inductuion coil)、光纤分光器(fiber optic tap)
Hub是将本地子网中所有站点连接到一起的第一层设备。在物理上,连接在Hub上的每台设备都能收到发往连在这个Hub上的其他各台设备的所有流量
交换机的每个端口都是她自己的冲突域(collision domain).CAM表的作用是使交换机能在端口对端口的基础上实行流量隔绝
要从交换机嗅探流量,可以对交换机实行泛洪攻击(flooding)--发送大量MAC地址不同的以太网包向CAM表注入虚假的信息,称为mac泛洪(mac flooding),一旦CAM表被填满,许多交换机在默认情况下进入应急模式,把目标地址不在CAM表里的所有流量转发到每一个端口上,另一种方法是ARP欺骗
伯克利包过滤(berkeley packet filter,BPF)语言(过滤语言)内置了一些基元(primitive)来指代一些常用的协议字段。可以检查位于指定偏移量上的字段(甚至可以是一个位bit)的值,BPF过滤器也可以由详尽的条件链和嵌套的逻辑“与”“或”操作组成
调查人员可以用来访问运行中的基于网络的设备的各种方法,包括:
Console接口,SSH(安全shell)、安全复制(scp)、和SFTP、telnet、snmp(常被用作传播和会聚网络管理信息,snmp用在两个方面:基于事件的查询和配置查询、snmp允许通过定义“管理信息库(MIB)对其进行扩展”),MIB是对管理信息数据库的基本描述
Snmp的基本操作有:
轮询 :GET GETNEXT GETBULK
中断:TRAP INFDRM
控制:SET
TFTP(udp69端口)
策略:避免重启或关闭设备。尽量通过console接口而不是网络链接设备、记录系统时间、根据易失灭程度依次收集证据,记录你的调查过程
数据包详细标记语言(PDML)定义为使用XML格式表示2~7层内协议数据包详情的标准。数据包摘要标记语言(PSML)用于表示协议中最重要的细节
DNS是一个查询-响应协议。DNS协议定义了查询及响应数据包的结构,其中的一些字段能够保存任意数据,因此可以用来作为双向隐蔽通道的基础
Tcp流量封装在一个ip包中,然后穿过基于UDP协议的dns隧道传输
通过tcp协议路由传输dns数据也是可行的,这通常发生在服务器回复的数据太大不适用单独一个Udp数据包传输的时候,超大dns回复数据包通常是对axfr记录请求的回复,同时也被称作“zone transfer”请求
流记录:
关于流的一个信息子集一条流记录通常包括源和目的ip、源和目的端口(如果有的话)、协议、日期、时间、以及每个流传输的数据大小
流记录处理系统:
传感器:用于监听指定网段的数据流,从中提取的关键的流信息保存为流记录
收集器:一个或多个被配置成监听流记录数据并将器保存至硬盘的服务器
聚集器:当使用了多个收集器时,通常将收集到的数据汇总到一个中心节点服务器进行分析
分析
802.11定义了不同的数据帧类型:
管理帧:控制基础间的通信
控制帧:支持不同有效传输介质(如射频)之上的流量控制
数据帧:对无线网络设备之间通讯的三层协议以上的数据进行封装
管理帧(类型0)旨在协调无线局域网上的任意通信,从网络基础设施到单个设备发生的探测请求等。管理帧与类型中包括关联请求(Association requests)、关联应答(associationresponse)、探测帧(probes)、信标帧(becons)等
扫一扫
1145
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
