网络取证二

会话拼接是指攻击者把会话中的一个字符串剪切开来，分别塞入多个数据包里，以逃避NIDS/NIPS的模式匹配的手法

IRC是一种使用明文通信的协议，可以很容易检测、阻断被滥用的通信连接

分布式C&C的特点：冗余度，避免被检测出来（因为被感染的终端不会再直接被连接到中央服务器了），不对称

storm僵尸网络使用由受感染的主机组成的点对点网络，建立动态的通信信道，动态地改变更高层C&C节点的位置，这削弱了网络流分析的威力

命令-控制（C&C）信道通常包含：

HTTP\社交网站、点对点网络、IRC、云计算环境、亚马逊的EC&C（2ens）、谷歌的Appengine

Teredo是一个开放的IETF标准，定义了一种在IPV4网络中隧道传输IPV6数据包的方法。它是通过在IPV6的包封装在IPV4的UDP数据包里，实现隧道传输的

ipsec协议族主要有三个主要协议用来建立安全关联（secure association，SA）。第一个协议是用来生成并在终端间传递密钥的。一般用IKE(internet key exchange,网际密钥交换协议)完成这一任务。第二个协议是authentication header（AH，认证包头），用来提供节点到节点的认证和IP包头中的部分字段及其所有内容的完整性验证的。第三个协议是ESP(encapsulating security payload，封装安全载荷），保护的是数据包载荷的机密性

openvpn是基于ssl/tls的，ip包会被封装在一个会话层的TLA段（sergment）中，这个段一般会通过TCP/IP被路由到隧道终端那里去

在分析TLS加密的流量时。能在会话层中找到加密数据。在TLS加密的流量中，网络层、传输层的细节可见。TLS基于公钥技术和证书

创建隐蔽通信型隧道最常用方法是把要传输的IP流量嵌在一些协议的数据域（daat field）中，以传递DNS隧道，DNS协议中含有一些可以用来夹带数据的理想的字段，包括NULL,TXT,SRV以及NX

最常用的DNS记录类型包括A记录、MX记录、PTR记录、null记录救护不使用

封装是网络分层方法的基本组成部分.OSI模型表示的是一种预期的封装顺序，但是用较高层协议封装较低层协议的流量或者混合着进行封装也是完全可行的，任何一种协议都能封装成另一种协议

 

TLS是世界是最常用的是实现公钥加密技术的框架