我們都遇到過各種網絡問題,有時會需要網絡取證分析。但是您或許不知道從哪里開始,該怎么辦?或者,更準確地說,您不知道需要什么硬件來捕獲網絡線上的信息,以及在分析數據時需要尋找什么?不清除這些問題的答案可能會導致安全漏洞或網絡中出現其他異常情況。
作為安全分析師,您需要查找正確的癥狀來快速檢測網絡中的異常。當然,這需要多年的實踐和正確的網絡取證工具。
為了對情況進行正確的評估,查看您可以獲得的所有信息是非常重要的。因為即使是技術嫻熟的網絡工程師,如果無法100%了解網絡上發生的事情,也無法正確評估情況(需要網絡可視化架構及正確的工具)。選擇正確的工具后,下一步就是監視和分析。以下是一些(重要的)惡意活動(事件計時、網絡檢查等),在執行網絡取證分析時應注意這些活動。
檢查事件計時
事件計時,即事件之間的時間,對于確定網絡中是否存在惡意活動至關重要。在短時間內(比如幾百毫秒甚至幾秒)發生的事件表明,它們是由機器人或惡意軟件生成的,而不是由人類生成的。
這些短時間跨度(毫秒到秒)的范圍取決于網絡管理員應該了解的活動的性質。
例如,在幾毫秒內從同一源IP接收數十個針對單個網站的DNS請求,或在幾毫秒內從多個源IP接收多個針對單個網站的DNS請求,這些情況表明,這些請求可能是由機器人程序或惡意軟件啟動的自動腳本生成的。
檢查DNS流量
由于DNS是處理所有發送到Internet的請求的主要處理程序,因此您應該檢查DNS服務器的流量活動。如果您的網絡中有惡意系統或網絡蠕蟲對建立與Internet的出站連接感興趣,則可以在DNS服務器上檢測到它的惡意活動。
例如,使用Wireshark,您可以過濾DNS服務器IP地址的所有數據包,并檢查DNS服務器在特定時間窗口內收到的請求。如果您在短時間內(例如幾百毫秒)看到來自同一源IP的連接請求數量異常多,那么您應該懷疑這是惡意活動,并更深入地研究數據包標頭以進行進一步調查。
如果您的DNS服務器受到大量請求的轟炸,則很可能它受到DoS攻擊。
檢查中間人攻擊
這是在企業網絡中的最常見的攻擊之一。中間人(MitM)攻擊是指攻擊者通過充當該網絡中的受信任系統之一來嘗試訪問該網絡。在MitM攻擊中,惡意系統在兩個受信任的系統之間進行干預,并劫持其對話通道,從而將所有通信量轉移到自身。這兩個受信任的系統認為它們彼此直接通信,而實際上,它們是通過惡意系統進行通信。
這使惡意系統不僅可以偵聽整個對話,還可以對其進行修改。執行MitM攻擊的最常見方法是通過ARP欺騙,也稱為ARP緩存中毒。在這種技術中,攻擊者在LAN中廣播錯誤的ARP消息,以將其mac地址與局域網中受信任系統的IP地址(例如,默認網關、DNS服務器或DHCP服務器)相關聯,具體取決于攻擊計劃。
使用監視軟件的過濾器選項,過濾所有數據包,僅查看ARP數據包。如果您看到大量的ARP流量(廣播和答復),那么這很可疑。在運行中的網絡中,所有受信任的系統通常在其緩存中都具有MAC到IP的映射,因此您應該不會看到一長串ARP消息。在數據包標頭中挖掘源地址和目標地址,再進一步調查以發現是否發生了MitM攻擊。
檢查DoS(DDoS)攻擊
這也是當今最常見的虛擬攻擊之一,它可以在網絡內部進行,也可以從網絡外部進行。拒絕服務(DoS)攻擊的目的是,使機器或網絡的資源過度消耗,最終它們的實際用戶將無法使用它們。當服務器連接到Internet時,通常在Web服務器上進行DoS攻擊以暫停Web服務。
在DoS攻擊期間,流氓系統會使用TCP / SYN消息向目標服務器發起轟炸,請求打開連接,但是源地址要么是錯誤,要么是偽造的。
如果源是假的,則服務器無法響應TCP / SYN-ACK消息,因為它無法解析源的MAC地址。
如果源是偽造的,服務器將用一個TCP/SYN-ACK消息來響應,并等待最終的ACK消息來完成TCP連接。
但是,由于實際源從未啟動此連接,因此服務器從未收到最終響應,并一直在等待半開放的連接。無論哪種情況,服務器都會被TCP / SYN請求“淹沒”,從而導致異常大量的不完整連接,因此飽和了服務器可能建立的連接數。
要快速確定是否發生DoS攻擊,要先在使用的軟件分析工具中進行篩選,查看TCP數據包。使用該工具查看數據包序列圖,圖上用箭頭表示源系統和目標系統之間的TCP連接流。如果您看到大量的TCP / SYN數據包從單個源IP轟炸到目標服務器IP,或者沒有從服務器IP返回的答復,或者只有SYN-ACK消息但沒有來自源的ACK答復,那么您很有可能查看到了DoS攻擊。
如果您看到很長的TCP / SYN請求流從多個源IP推送到目標服務器IP,那么可以確定這是DDoS(分布式拒絕服務)攻擊,這種攻擊有多個流氓系統攻擊目標服務器,甚至比DoS攻擊更致命。有關監視工具如何幫助您防止DDoS攻擊的更多信息。
無論如何,正如我們在本文開頭提到的那樣,您的網絡安全團隊需要正確的網絡取證工具,可以完全訪問網絡,以便正確評估情況并采取相應措施。
文章來自:網絡安全與可視化
