满屏闪烁的代码帽兜中忽明忽暗的脸谈笑间轻轻按下的回车键一次黑客攻击悄无声息的发生了……
随着黑客技术的不断发展和普及,黑客攻击变得越来越普遍,企业和组织面对的网络攻击风险与日俱增,防御措施需要更加敏感和先进。
通常,黑客攻击都是通过网络发起的。了解网络取证可以帮助我们及时发现网络中黑客攻击的行为,进而保护整个网络免受黑客的攻击。今天我们主要分享网络取证过程中非常重要的一项——即流量分析,并模拟利用流量分析的方式还原恶意攻击入侵的全过程,希望带给您一定参考价值!
我们将从以下几方面展开相关分享。
一、什么是网络取证
从本质上讲,网络取证是数字取证的一个分支,网络取证是对网络数据包的捕获、记录和分析,以确定网络攻击的来源。
其主要目标是收集证据,并试图分析从不同站点和不同网络设备(如防火墙和IDS)收集的网络流量数据。
此外,网络取证也是检测入侵模式的过程,它可以在网络上监控以检测攻击并分析攻击者的性质,侧重于攻击者活动。
二、网络取证的步骤
网络取证主要包括以下步骤↓↓↓
识别根据网络指标识别和确定事件。
保存存在的问题及原因。
搜集使用标准化方法和程序记录物理场景并复制数字证据。
检查深入系统搜索与网络攻击有关的证据。
分析确定重要性,多维度分析网络流量数据包,并根据发现的证据得出结论。
展示总结并提供已得出结论的解释。
事件响应根据收集的信息启动对检测到的攻击或入侵的响应,以验证和评估事件。
与其它数据取证一样,网络取证中的挑战是数据流量的嗅探、数据关联、攻击来源的确定。由于这些问题,网络取证的主要任务是分析捕获的网络数据包,也就是流量分析。
三、流量分析
A.什么是流量分析?
网络流量是指能够连接网络的设备在网络上所产生的数据流量。
不同的应用层,流量分析起到的作用不同。
1.用户层:运营商通过分析用户网络流量,来计算网络消费。
2.管理层:分析网络流量可以帮助政府、企业了解流量使用情况,通过添加网络防火墙等控制网络流量来减少资源损失。
3.网站层:了解网站访客的数据,如ip地址、浏览器信息等;统计网站在线人数,了解用户所访问网站页面;通过分析出异常可以帮助网站管理员知道是否有滥用现象;可以了解网站使用情况,提前应对网站服务器系统的负载问题;了解网站对用户是否有足够的吸引能力。
4.综合层:评价一个网站的权重;统计大多数用户上网习惯,从而进行有方向性的规划以更适应用户需求。
B.如何进行流量分析?
网络流量分析主要方法:
1.软硬件流量统计分析
基于软件通过修改主机网络流入接口,使其有捕获数据包功能,硬件主要有用于收藏和分析流量数据,常见的软件数据包捕获工具pCap(packetcapture),硬件有流量镜像的方式。
2.网络流量粒度分析
在bit级上