【虹科分享】利用ProfiShark 構建行動式網路取證工具包

網路安全領域日益重視行動式取證工具的靈活應用。本文介紹瞭如何構建一個以 ProfiShark 1G 為核心的行動式網路取證工具包，以提高網路取證的效率和實效性。

一、為什麼要使用行動式網路取證工具？

1 、企業自身需求

網路取證和網路安全團隊需要具備攔截網路流量和實時捕獲資料包的能力，以防止威脅和實時攻擊。企業組織需要根據其網路的規模和架構建立網路攔截和流量捕獲機制。例如，擁有分散式資料中心的大型網路的公司必須部署多個捕獲點，並將資料包送至中央資料包分析裝置（網路分析儀），該裝置能夠以 10 Gbps 甚至高達 100 Gbps 的速度接收和分析資料。

2 、企業面臨的困境

然而，並非所有公司都在分散式架構中擁有多個資料中心。大多數中小型企業的整個 IT 基礎設施都託管在一個站點上。這些公司大多沒有能力投資網路安全分析產品。那這些中小型企業該如何改善企業網路安全呢？

 

答案是，行動式網路取證工具包。成本低得多，但仍能按需對網路的任何網段進行實時取證分析。

 

即使是大型多分支機構也不能否認它的實用性和好處。在網路攻擊案例中，分支機構與總部斷開連線，而本地 IT 團隊希望對分支機構的內部網路進行取證分析。或者，如果由於內部連線問題，網路分析儀裝置被隔離在資料中心內，該怎麼辦？在這種情況下，即使是大型企業，在很短得調查時間內，也會青睞行動式取證工具包。

 

二、構建行動式網路取證套件

接下來我們將介紹構建用於取證分析的行動式套件的三個基本工具。

 

1 、一臺膝上型電腦

首先需要一臺膝上型電腦。

1 ）最低規格： 4GB 記憶體、容量至少 500GB 的快速儲存裝置 (SSD) 、 1Gbps 網路卡、 USB 3.0 埠和 3 小時的備用電池。

 

2 ）我們強烈推薦使用基於 SSD （固態硬碟）的儲存裝置，因為它們比硬碟快得多，這種速度有利於正確捕獲。開始對網路進行取證分析之前，首先需要在膝上型電腦上捕獲和儲存資料包。如果能在安全危機期間儘快儲存和解析資料包，固態硬碟儲存將為您帶來顯著的時間優勢。硬碟的最大磁碟寫入速度一般為 100 MB/s ，相比之下，固態硬碟的磁碟寫入速度要快得多，可達 500MB/s （某些固態硬碟甚至更高）。

 

3 ）這檯膝上型電腦不應該是 IT 團隊日常使用的機器，因為這意味著上面安裝了大量應用程式，登入檔會發生重大變化，記憶體負荷也會增加，從而導致效能降低。相反，這檯膝上型電腦應該是專用於特殊用途的特定機器，如取證分析或現場故障排除。下一節將解釋對 USB 3.0 埠的要求。

 

 

2 、資料包分析器

接下來，需要一個資料包分析器（也稱為資料包嗅探器），它是一種可以記錄、解析和分析透過網路的流量的工具（軟體或硬體）。當資料在網路上流動時，資料包分析器接收捕獲的資料包並解碼資料包的原始資料，顯示資料包中各個欄位的值（例如 TCP 標頭、會話詳細資訊等）。你可以根據相應的 RFC 規範分析這些值，以推斷資料包在網路點之間傳輸期間是否存在任何異常行為。

 

3 、行動式網路分路器

為了進行網路取證，需要有一個特定的資料包捕獲裝置，可以攔截並捕獲實時流量中的資料包。在埠映象 (SPAN) 和網路 TAP 兩種捕獲資料包的方法中，後者更可靠、更準確。 TAP 能夠捕獲線路上的資料包，保證 100% 實時捕獲實時流量中的資料包。 TAP 被廣泛用於安全應用程式，因為它們是非侵入式的，並且在網路上無法檢測到，並且沒有物理或邏輯地址。因此，取證團隊可以以隱形模式執行他們的活動。

 

在當今可用的各種型別的 TAP 中，行動式 TAP 能夠靈活地在現場攜帶並在任何位置立即部署，因而迅速普及開來。如何選擇行動式 TAP 呢？必要的兩個條件的是：一是功能足夠強大，足以承擔全部流量；二是便攜容易部署。

 

三、法證分析

這裡給大家補充一些關於法證分析的知識，你可以從幾個基本步驟開始，進行取證分析。

 

1 、檢查活動時間

事件計時（即事件之間的時間）對於識別網路中是否存在惡意活動至關重要。在短時間內（例如幾百毫秒甚至幾秒）發生的事件表明這些事件是由機器人或惡意軟體生成的。例如，在幾毫秒內從同一源 IP 接收到針對單個網站的數十個 DNS 請求，或者在幾毫秒內從多個源 IP 接

收到針對單個網站的多個 DNS 請求，這些示例表明這些請求可能是由自動化生成的。由機器人或惡意軟體啟動的指令碼。

 

2 、檢查 DNS 流量

由於 DNS 是所有傳送到 Internet 的請求的主要處理程式，因此應檢查 DNS 伺服器的流量活動。如果網路中存在流氓系統或網路蠕蟲，並且有可能與 Internet 建立出站連線，那麼你可以在 DNS 伺服器上檢測到其惡意活動。如果在短時間內（例如幾百毫秒）看到來自同一源 IP 的連線請求數量異常高，那麼這可能是惡意活動，可以深入挖掘資料包標頭以進一步調查。如果你的 DNS 伺服器受到大量請求的轟炸，它很可能受到 DoS 攻擊。

 

3 、檢查中間人攻擊

這是組織網路中最常見的攻擊之一，中間人 (MitM) 攻擊是攻擊者試圖透過充當網路中可信系統之一來滲透到網路中的攻擊。使用過濾器選項，過濾所有資料包以僅檢視 ARP 資料包。如果您看到大量 ARP 流量（廣播和回覆），那麼這很可疑。因為在執行的網路中，所有受信任的系統通常在其快取中都有 MAC 到 IP 的對映，所以您不應該看到一長串 ARP 訊息。深入研究資料包標頭中的源地址和目標地址，並進一步調查以查明是否正在發生 MitM 攻擊。

 

4 、檢查 DOS (DDOS) 攻擊

這也是最常見的攻擊之一，可以在網路內部或從網路外部進行。 DoS （拒絕服務）攻擊的目的是消耗機器或網路的資源，最終導致實際使用者無法使用。要快速識別是否發生 DoS 攻擊，請在 Wireshark 中過濾檢視 TCP 資料包。使用 Wireshark 上的選項檢視資料包序列圖，該圖透過源系統和目標系統之間的箭頭說明 TCP 連線流。如果您看到大量 TCP/SYN 資料包從單個源 IP 轟炸到目標伺服器 IP ，並且伺服器 IP 沒有回覆，或者只有 SYN-ACK 訊息但沒有來自源的 ACK 回覆，那麼您最有可能正在觀看實際的 DoS 攻擊。如果您看到一長串 TCP/SYN 請求從多個源 IP 轟炸到目標伺服器 P ，則這是 DDoS （分散式拒絕服務）攻擊，其中多個流氓系統攻擊目標伺服器，並且更具致命性比 DoS 攻擊。

 

 

四、 ProfiShark 1G 作為行動式分路器的優點

1 、體積小巧，真正便攜，不依賴於外部電源 ，可以再任何位置使用。

2 、 2 個千兆位網路埠 ，可以完美地結合兩個流量流，透過單個監控埠進行傳輸。

3 、利用 USB 3.0 的強大功能，資料傳輸速度高達 5 Gbps 。透過 USB 3.0 鏈路輕鬆傳輸 2 Gbps 的聚合流量流。這意味著緩衝儲存器不需要丟棄任何資料包，也不需要將資料包儲存足夠長的時間來影響它們的時序。因為它可以輕鬆連線到膝上型電腦的 USB 埠，即插即用的部分。

4 、 ProfiShark 1G 配備了自己的基於 GUI 的配置軟體 ProfiShark Manager ，它與任何網路分析儀（ WireShark 、 Omnipeek 等）並行工作，並且與 Windows 和 Linux 平臺相容。

5 、 ProfiShark Manager 允許直接在膝上型電腦上一鍵捕獲流量，而無需特別需要網路分析儀來捕獲流量。 當您需要捕獲遠端網段上的流量並希望透過匯出 PCAP 檔案在膝上型電腦以外的另一臺計算機上分析流量時，這尤其有用。 GUI 還有一個計數器部分，顯示兩個網路埠 A 和 B 的內部計數器。這顯示了有效 / 無效資料包的數量、 CRC 錯誤、衝突和不同的資料包大小。這是一種無需開啟網路分析儀即可檢視每個埠接收的流量質量的快速方法。