如何利用网络取证还原恶意攻击入侵的全过程

满屏闪烁的代码

帽兜中忽明忽暗的脸

谈笑间轻轻按下的回车键

一次黑客攻击悄无声息的发生了

……

随着黑客技术的不断发展和普及，黑客攻击变得越来越普遍，企业和组织面对的网络攻击风险与日俱增，防御措施需要更加敏感和先进。

通常，黑客攻击都是通过网络发起的。了解网络取证可以帮助我们及时发现网络中黑客攻击的行为，进而保护整个网络免受黑客的攻击。今天创新互联主要分享网络取证过程中非常重要的一项——即流量分析，并模拟利用流量分析的方式还原恶意攻击入侵的全过程，希望带给您一定参考价值!

我们将从以下几方面展开相关分享。

一、什么是网络取证

从本质上讲，网络取证是数字取证的一个分支，网络取证是对网络数据包的捕获、记录和分析，以确定网络攻击的来源。

其主要目标是收集证据，并试图分析从不同站点和不同网络设备(如防火墙和IDS)收集的网络流量数据。

此外，网络取证也是检测入侵模式的过程，它可以在网络上监控以检测攻击并分析攻击者的性质，侧重于攻击者活动。

二、 网络取证的步骤

网络取证主要包括以下步骤。

• 识别：根据网络指标识别和确定事件。
• 保存：存在的问题及原因。
• 搜集：使用标准化方法和程序记录物理场景并复制数字证据。
• 检查：深入系统搜索与网络攻击有关的证据。
• 分析：确定重要性，多维度分析网络流量数据包，并根据发现的证据得出结论。
• 展示：总结并提供已得出结论的解释。
• 事件响应：根据收集的信息启动对检测到的攻击或入侵的响应，以验证和评估事件。

与其它数据取证一样，网络取证中的挑战是数据流量的嗅探、数据关联、攻击来源的确定。由于这些问题，网络取证的主要任务是分析捕获的网络数据包，也就是流量分析。

三、流量分析

1. 什么是流量分析?

网络流量是指能够连接网络的设备在网络上所产生的数据流量。

不同的应用层，流量分析起到的作用不同。

• 用户层：运营商通过分析用户网络流量，来计算网络消费。
• 管理层：分析网络流量可以帮助政府、企业了解流量使用情况，通过添加网络防火墙等控制网络流量来减少资源损失。
• 网站层：了解网站访客的数据，如ip地址、浏览器信息等;统计网站在线人数，了解用户所访问网站页面;通过分析出异常可以帮助网站管理员知道是否有滥用现象;可以了解网站使用情况，提前应对网站服务器系统的负载问题;了解网站对用户是否有足够的吸引能力。
• 综合层：评价一个网站的权重;统计大多数用户上网习惯，从而进行有方向性的规划以更适应用户需求。

2. 如何进行流量分析?

网络流量分析主要方法：

(1) 软硬件流量统计分析

基于软件通过修改

(4) 使用burpsuite拦截登录请求，并使用intruder模块进行登录爆破;

(8) 在wirkshark中查看已捕获的恶意攻击者入侵的整个流程和详细内容;

(9) 查看通过http协议进行的通信内容：

(15) 看到上传恶意文件的文件名称，继续向后追踪发现攻击者访问了image.php这个恶意文件，并随后并发起了一系列POST请求;

(16) 查看这些请求和响应内容均为加密内容;

至此我们通过本地模拟恶意攻击者入侵过程，并利用流量分析的方式对恶意攻击者入侵的过程进行了一个真实完整的还原，充分体现了网络流量分析在计算机实时取证中有着重要的作用和意义。

本文主要介绍了网络取证之流量分析的方法和技术，并实操利用流量分析方式对恶意攻击者入侵进行完整还原取证的全过程，希望对大家有参考价值!

当前文章：如何利用网络取证还原恶意攻击入侵的全过程
文章URL：/news11/100761.html

成都网站建设公司_创新互联，为您提供品牌网站设计、自适应网站、移动网站建设、网站改版、域名注册、微信小程序

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联