【虹科分享】利用ProfiShark 构建便携式网络取证工具包

文章速览：

为什么要使用便携式网络取证工具？

构建便携式网络取证套件

法证分析

ProfiShark 1G作为便携式分路器的优点

网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark 1G为核心的便携式网络取证工具包，以提高网络取证的效率和实效性。

一、为什么要使用便携式网络取证工具？
1、企业自身需求
网络取证和网络安全团队需要具备拦截网络流量和实时捕获数据包的能力，以防止威胁和实时攻击。企业组织需要根据其网络的规模和架构建立网络拦截和流量捕获机制。例如，拥有分布式数据中心的大型网络的公司必须部署多个捕获点，并将数据包送至中央数据包分析设备（网络分析仪），该设备能够以10 Gbps甚至高达100 Gbps的速度接收和分析数据。
2、企业面临的困境
然而，并非所有公司都在分布式架构中拥有多个数据中心。大多数中小型企业的整个IT基础设施都托管在一个站点上。这些公司大多没有能力投资网络安全分析产品。那这些中小型企业该如何改善企业网络安全呢？

答案是，便携式网络取证工具包。成本低得多，但仍能按需对网络的任何网段进行实时取证分析。

即使是大型多分支机构也不能否认它的实用性和好处。在网络攻击案例中，分支机构与总部断开连接，而本地IT团队希望对分支机构的内部网络进行取证分析。或者，如果由于内部连接问题，网络分析仪设备被隔离在数据中心内，该怎么办？在这种情况下，即使是大型企业，在很短得调查时间内，也会青睐便携式取证工具包。

二、构建便携式网络取证套件
接下来我们将介绍构建用于取证分析的便携式套件的三个基本工具。

1、一台笔记本电脑
首先需要一台笔记本电脑。
1）最低规格： 4GB内存、容量至少500GB的快速存储设备(SSD)、1Gbps网卡、USB 3.0端口和3小时的备用电池。

2）我们强烈推荐使用基于SSD（固态硬盘）的存储设备，因为它们比硬盘快得多，这种速度有利于正确捕获。开始对网络进行取证分析之前，首先需要在笔记本电脑上捕获和存储数据包。如果能在安全危机期间尽快存储和解析数据包，固态硬盘存储将为您带来显著的时间优势。硬盘的最大磁盘写入速度一般为 100 MB/s，相比之下，固态硬盘的磁盘写入速度要快得多，可达500MB/s（某些固态硬盘甚至更高）。

3）这台笔记本电脑不应该是IT团队日常使用的机器，因为这意味着上面安装了大量应用程序，注册表会发生重大变化，内存负荷也会增加，从而导致性能降低。相反，这台笔记本电脑应该是专用于特殊用途的特定机器，如取证分析或现场故障排除。下一节将解释对USB 3.0端口的要求。

2、数据包分析器
接下来，需要一个数据包分析器（也称为数据包嗅探器），它是一种可以记录、解析和分析通过网络的流量的工具（软件或硬件）。当数据在网络上流动时，数据包分析器接收捕获的数据包并解码数据包的原始数据，显示数据包中各个字段的值（例如 TCP 标头、会话详细信息等）。你可以根据相应的 RFC 规范分析这些值，以推断数据包在网络点之间传输期间是否存在任何异常行为。

3、便携式网络分路器
为了进行网络取证，需要有一个特定的数据包捕获设备，可以拦截并捕获实时流量中的数据包。在端口镜像(SPAN)和网络TAP两种捕获数据包的方法中，后者更可靠、更准确。TAP能够捕获线路上的数据包，保证100%实时捕获实时流量中的数据包。TAP被广泛用于安全应用程序，因为它们是非侵入式的，并且在网络上无法检测到，并且没有物理或逻辑地址。因此，取证团队可以以隐形模式执行他们的活动。

在当今可用的各种类型的TAP中，便携式TAP能够灵活地在现场携带并在任何位置立即部署，因而迅速普及开来。如何选择便携式TAP呢？必要的两个条件的是：一是功能足够强大，足以承担全部流量；二是便携容易部署。

三、法证分析
这里给大家补充一些关于法证分析的知识，你可以从几个基本步骤开始，进行取证分析。

1、检查活动时间
事件计时（即事件之间的时间）对于识别网络中是否存在恶意活动至关重要。在短时间内（例如几百毫秒甚至几秒）发生的事件表明这些事件是由机器人或恶意软件生成的。例如，在几毫秒内从同一源IP接收到针对单个网站的数十个DNS请求，或者在几毫秒内从多个源IP接
收到针对单个网站的多个DNS请求，这些示例表明这些请求可能是由自动化生成的。由机器人或恶意软件启动的脚本。

2、检查DNS流量
由于DNS是所有发送到 Internet 的请求的主要处理程序，因此应检查DNS服务器的流量活动。如果网络中存在流氓系统或网络蠕虫，并且有可能与Internet建立出站连接，那么你可以在DNS服务器上检测到其恶意活动。如果在短时间内（例如几百毫秒）看到来自同一源IP的连接请求数量异常高，那么这可能是恶意活动，可以深入挖掘数据包标头以进一步调查。如果你的DNS服务器受到大量请求的轰炸，它很可能受到DoS攻击。

3、检查中间人攻击
这是组织网络中最常见的攻击之一，中间人(MitM)攻击是攻击者试图通过充当网络中可信系统之一来渗透到网络中的攻击。使用过滤器选项，过滤所有数据包以仅查看ARP数据包。如果您看到大量ARP流量（广播和回复），那么这很可疑。因为在运行的网络中，所有受信任的系统通常在其缓存中都有MAC到IP的映射，所以您不应该看到一长串ARP消息。深入研究数据包标头中的源地址和目标地址，并进一步调查以查明是否正在发生MitM攻击。

4、检查DOS (DDOS)攻击
这也是最常见的攻击之一，可以在网络内部或从网络外部进行。DoS（拒绝服务）攻击的目的是消耗机器或网络的资源，最终导致实际用户无法使用。要快速识别是否发生DoS攻击，请在Wireshark中过滤查看TCP数据包。使用Wireshark上的选项查看数据包序列图，该图通过源系统和目标系统之间的箭头说明TCP连接流。如果您看到大量TCP/SYN数据包从单个源IP轰炸到目标服务器IP，并且服务器IP没有回复，或者只有SYN-ACK消息但没有来自源的ACK回复，那么您最有可能正在观看实际的DoS攻击。如果您看到一长串TCP/SYN请求从多个源IP轰炸到目标服务器P，则这是DDoS（分布式拒绝服务）攻击，其中多个流氓系统攻击目标服务器，并且更具致命性比DoS攻击。

四、ProfiShark 1G作为便携式分路器的优点
1、体积小巧，真正便携，不依赖于外部电源，可以再任何位置使用。
2、2个千兆位网络端口，可以完美地结合两个流量流，通过单个监控端口进行传输。
3、利用USB 3.0的强大功能，数据传输速度高达5 Gbps。通过USB 3.0链路轻松传输2 Gbps的聚合流量流。这意味着缓冲存储器不需要丢弃任何数据包，也不需要将数据包存储足够长的时间来影响它们的时序。因为它可以轻松连接到笔记本电脑的USB端口，即插即用的最佳部分。
4、ProfiShark 1G配备了自己的基于GUI的配置软件ProfiShark Manager，它与任何网络分析仪（WireShark、Omnipeek等）并行工作，并且与Windows和Linux平台兼容。
5、ProfiShark Manager允许直接在笔记本电脑上一键捕获流量，而无需特别需要网络分析仪来捕获流量。当您需要捕获远程网段上的流量并希望通过导出PCAP文件在笔记本电脑以外的另一台计算机上分析流量时，这尤其有用。GUI还有一个计数器部分，显示两个网络端口A和B的内部计数器。这显示了有效/无效数据包的数量、CRC错误、冲突和不同的数据包大小。这是一种无需打开网络分析仪即可查看每个端口接收的流量质量的快速方法。

审核编辑 黄宇