【虹科分享】利用ProfiShark 构建便携式网络取证工具包

文章速览:

  • 为什么要使用便携式网络取证工具?
  • 构建便携式网络取证套件
  • 法证分析
  • ProfiShark 1G作为便携式分路器的优点

网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark 1G为核心的便携式网络取证工具包,以提高网络取证的效率和实效性。

一、为什么要使用便携式网络取证工具?

1、企业自身需求

网络取证和网络安全团队需要具备拦截网络流量和实时捕获数据包的能力,以防止威胁和实时攻击。企业组织需要根据其网络的规模和架构建立网络拦截和流量捕获机制。例如,拥有分布式数据中心的大型网络的公司必须部署多个捕获点,并将数据包送至中央数据包分析设备(网络分析仪),该设备能够以10 Gbps甚至高达100 Gbps的速度接收和分析数据。

2、企业面临的困境

然而,并非所有公司都在分布式架构中拥有多个数据中心。大多数中小型企业的整个IT基础设施都托管在一个站点上。这些公司大多没有能力投资网络安全分析产品。那这些中小型企业该如何改善企业网络安全呢?

答案是,便携式网络取证工具包。成本低得多,但仍能按需对网络的任何网段进行实时取证分析。

事实上,即使是大型多分支机构也不能否认它的实用性和好处。在网络攻击案例中,分支机构与总部断开连接,而本地IT团队希望对分支机构的内部网络进行取证分析。或者,如果由于内部连接问题,网络分析仪设备被隔离在数据中心内,该怎么办?在这种情况下,即使是大型企业,在很短得调查时间内,也会青睐便携式取证工具包。

二、构建便携式网络取证套件

接下来我们将介绍构建用于取证分析的便携式套件的三个基本工具。

1、一台笔记本电脑

首先需要一台笔记本电脑。

1)最低规格: 4GB内存、容量至少500GB的快速存储设备(SSD)、1Gbps网卡、USB 3.0端口和3小时的备用电池。

2)我们强烈推荐使用基于SSD(固态硬盘)的存储设备,因为它们比硬盘快得多,这种速度有利于正确捕获。开始对网络进行取证分析之前,首先需要在笔记本电脑上捕获和存储数据包。如果能在安全危机期间尽快存储和解析数据包,固态硬盘存储将为您带来显著的时间优势。硬盘的最大磁盘写入速度一般为 100 MB/s,相比之下,固态硬盘的磁盘写入速度要快得多,可达500MB/s(某些固态硬盘甚至更高)。

3)这台笔记本电脑不应该是IT团队日常使用的机器,因为这意味着上面安装了大量应用程序,注册表会发生重大变化,内存负荷也会增加,从而导致性能降低。相反,这台笔记本电脑应该是专用于特殊用途的特定机器,如取证分析或现场故障排除。下一节将解释对USB 3.0端口的要求。

2、数据包分析器

接下来,需要一个数据包分析器(也称为数据包嗅探器),它是一种可以记录、解析和分析通过网络的流量的工具(软件或硬件)。当数据在网络上流动时,数据包分析器接收捕获的数据包并解码数据包的原始数据,显示数据包中各个字段的值(例如 TCP 标头、会话详细信息等)。你可以根据相应的 RFC 规范分析这些值,以推断数据包在网络点之间传输期间是否存在任何异常行为。

3、便携式网络分路器

为了进行网络取证,需要有一个特定的数据包捕获设备,可以拦截并捕获实时流量中的数据包。在端口镜像(SPAN)和网络TAP两种捕获数据包的方法中,后者更可靠、更准确。TAP能够捕获线路上的数据包,保证100%实时捕获实时流量中的数据包。TAP被广泛用于安全应用程序,因为它们是非侵入式的,并且在网络上无法检测到,并且没有物理或逻辑地址。因此,取证团队可以以隐形模式执行他们的活动。

在当今可用的各种类型的TAP中,便携式TAP能够灵活地在现场携带并在任何位置立即部署,因而迅速普及开来。如何选择便携式TAP呢?必要的两个条件的是:一是功能足够强大,足以承担全部流量;二是便携容易部署。

三、法证分析

这里给大家补充一些关于法证分析的知识,你可以从几个基本步骤开始,进行取证分析。

1、检查活动时间

事件计时(即事件之间的时间)对于识别网络中是否存在恶意活动至关重要。在短时间内(例如几百毫秒甚至几秒)发生的事件表明这些事件是由机器人或恶意软件生成的。例如,在几毫秒内从同一源IP接收到针对单个网站的数十个DNS请求,或者在几毫秒内从多个源IP接

收到针对单个网站的多个DNS请求,这些示例表明这些请求可能是由自动化生成的。由机器人或恶意软件启动的脚本。

2、检查DNS流量

由于DNS是所有发送到 Internet 的请求的主要处理程序,因此应检查DNS服务器的流量活动。如果网络中存在流氓系统或网络蠕虫,并且有可能与Internet建立出站连接,那么你可以在DNS服务器上检测到其恶意活动。如果在短时间内(例如几百毫秒)看到来自同一源IP的连接请求数量异常高,那么这可能是恶意活动,可以深入挖掘数据包标头以进一步调查。如果你的DNS服务器受到大量请求的轰炸,它很可能受到DoS攻击。

3、检查中间人攻击

这是组织网络中最常见的攻击之一,中间人(MitM)攻击是攻击者试图通过充当网络中可信系统之一来渗透到网络中的攻击。使用过滤器选项,过滤所有数据包以仅查看ARP数据包。如果您看到大量ARP流量(广播和回复),那么这很可疑。因为在运行的网络中,所有受信任的系统通常在其缓存中都有MAC到IP的映射,所以您不应该看到一长串ARP消息。深入研究数据包标头中的源地址和目标地址,并进一步调查以查明是否正在发生MitM攻击。

4、检查DOS (DDOS)攻击

这也是最常见的攻击之一,可以在网络内部或从网络外部进行。DoS(拒绝服务)攻击的目的是消耗机器或网络的资源,最终导致实际用户无法使用。要快速识别是否发生DoS攻击,请在Wireshark中过滤查看TCP数据包。使用Wireshark上的选项查看数据包序列图,该图通过源系统和目标系统之间的箭头说明TCP连接流。如果您看到大量TCP/SYN数据包从单个源IP轰炸到目标服务器IP,并且服务器IP没有回复,或者只有SYN-ACK消息但没有来自源的ACK回复,那么您最有可能正在观看实际的DoS攻击。如果您看到一长串TCP/SYN请求从多个源IP轰炸到目标服务器P,则这是DDoS(分布式拒绝服务)攻击,其中多个流氓系统攻击目标服务器,并且更具致命性比DoS攻击。

四、ProfiShark 1G作为便携式分路器的优点

前面我们提到选择便携式TAP的两个必要条件:一是功能足够强大,足以承担全部流量;二是便携容易部署。下面介绍一款便携好用的便携式分路器ProfiShark 1G。

1、体积小巧,真正便携,不依赖于外部电源,可以再任何位置使用。

2、2个千兆位网络端口,可以完美地结合两个流量流,通过单个监控端口进行传输。

3、利用USB 3.0的强大功能,数据传输速度高达5 Gbps。通过USB 3.0链路轻松传输2 Gbps的聚合流量流。这意味着缓冲存储器不需要丢弃任何数据包,也不需要将数据包存储足够长的时间来影响它们的时序。因为它可以轻松连接到笔记本电脑的USB端口,即插即用的最佳部分。

4、ProfiShark 1G配备了自己的基于GUI的配置软件ProfiShark Manager,它与任何网络分析仪(WireShark、Omnipeek等)并行工作,并且与Windows和Linux平台兼容。

5、ProfiShark Manager允许直接在笔记本电脑上一键捕获流量,而无需特别需要网络分析仪来捕获流量。当您需要捕获远程网段上的流量并希望通过导出PCAP文件在笔记本电脑以外的另一台计算机上分析流量时,这尤其有用。GUI还有一个计数器部分,显示两个网络端口A和B的内部计数器。这显示了有效/无效数据包的数量、CRC错误、冲突和不同的数据包大小。这是一种无需打开网络分析仪即可查看每个端口接收的流量质量的快速方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/590464.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

YHZ011 Python 显式类型转换

资源编号:YHZ011 配套视频:https://www.bilibili.com/video/BV1zy4y1Z7nk?p12 🦁 显式类型转换 在显式类型转换中,用户将对象的数据类型转换为所需的数据类型。 我们使用 int()、float()、str() 等预定义函数来执行显式类型转换…

软件开发必知必会的计算机基础

1.计算机基本介绍 1.1 什么是计算机 计算机(Computer)俗称为电脑,计算机是一种高速计算的电子机器,计算机可以进行数值运算,逻辑判断,接收或者是存储信息数据(文本、图片、音频、视频),按照存储在其内部的程序对海量的…

V8 环境搭建

前言 早就想入门V8了,但是之前环境配置搞了好几次都没成功,所以就放弃了。之前一直想着给虚拟机搭全局VPN ,但是其实根本没那么麻烦。 准备 Ubuntu 18.04:据说该版本是最匹配V8的,当然也有说最好用 20.04 的&#x…

Vite+Vue3使用MockJS

在使用Vue3开发的时候,有时候没有后端或者后端接口还没有准备好,那就需要使用Mock模拟数据便于前端开发。 现在就记录一下ViteVue3的环境下如果使用MockJS。 版本 vue 3.3.11mockjs 1.1.0axios 1.6.3 Mockjs配置使用 使用pnpm命令安装Mockjs pnpm …

蓝桥杯python比赛历届真题99道经典练习题 (41-50)

【程序41】 题目:学习static定义静态变量的用法    1.程序分析: 2.程序源代码: # python没有这个功能了,只能这样了:) def varfunc():var = 0print var = %d % varvar += 1 if __name__ == __main__:for i in range(3):varfunc()# attribut of class # 作为类的一个属…

5.微服务代码模型

1.微服务代码模型 代码分层 在微服务代码模型里,我们分别定义了用户接口层、并分别为它们建立了interfaces、application、domain和infrastructure四个一级代码目录; interfaces(用户接口层): 它主要存放用户接口层与前端应用交互、数据转换和交互相关…

Ultra ISO 虚拟光驱修改光盘盘符

windows xp 环境 ultra iso 虚拟光驱修改光盘盘符 method 1. 在ultra iso 中 [选项]->[配置]->[虚拟光驱],在新盘符里选指定盘符 ->[修改] method 2. 打开命令行,进入安装目录,如 "C:\Program Files\UltraISO\drivers"&…

Vue3复习笔记

目录 挂载全局属性和方法 v-bind一次绑定多个值 v-bind用在样式中 Vue指令绑定值 Vue指令绑定属性 动态属性的约束 Dom更新时机 ”可写的“计算属性 v-if与v-for不建议同时使用 v-for遍历对象 数组变化检测 事件修饰符 v-model用在表单类标签上 v-model还可以绑定…

【LMM 002】大型语言和视觉助手 LLaVA-1.5

论文标题:Improved Baselines with Visual Instruction Tuning 论文作者:Haotian Liu, Chunyuan Li, Yuheng Li, Yong Jae Lee 作者单位:University of Wisconsin-Madison, Microsoft Research, Columbia University 论文原文:htt…

JavaScript的三种引入的方式

目录 (一).什么是JS1.1JS的特点1.2JS的组成 (二).JS引用的三种方式2.1标签引用(或嵌入式)2.2文件引用(外链式)2.3行内式 (三).JS三种引用方式的优缺点1.行内方式:2.标签引用(或嵌入式):3.文件引…

怎么获取客户端真实IP?GO

在使用 Golang 的 net/rpc 包进行 RPC 服务开发时,我们有时候会遇到需要获取客户端的真实 IP 和当前连接 net.Conn 的需求。然而在 net/rpc 的服务处理方法中,并没有提供直接获取到这些信息的途径。 那么,我们应该如何去获取这些信息呢&…

如何高效查询文件:Linux 下的多种方法详解

如何高效查询文件:Linux 下的多种方法详解 在日常工作中,我们经常需要查找文件,无论是寻找特定的代码文件、配置文件还是其他文档。Linux 提供了多种强大的命令和工具,通过巧妙地使用管道符,我们可以将这些命令组合起来…

连锁门店管理需要信息化系统

连锁门店管理的信息化系统可以提供以下功能,以满足连锁企业日常管理的需求: 1. 连锁线下收银:信息化系统可以提供线下收银功能,包括商品扫码、价格结算、支付方式选择等。通过系统记录每笔交易数据,方便对销售情况进行…

【基于VirtualBox及openEuler20.03 TLS SP1编译openGauss2.1.0源码】

【openEuler 20.03 TLS编译openGauss2.1.0源码】 一、安装环境二、安装步骤 一、安装环境 项目Value虚拟机virtualbox操作系统openEuler 20.03 TLSopenGauss2.1.0openGauss-third_party2.1.0 二、安装步骤 以下操作需要在root用户下执行 编辑/etc/selinux/config vim /etc/s…

C++程序编译

GCC编译器 文章目录 GCC编译器 源文件 为 Main.cpp 注意cpp文件 一定要用g命令 否则没办法执行 预处理(Pre-Processing):首先会经过预处理器将程序中的预编译指令进行处理,然后把源文件中的注释这些没用的东西都给扬了。 g -E Mai…

JVM系列-方法区、堆区、栈区

在 Java 中,内存主要分为方法区、堆区和栈区,每个区域负责不同类型的数据和任务。以下是它们的主要特征: 1. 方法区(Method Area) 方法区是 JVM 的一部分,用于存储类的元数据信息、静态变量、常量池等。在…

【拼题A】2024跨年挑战赛

文章目录 跨年-1 特殊的年份输入格式:输出格式:C代码 跨年-2 穿什么衣服输入格式:输出格式:输入样例:输出样例:C 代码 跨年-3 按比例发奖输入格式:输出格式:输入样例:输出样例:C代码 跨年-4 骗钱的手机游戏输入格式:输出格式:输入样例:输出样例:C代码 跨年-5 找年兽输入格式:输…

Qt6.5示例:QMainWindow集成QMenuBar菜单栏

欢迎关注公众号(20YC编程),有免费C视频课程哦! -今日内容- 1 QMenuBar简介 QMenuBar是Qt框架中的一个菜单栏类,它提供了一个可以包含一个或多个QAction对象或级联的QMenu对象的菜单栏。 QMenuBar通常被放置在主窗口的标题栏下方&#xff0…

消息队列LiteQueue

文章目录 一、简介二、设计2.1 队列结构设计2.2 队列接口设计 三、实现3.1 队列锁的实现3.2 创建队列3.3 写入队列3.4 读出数据3.5 判断队列是否为空3.6 判断队列是否为满3.7 清空队列3.8 删除队列 四、测试参考 一、简介 收到消息时先把接收到的消息放到队列中。在任务中从队…

63页!嵩山版Java开发手册分享

作为广受欢迎的编程语言之一,Java在软件开发领域扮演着重要的角色。然而,由于Java的灵活性和广泛应用,很容易出现代码质量低下、可读性差、维护困难等问题。为了解决这些问题,阿里巴巴集团发布了一份权威指南——阿里嵩山版Java开…