Day-020-网络取证基础

# Day 19: 网络取证基础

> 网络安全系列第 19 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [引言](#引言)
2. [网络取证概念](#网络取证概念)
3. [取证流程与方法论](#取证流程与方法论)
4. [证据收集技术](#证据收集技术)
5. [流量分析技术](#流量分析技术)
6. [日志分析技术](#日志分析技术)
7. [实验环境搭建](#实验环境搭建)
8. [实战演练](#实战演练)
9. [报告编写](#报告编写)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 引言

### 网络取证的重要性

网络取证（Network Forensics）是对网络流量和事件进行捕获、记录和分析，以识别攻击来源、收集证据、支持法律程序的过程。在网络安全事件响应中，网络取证是不可或缺的一环。

**网络取证的价值**：
-  **攻击溯源**：确定攻击者身份和来源
- 说明 **证据收集**：为法律诉讼提供证据
- 目标 **事件重构**：还原攻击过程和 timeline
-  **防御改进**：从攻击中学习，改进防御
- 统计 **损失评估**：量化安全事件影响

**真实案例**：
```
案例 1: Target 数据泄露（2013）
- 网络取证发现攻击者通过 HVAC 供应商进入
- 追踪攻击者横向移动路径
- 确定 4000 万信用卡数据被盗
- 证据支持法律诉讼和赔偿

案例 2: Sony Pictures 攻击（2014）
- 网络流量分析发现恶意软件 C2 通信
- 追踪数据外泄路径
- 确定攻击持续数月
- 支持 FBI 调查和归因

案例 3: Equifax 泄露（2017）
- Web 日志分析发现 SQL 注入攻击
- 追踪攻击者访问数据库记录
- 确定 1.47 亿人信息泄露
- 证据用于监管调查和诉讼
```

### 网络取证 vs 数字取证

```
数字取证（Digital Forensics）:
- 关注端点（PC、服务器、移动设备）
- 分析硬盘、内存、文件系统
- 证据类型：文件、日志、注册表

网络取证（Network Forensics）:
- 关注网络流量和事件
- 分析数据包、流数据、日志
- 证据类型：PCAP、NetFlow、系统日志

关系：
- 两者互补，通常结合使用
- 网络取证发现攻击，数字取证深入分析
- 完整调查需要两者结合
```

---

## 网络取证概念

### 取证数据类型

```
1. 全流量数据（PCAP）
   - 完整的网络数据包
   - 包含所有协议层
   - 数据量大，信息完整
   - 适合深度分析

2. 流数据（NetFlow/sFlow）
   - 流量统计信息
   - 源/目标 IP、端口、协议
   - 字节数、包数、时间
   - 数据量小，适合长期存储

3. 系统日志
   - 防火墙日志
   - IDS/IPS 日志
   - 服务器日志
   - 应用日志

4. 元数据
   - DNS 查询日志
   - DHCP 租约日志
   - 认证日志
   - 代理日志
```

### 取证挑战

```
技术挑战：
✗ 数据量大（TB 级别）
✗ 加密流量（无法查看内容）
✗ 高速网络（难以完整捕获）
✗ 分布式系统（数据分散）

法律挑战：
✗ 隐私保护
✗ 证据合法性
✗ 跨境数据
✗ 证据链完整性

资源挑战：
✗ 存储成本
✗ 分析时间
✗ 专业技能
✗ 工具成本
```

---

## 取证流程与方法论

### 标准取证流程

```
NIST SP 800-86 定义的四阶段流程：

1. 收集（Collection）
   - 识别证据来源
   - 获取证据
   - 保护证据完整性
   - 记录收集过程

2. 检查（Examination）
   - 数据提取
   - 数据还原
   - 数据格式化
   - 初步分析

3. 分析（Analysis）
   - 深入分析
   - 关联分析
   - 时间线重建
   - 结论形成

4. 报告（Reporting）
   - 发现总结
   - 证据呈现
   - 结论说明
   - 建议提出
```

### 证据链管理

```
证据链（Chain of Custody）要求：

1. 收集记录
   - 谁收集的
   - 何时收集的
   - 何地收集的
   - 如何收集的

2. 保管记录
   - 谁保管的
   - 保管地点
   - 保管时间
   - 访问记录

3. 传输记录
   - 传输时间
   - 传输方式
   - 接收人
   - 完整性验证

4. 分析记录
   - 分析人员
   - 分析工具
   - 分析方法
   - 分析结果

文档模板：
┌─────────────────────────────────────┐
│ 证据链记录表                         │
├─────────────────────────────────────┤
│ 证据 ID: PCAP-2024-001              │
│ 收集人：张三                        │
│ 收集时间：2024-01-15 10:30          │
│ 收集地点：数据中心                  │
│ 收集方法：端口镜像                  │
│ 哈希值：SHA256 abc123...            │
│ 保管人：李四                        │
│ 保管地点：证据室                    │
│ ...                                 │
└─────────────────────────────────────┘
```

---

## 证据收集技术

### 流量捕获方法

```
1. 端口镜像（SPAN）
   配置示例（Cisco）：
   monitor session 1 source interface Gi0/1-24
   monitor session 1 destination interface Gi0/48
   
   优点：实时、完整
   缺点：需要交换机支持

2. 网络分路器（TAP）
   物理设备，被动复制流量
   优点：完全被动、不影响网络
   缺点：需要硬件、成本

3. 主机抓包
   tcpdump -i eth0 -w evidence.pcap
   优点：简单、无需额外设备
   缺点：只能看到本机流量

4. 虚拟化环境
   VMware: VMPort Mirroring
   KVM: macvtap
   优点：云环境适用
   缺点：配置复杂
```

### 捕获配置最佳实践

```bash
# 1. 完整捕获配置
tcpdump -i eth0 \
  -s 1500 \              # 完整包（避免截断）
  -w evidence.pcap \     # 输出文件
  -C 1000 \              # 每 1GB 轮转
  -W 100 \               # 保留 100 个文件
  -G 3600 \              # 每小时轮转
  -Z root \              # 轮转后切换用户
  -U                     # 立即写入（防丢失）

# 2. 时间同步
# 确保所有系统时间同步
ntpdate ntp.aliyun.com
systemctl enable systemd-timesyncd

# 3. 元数据记录
# 记录捕获环境信息
cat > evidence.meta << EOF
证据 ID: PCAP-$(date +%Y%m%d-%H%M%S)
收集时间：$(date -Iseconds)
收集主机：$(hostname)
网络接口：eth0
IP 地址：$(ip addr show eth0 | grep inet | awk '{print $2}')
收集人：$(whoami)
捕获命令：tcpdump -i eth0 -s 1500 -w evidence.pcap
EOF

# 4. 哈希计算
sha256sum evidence.pcap > evidence.pcap.sha256
# 定期验证完整性
sha256sum -c evidence.pcap.sha256
```

### 日志收集

```bash
# 1. 集中日志收集
# 配置 rsyslog 客户端
cat > /etc/rsyslog.d/forward.conf << EOF
*.* @192.168.1.100:514
EOF
systemctl restart rsyslog

# 2. 防火墙日志
# Cisco ASA
logging host inside 192.168.1.100
logging enable

# iptables
iptables -A INPUT -j LOG --log-prefix "IPTABLES-INPUT: "

# 3. Web 服务器日志
# Nginx 增强日志
log_format detailed '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    '$request_time $upstream_response_time';

# 4. 数据库日志
# MySQL 慢查询日志
slow_query_log = 1
long_query_time = 2
log_queries_not_using_indexes = 1
```

---

## 流量分析技术

### Wireshark 高级分析

```
1. 过滤器使用
# 按协议
tcp || udp
http || dns

# 按 IP
ip.addr == 192.168.1.1
ip.src == 192.168.1.0/24

# 按端口
tcp.port == 80 || tcp.port == 443

# 按内容
http.request.uri contains "admin"
tcp.payload contains "password"

# 组合过滤
(ip.addr == 192.168.1.1) && (tcp.port == 80) && (http.request.method == "POST")

2. 流量统计
Statistics → Conversations
Statistics → Endpoints
Statistics → Protocol Hierarchy

3. 追踪流
右键 → Follow → TCP Stream
查看完整会话内容

4. 对象提取
File → Export Objects → HTTP
提取下载的文件、图片等
```

### 命令行分析工具

```bash
# 1. tshark 分析
# 提取 HTTP 请求
tshark -r evidence.pcap -Y "http.request" \
  -T fields -e frame.time -e ip.src -e http.request.method -e http.request.uri

# 提取 DNS 查询
tshark -r evidence.pcap -Y "dns.flags.response == 0" \
  -T fields -e frame.time -e ip.src -e dns.qry.name

# 统计 Top 说话者
tshark -r evidence.pcap -q -z endpoints,ip

# 2. tcpflow 重组
tcpflow -r evidence.pcap -o output/
# 每个流保存为单独文件

# 3. NetworkMiner 分析
# Windows 工具，图形界面
# 自动提取文件、凭证、会话

# 4. Xplico 取证
# Web 界面，自动分析
# 提取 HTTP、SMTP、POP3 等协议内容
```

### 恶意流量识别

```
1. C2 通信特征
- 定期心跳（固定间隔）
- 小数据包
- 非常用端口
- 加密流量
- 异常域名（DGA 生成）

检测方法：
tshark -r evidence.pcap -q -z io,stat,60
# 查看是否有规律流量

2. 数据外泄特征
- 大流量出站
- 非常规时间传输
- 加密通道
- 云存储服务

检测方法：
tshark -r evidence.pcap -q -z conv,tcp
# 查看大流量连接

3. 扫描活动特征
- 大量 SYN 包
- 多目标端口
- 短时间完成
- 无后续通信

检测方法：
tshark -r evidence.pcap -Y "tcp.flags.syn==1" \
  -T fields -e ip.src -e tcp.dstport | sort | uniq -c
```

---

## 日志分析技术

### 日志关联分析

```
关联规则示例：

规则 1: 暴力破解检测
IF (登录失败 > 5 次/分钟) AND (来自同一 IP)
THEN 告警：可能的暴力破解

规则 2: 横向移动检测
IF (用户从 IP-A 登录) AND (短时间内从 IP-B 访问敏感资源)
THEN 告警：可能的凭证盗用

规则 3: 数据外泄检测
IF (出站流量 > 基线 3σ) AND (非常规时间)
THEN 告警：可能的数据外泄

规则 4: 恶意软件检测
IF (连接已知恶意域名) OR (连接 DGA 域名)
THEN 告警：可能的恶意软件
```

### SIEM 集成

```bash
# ELK Stack 日志分析

# 1. Logstash 配置
input {
  file {
    path => "/var/log/auth.log"
    type => "auth"
  }
  file {
    path => "/var/log/nginx/access.log"
    type => "nginx"
  }
}

filter {
  if [type] == "auth" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} sshd\[%{NUMBER:pid}\]: %{WORD:action} for %{USER:user} from %{IP:client_ip}" }
    }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "security-logs-%{+YYYY.MM.dd}"
  }
}

# 2. Kibana 仪表板
# 创建可视化：
# - 登录失败趋势
# - Top 源 IP
# - 异常检测
# - 时间线分析

# 3. 告警配置
# Watcher 告警规则
PUT _watcher/watch/brute_force
{
  "trigger": { "schedule": { "interval": "5m" } },
  "input": {
    "search": {
      "request": {
        "indices": ["security-logs-*"],
        "body": {
          "query": {
            "bool": {
              "must": [
                { "term": { "action": "Failed" } },
                { "range": { "timestamp": { "gte": "now-5m" } } }
              ]
            }
          },
          "aggs": {
            "by_ip": {
              "terms": { "field": "client_ip" }
            }
          }
        }
      }
    }
  },
  "condition": {
    "compare": { "ctx.payload.aggregations.by_ip.buckets.0.doc_count": { "gt": 5 } }
  },
  "actions": {
    "email": {
      "email": {
        "to": "security@example.com",
        "subject": "暴力破解告警",
        "body": "检测到暴力破解攻击"
      }
    }
  }
}
```

---

## 实验环境搭建

### 取证实验室拓扑

```
┌─────────────────────────────────────────┐
│            取证实验室                    │
│                                         │
│  ┌─────────────┐    ┌─────────────┐    │
│  │  受害主机   │    │  攻击主机   │    │
│  │  (被攻陷)   │    │  (攻击者)   │    │
│  └──────┬──────┘    └──────┬──────┘    │
│         │                  │            │
│         └────────┬─────────┘            │
│                  │                       │
│           ┌──────▼──────┐               │
│           │   交换机     │               │
│           │ (带镜像)    │               │
│           └──────┬──────┘               │
│                  │                       │
│    ┌─────────────┼─────────────┐        │
│    │             │             │        │
│ ┌──▼──┐     ┌───▼───┐    ┌───▼───┐    │
│ │流量 │     │ 日志  │    │ 分析  │    │
│ │捕获 │     │ 服务器 │    │ 工作站 │    │
│ └─────┘     └───────┘    └───────┘    │
└─────────────────────────────────────────┘
```

### 工具安装

```bash
# 取证工作站软件安装

# 1. 基础工具
apt install wireshark tcpdump tshark
apt install sleuthkit autopsy
apt install volatility

# 2. 网络取证工具
apt install networkminer xplico
apt install nfdump flowtools

# 3. 日志分析
apt install elasticsearch logstash kibana
apt install splunk-forwarder

# 4. 恶意软件分析
apt install cuckoo-sandbox
apt install yara

# 5. 取证工具包
apt install bulk-extractor
apt install exiftool
apt install binwalk
```

---

## 实战演练

### 实验 1: 网络攻击场景重现

**目标**：模拟攻击并进行取证分析

**步骤**：

```bash
# 1. 准备攻击场景
# 攻击机执行
msfconsole
use exploit/linux/ssh/ssh_login
set RHOSTS 192.168.1.100
set USERNAME admin
set PASSWORD password
exploit

# 2. 收集证据
# 在镜像端口或 TAP 上
tcpdump -i eth0 -s 1500 -w attack_evidence.pcap

# 同时收集日志
cp /var/log/auth.log evidence/
cp /var/log/syslog evidence/

# 3. 计算哈希
sha256sum attack_evidence.pcap > attack_evidence.pcap.sha256

# 4. 记录证据链
cat > evidence_chain.txt << EOF
案件 ID: CASE-2024-001
证据 ID: PCAP-001
收集时间：$(date -Iseconds)
收集人：取证员 A
收集方法：端口镜像
原始哈希：$(cat attack_evidence.pcap.sha256)
EOF
```

### 实验 2: 流量分析

**目标**：分析攻击流量

**步骤**：

```bash
# 1. 基础分析
wireshark attack_evidence.pcap &

# 2. 识别攻击流量
# Wireshark 过滤器：
tcp.flags.syn == 1 && tcp.flags.ack == 0
# 查看 SYN 扫描

http.request.method == "POST" && http.request.uri contains "login"
# 查看登录请求

# 3. 提取攻击者 IP
tshark -r attack_evidence.pcap -Y "tcp.flags.syn==1" \
  -T fields -e ip.src | sort | uniq -c | sort -rn | head -10

# 4. 追踪攻击者会话
tshark -r attack_evidence.pcap -Y "ip.addr == 攻击者 IP" \
  -T fields -e frame.time -e ip.src -e ip.dst -e tcp.dstport

# 5. 提取凭证
tshark -r attack_evidence.pcap -Y "http.request.method == POST" \
  -T fields -e http.request.full_uri -e http.file_data

# 6. 重组 TCP 流
tcpflow -r attack_evidence.pcap -o extracted/
cat extracted/* | grep -i password
```

### 实验 3: 时间线重建

**目标**：重建攻击时间线

**步骤**：

```python
#!/usr/bin/env python3
# timeline_reconstruction.py

import subprocess
import re
from datetime import datetime
import json

def extract_events(pcap_file):
    events = []
    
    # 提取 TCP SYN 包（可能的扫描）
    result = subprocess.run(
        ['tshark', '-r', pcap_file, '-Y', 'tcp.flags.syn==1',
         '-T', 'fields', '-e', 'frame.time', '-e', 'ip.src', '-e', 'ip.dst', '-e', 'tcp.dstport'],
        capture_output=True, text=True
    )
    
    for line in result.stdout.strip().split('\n'):
        if line:
            parts = line.split('\t')
            events.append({
                'time': parts[0],
                'type': 'TCP_SYN',
                'src': parts[1],
                'dst': parts[2],
                'port': parts[3]
            })
    
    # 提取 HTTP 请求
    result = subprocess.run(
        ['tshark', '-r', pcap_file, '-Y', 'http.request',
         '-T', 'fields', '-e', 'frame.time', '-e', 'ip.src', '-e', 'http.request.method', '-e', 'http.request.uri'],
        capture_output=True, text=True
    )
    
    for line in result.stdout.strip().split('\n'):
        if line:
            parts = line.split('\t')
            events.append({
                'time': parts[0],
                'type': 'HTTP_REQUEST',
                'src': parts[1],
                'method': parts[2],
                'uri': parts[3]
            })
    
    # 按时间排序
    events.sort(key=lambda x: x['time'])
    
    return events

def generate_timeline(events):
    print("=" * 80)
    print("攻击时间线")
    print("=" * 80)
    
    for event in events:
        print(f"{event['time']} - {event['type']}")
        if event['type'] == 'TCP_SYN':
            print(f"  {event['src']}:{event.get('sport', '?')} -> {event['dst']}:{event['port']}")
        elif event['type'] == 'HTTP_REQUEST':
            print(f"  {event['src']} {event['method']} {event['uri']}")
        print()

if __name__ == '__main__':
    events = extract_events('attack_evidence.pcap')
    generate_timeline(events)
    
    # 保存为 JSON
    with open('timeline.json', 'w') as f:
        json.dump(events, f, indent=2)
```

### 实验 4: 取证报告编写

**目标**：编写专业取证报告

**步骤**：

```markdown
# 网络安全取证报告

## 执行摘要

**案件编号**: CASE-2024-001
**取证日期**: 2024-01-15
**取证人员**: 张三，李四
**证据类型**: 网络流量（PCAP）、系统日志

**关键发现**:
1. 检测到来自 192.168.1.50 的 SSH 暴力破解攻击
2. 攻击者成功登录 admin 账户
3. 攻击者访问敏感数据库
4. 检测到数据外泄迹象

**风险等级**: 严重

## 事件时间线

| 时间 | 事件 | 源 IP | 目标 | 详情 |
|------|------|-------|------|------|
| 10:00:00 | SSH 扫描开始 | 192.168.1.50 | 192.168.1.100 | 端口 22 扫描 |
| 10:05:23 | 暴力破解开始 | 192.168.1.50 | 192.168.1.100 | 多次登录失败 |
| 10:15:45 | 成功登录 | 192.168.1.50 | 192.168.1.100 | admin 账户 |
| 10:20:00 | 数据库访问 | 192.168.1.100 | 192.168.1.200 | MySQL 连接 |
| 10:30:00 | 数据外泄 | 192.168.1.100 | 外部 IP | 大流量出站 |

## 证据详情

### 证据 1: 网络流量捕获
- **文件**: attack_evidence.pcap
- **大小**: 2.5 GB
- **时间范围**: 2024-01-15 09:00-11:00
- **哈希**: SHA256 abc123...

### 证据 2: 系统日志
- **文件**: auth.log, syslog
- **来源**: 受害服务器
- **时间范围**: 2024-01-15 全天

## 技术分析

### SSH 暴力破解分析
攻击者使用工具（可能是 Hydra）进行暴力破解：
- 尝试用户名：admin, root, user, test
- 尝试频率：约 10 次/秒
- 成功时间：第 156 次尝试

### 数据外泄分析
检测到异常出站流量：
- 时间：10:30:00-10:45:00
- 目标：外部 IP 203.0.113.100
- 流量大小：约 500MB
- 协议：HTTPS（加密）

## 结论

1. 确认发生未经授权的访问
2. 攻击者成功获取 admin 凭证
3. 敏感数据可能被窃取
4. 建议立即更改所有凭证
5. 建议通知受影响用户

## 建议

### 短期（24 小时内）
- [ ] 更改所有系统凭证
- [ ] 隔离受影响系统
- [ ] 通知管理层

### 中期（1 周内）
- [ ] 全面安全审计
- [ ] 部署 MFA
- [ ] 加强监控

### 长期（1 月内）
- [ ] 安全架构审查
- [ ] 员工安全培训
- [ ] 改进事件响应流程

## 附录

### 证据链记录
（完整的证据链文档）

### 工具列表
- Wireshark 4.0
- tshark 4.0
- tcpflow 1.6
- 自定义 Python 脚本

### 参考文档
- NIST SP 800-86
- ISO 27037
```

---

## 总结与思考

### 核心要点回顾

1. **取证流程**
   - 收集 → 检查 → 分析 → 报告
   - 证据链完整性至关重要
   - 标准化工具和方法

2. **关键技术**
   - 流量捕获和分析
   - 日志关联分析
   - 时间线重建

3. **法律考虑**
   - 证据合法性
   - 隐私保护
   - 跨境问题

### 深入思考问题

1. **加密挑战**
   - 90%+ 流量加密
   - 如何有效取证？
   - 元数据分析 vs 解密？

2. **云环境取证**
   - 数据在第三方
   - 如何收集证据？
   - 法律管辖权问题？

3. **自动化取证**
   - AI 辅助分析
   - 自动化报告
   - 人机协作？

### 实战建议

**安全团队**：
1. 提前准备取证工具
2. 制定取证流程
3. 定期演练
4. 与法律团队合作

**企业**：
1. 部署集中日志
2. 保留足够流量数据
3. 培训取证人员
4. 建立应急响应团队

---

## 参考资料

### 标准文档
- NIST SP 800-86 (数字取证指南)
- ISO 27037 (电子证据指南)
- RFC 7011 (IPFIX 流导出)

### 工具资源
- [Wireshark](https://www.wireshark.org/)
- [Autopsy](https://www.autopsy.com/)
- [Volatility](https://www.volatilityfoundation.org/)

### 书籍推荐
- 《Network Forensics》
- 《Practical Forensic Analysis》
- 《数字取证技术》

---

**标记 明日预告**：Day 20 - 网络入侵检测系统（NIDS）

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 19 篇，精编版本*