滿屏閃爍的代碼

帽兜中忽明忽暗的臉

談笑間輕輕按下的回車鍵

一次黑客攻擊悄無聲息的發生了

……

隨著黑客技術的不斷發展和普及，黑客攻擊變得越來越普遍，企業和組織面對的網絡攻擊風險與日俱增，防御措施需要更加敏感和先進。

通常，黑客攻擊都是通過網絡發起的。了解網絡取證可以幫助我們及時發現網絡中黑客攻擊的行為，進而保護整個網絡免受黑客的攻擊。今天創新互聯主要分享網絡取證過程中非常重要的一項——即流量分析，并模擬利用流量分析的方式還原惡意攻擊入侵的全過程，希望帶給您一定參考價值!

我們將從以下幾方面展開相關分享。

一、什么是網絡取證

從本質上講，網絡取證是數字取證的一個分支，網絡取證是對網絡數據包的捕獲、記錄和分析，以確定網絡攻擊的來源。

其主要目標是收集證據，并試圖分析從不同站點和不同網絡設備(如防火墻和IDS)收集的網絡流量數據。

此外，網絡取證也是檢測入侵模式的過程，它可以在網絡上監控以檢測攻擊并分析攻擊者的性質，側重于攻擊者活動。

二、 網絡取證的步驟

網絡取證主要包括以下步驟。

• 識別：根據網絡指標識別和確定事件。
• 保存：存在的問題及原因。
• 搜集：使用標準化方法和程序記錄物理場景并復制數字證據。
• 檢查：深入系統搜索與網絡攻擊有關的證據。
• 分析：確定重要性，多維度分析網絡流量數據包，并根據發現的證據得出結論。
• 展示：總結并提供已得出結論的解釋。
• 事件響應：根據收集的信息啟動對檢測到的攻擊或入侵的響應，以驗證和評估事件。

與其它數據取證一樣，網絡取證中的挑戰是數據流量的嗅探、數據關聯、攻擊來源的確定。由于這些問題，網絡取證的主要任務是分析捕獲的網絡數據包，也就是流量分析。

三、流量分析

1. 什么是流量分析?

網絡流量是指能夠連接網絡的設備在網絡上所產生的數據流量。

不同的應用層，流量分析起到的作用不同。

• 用戶層：運營商通過分析用戶網絡流量，來計算網絡消費。
• 管理層：分析網絡流量可以幫助政府、企業了解流量使用情況，通過添加網絡防火墻等控制網絡流量來減少資源損失。
• 網站層：了解網站訪客的數據，如ip地址、瀏覽器信息等;統計網站在線人數，了解用戶所訪問網站頁面;通過分析出異常可以幫助網站管理員知道是否有濫用現象;可以了解網站使用情況，提前應對網站服務器系統的負載問題;了解網站對用戶是否有足夠的吸引能力。
• 綜合層：評價一個網站的權重;統計大多數用戶上網習慣，從而進行有方向性的規劃以更適應用戶需求。

2. 如何進行流量分析?

網絡流量分析主要方法：

(1) 軟硬件流量統計分析

基于軟件通過修改

(4) 使用burpsuite攔截登錄請求，并使用intruder模塊進行登錄爆破;

(8) 在wirkshark中查看已捕獲的惡意攻擊者入侵的整個流程和詳細內容;

(9) 查看通過http協議進行的通信內容：

(15) 看到上傳惡意文件的文件名稱，繼續向后追蹤發現攻擊者訪問了image.php這個惡意文件，并隨后并發起了一系列POST請求;

(16) 查看這些請求和響應內容均為加密內容;

至此我們通過本地模擬惡意攻擊者入侵過程，并利用流量分析的方式對惡意攻擊者入侵的過程進行了一個真實完整的還原，充分體現了網絡流量分析在計算機實時取證中有著重要的作用和意義。

本文主要介紹了網絡取證之流量分析的方法和技術，并實操利用流量分析方式對惡意攻擊者入侵進行完整還原取證的全過程，希望對大家有參考價值!

當前文章：如何利用網絡取證還原惡意攻擊入侵的全過程
文章URL：http://vcdvsql.cn/news11/100761.html

成都網站建設公司_創新互聯，為您提供品牌網站設計、自適應網站、移動網站建設、網站改版、域名注冊、微信小程序

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯