0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

【虹科分享】利用ProfiShark 构建便携式网络取证工具包

laraxu 来源:laraxu 作者:laraxu 2023-12-29 17:06 次阅读

文章速览:

为什么要使用便携式网络取证工具?

构建便携式网络取证套件

法证分析

ProfiShark 1G作为便携式分路器的优点


网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark 1G为核心的便携式网络取证工具包,以提高网络取证的效率和实效性。


一、为什么要使用便携式网络取证工具?
1、企业自身需求
网络取证和网络安全团队需要具备拦截网络流量和实时捕获数据包的能力,以防止威胁和实时攻击。企业组织需要根据其网络的规模和架构建立网络拦截和流量捕获机制。例如,拥有分布式数据中心的大型网络的公司必须部署多个捕获点,并将数据包送至中央数据包分析设备(网络分析仪),该设备能够以10 Gbps甚至高达100 Gbps的速度接收和分析数据。
2、企业面临的困境
然而,并非所有公司都在分布式架构中拥有多个数据中心。大多数中小型企业的整个IT基础设施都托管在一个站点上。这些公司大多没有能力投资网络安全分析产品。那这些中小型企业该如何改善企业网络安全呢?

答案是,便携式网络取证工具包。成本低得多,但仍能按需对网络的任何网段进行实时取证分析。

即使是大型多分支机构也不能否认它的实用性和好处。在网络攻击案例中,分支机构与总部断开连接,而本地IT团队希望对分支机构的内部网络进行取证分析。或者,如果由于内部连接问题,网络分析仪设备被隔离在数据中心内,该怎么办?在这种情况下,即使是大型企业,在很短得调查时间内,也会青睐便携式取证工具包。

二、构建便携式网络取证套件
接下来我们将介绍构建用于取证分析的便携式套件的三个基本工具。

1、一台笔记本电脑
首先需要一台笔记本电脑。
1)最低规格4GB内存、容量至少500GB的快速存储设备(SSD)、1Gbps网卡、USB 3.0端口和3小时的备用电池。

2)我们强烈推荐使用基于SSD(固态硬盘)的存储设备,因为它们比硬盘快得多,这种速度有利于正确捕获。开始对网络进行取证分析之前,首先需要在笔记本电脑上捕获和存储数据包。如果能在安全危机期间尽快存储和解析数据包,固态硬盘存储将为您带来显著的时间优势。硬盘的最大磁盘写入速度一般为 100 MB/s,相比之下,固态硬盘的磁盘写入速度要快得多,可达500MB/s(某些固态硬盘甚至更高)。

3)这台笔记本电脑不应该是IT团队日常使用的机器,因为这意味着上面安装了大量应用程序,注册表会发生重大变化,内存负荷也会增加,从而导致性能降低。相反,这台笔记本电脑应该是专用于特殊用途的特定机器,如取证分析或现场故障排除。下一节将解释对USB 3.0端口的要求。


2、数据包分析器
接下来,需要一个数据包分析器(也称为数据包嗅探器),它是一种可以记录、解析和分析通过网络的流量的工具(软件或硬件)。当数据在网络上流动时,数据包分析器接收捕获的数据包并解码数据包的原始数据,显示数据包中各个字段的值(例如 TCP 标头、会话详细信息等)。你可以根据相应的 RFC 规范分析这些值,以推断数据包在网络点之间传输期间是否存在任何异常行为。

3、便携式网络分路器
为了进行网络取证,需要有一个特定的数据包捕获设备,可以拦截并捕获实时流量中的数据包。在端口镜像(SPAN)和网络TAP两种捕获数据包的方法中,后者更可靠、更准确。TAP能够捕获线路上的数据包,保证100%实时捕获实时流量中的数据包。TAP被广泛用于安全应用程序,因为它们是非侵入式的,并且在网络上无法检测到,并且没有物理或逻辑地址。因此,取证团队可以以隐形模式执行他们的活动。

在当今可用的各种类型的TAP中,便携式TAP能够灵活地在现场携带并在任何位置立即部署,因而迅速普及开来。如何选择便携式TAP呢?必要的两个条件的是:一是功能足够强大,足以承担全部流量;二是便携容易部署。

三、法证分析
这里给大家补充一些关于法证分析的知识,你可以从几个基本步骤开始,进行取证分析。

1、检查活动时间
事件计时(即事件之间的时间)对于识别网络中是否存在恶意活动至关重要。在短时间内(例如几百毫秒甚至几秒)发生的事件表明这些事件是由机器人或恶意软件生成的。例如,在几毫秒内从同一源IP接收到针对单个网站的数十个DNS请求,或者在几毫秒内从多个源IP接
收到针对单个网站的多个DNS请求,这些示例表明这些请求可能是由自动化生成的。由机器人或恶意软件启动的脚本。

2、检查DNS流量
由于DNS是所有发送到 Internet 的请求的主要处理程序,因此应检查DNS服务器的流量活动。如果网络中存在流氓系统或网络蠕虫,并且有可能与Internet建立出站连接,那么你可以在DNS服务器上检测到其恶意活动。如果在短时间内(例如几百毫秒)看到来自同一源IP的连接请求数量异常高,那么这可能是恶意活动,可以深入挖掘数据包标头以进一步调查。如果你的DNS服务器受到大量请求的轰炸,它很可能受到DoS攻击。

3、检查中间人攻击
这是组织网络中最常见的攻击之一,中间人(MitM)攻击是攻击者试图通过充当网络中可信系统之一来渗透到网络中的攻击。使用过滤器选项,过滤所有数据包以仅查看ARP数据包。如果您看到大量ARP流量(广播和回复),那么这很可疑。因为在运行的网络中,所有受信任的系统通常在其缓存中都有MAC到IP的映射,所以您不应该看到一长串ARP消息。深入研究数据包标头中的源地址和目标地址,并进一步调查以查明是否正在发生MitM攻击。

4、检查DOS (DDOS)攻击
这也是最常见的攻击之一,可以在网络内部或从网络外部进行。DoS(拒绝服务)攻击的目的是消耗机器或网络的资源,最终导致实际用户无法使用。要快速识别是否发生DoS攻击,请在Wireshark中过滤查看TCP数据包。使用Wireshark上的选项查看数据包序列图,该图通过源系统和目标系统之间的箭头说明TCP连接流。如果您看到大量TCP/SYN数据包从单个源IP轰炸到目标服务器IP,并且服务器IP没有回复,或者只有SYN-ACK消息但没有来自源的ACK回复,那么您最有可能正在观看实际的DoS攻击。如果您看到一长串TCP/SYN请求从多个源IP轰炸到目标服务器P,则这是DDoS(分布式拒绝服务)攻击,其中多个流氓系统攻击目标服务器,并且更具致命性比DoS攻击。


四、ProfiShark 1G作为便携式分路器的优点
1、体积小巧,真正便携,不依赖于外部电源,可以再任何位置使用。
2、2个千兆位网络端口,可以完美地结合两个流量流,通过单个监控端口进行传输。
3、利用USB 3.0的强大功能,数据传输速度高达5 Gbps。通过USB 3.0链路轻松传输2 Gbps的聚合流量流。这意味着缓冲存储器不需要丢弃任何数据包,也不需要将数据包存储足够长的时间来影响它们的时序。因为它可以轻松连接到笔记本电脑的USB端口,即插即用的最佳部分。
4、ProfiShark 1G配备了自己的基于GUI的配置软件ProfiShark Manager,它与任何网络分析仪(WireShark、Omnipeek等)并行工作,并且与Windows和Linux平台兼容。
5、ProfiShark Manager允许直接在笔记本电脑上一键捕获流量,而无需特别需要网络分析仪来捕获流量。当您需要捕获远程网段上的流量并希望通过导出PCAP文件在笔记本电脑以外的另一台计算机上分析流量时,这尤其有用。GUI还有一个计数器部分,显示两个网络端口A和B的内部计数器。这显示了有效/无效数据包的数量、CRC错误、冲突和不同的数据包大小。这是一种无需打开网络分析仪即可查看每个端口接收的流量质量的快速方法。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据中心
    +关注

    关注

    16

    文章

    4668

    浏览量

    71938
  • 数据包
    +关注

    关注

    0

    文章

    251

    浏览量

    24359
  • 分路器
    +关注

    关注

    0

    文章

    19

    浏览量

    2071
收藏 人收藏

    评论

    相关推荐

    便携式万用表的优势

    的首要优势是其便携性。与传统的台式万用表相比,便携式万用表通常体积小巧、重量轻,可以轻松放入工具包或口袋中。这种设计使得用户可以在任何地点进行测量工作,无论是在实验室、工作现场还是户外环境。 2. 多功能性
    的头像 发表于 11-01 10:36 164次阅读

    便携式示波器的技术原理和应用场景

    、工业自动化等。在现场测试中,便携式示波器可以方便地对各种电信号进行实时监测和分析,帮助工程师快速定位问题和故障。 教学实验:便携式示波器也是电子工程、通信工程等专业的教学实验必备工具。通过便
    发表于 10-24 14:31

    采用德州仪器 (TI) 工具包进行模拟前端设计应用说明

    电子发烧友网站提供《采用德州仪器 (TI) 工具包进行模拟前端设计应用说明.pdf》资料免费下载
    发表于 09-09 11:21 0次下载
    采用德州仪器 (TI) <b class='flag-5'>工具包</b>进行模拟前端设计应用说明

    工业自动化领域解决方案 利用Profishark工具捕获EtherCAT报文

    ProfiShark是一款高性能的报文捕获工具,专为工业网络设计,特别适用于EtherCAT报文的捕获与分析。通过高分辨率时间戳、100%高保真流量捕获、TSN支持及PoE直通功能
    的头像 发表于 07-05 14:01 292次阅读
    工业自动化领域解决方案 <b class='flag-5'>利用</b><b class='flag-5'>Profishark</b><b class='flag-5'>工具</b>捕获EtherCAT报文

    激光除锈机便携式价格

    激光除锈机便携式是一种利用激光技术去除金属表面铁锈、油污、漆膜等杂质的高科技除锈设备。其紧凑轻便的设计使用户可以随时随地轻松地进行除锈操作。与传统的机械或化学除锈方法相比,激光除锈机便携式效率更高
    的头像 发表于 06-07 16:12 530次阅读
    激光除锈机<b class='flag-5'>便携式</b>价格

    iSpecField-NIR便携式地物光谱仪:多领域应用的高效工具

    性、高效性和精准的数据采集能力,成为野外遥感测量和科学研究的理想工具。本文将详细介绍iSpecField-NIR便携式地物光谱仪的产品特点、技术参数、主要优势、应用场景以及操作指南。 一、产品概述 1.
    的头像 发表于 06-05 11:24 303次阅读
    iSpecField-NIR<b class='flag-5'>便携式</b>地物光谱仪:多领域应用的高效<b class='flag-5'>工具</b>

    便携式手提设备设计方案:475-便携式手提RapidIO协议光纤发包测试仪

    便携式手提RapidIO 协议光纤发包仪,以RapidIO收发卡和X86主板为基础,构建便携式的手提设备。
    的头像 发表于 05-20 15:33 359次阅读
    <b class='flag-5'>便携式</b>手提设备设计方案:475-<b class='flag-5'>便携式</b>手提RapidIO协议光纤发包测试仪

    474-便携式手提万兆网络协议测试仪

    便携式手提万兆网络协议测试仪,以FPGA万兆卡和X86主板为基础,构建便携式的手提设备。
    的头像 发表于 05-16 09:39 347次阅读
    474-<b class='flag-5'>便携式</b>手提万兆<b class='flag-5'>网络</b>协议测试仪

    便携式手提测试设备设计方案471—便携式手提Camera Link 模拟源测试设备

    便携式手提CameraLink模拟源测试设备,以PCIe的Camera link 播出卡和X86主板为基础,构建便携式的手提设备。 便携式手提Camera Link 模拟源测试设备
    的头像 发表于 05-10 11:37 492次阅读
    <b class='flag-5'>便携式</b>手提测试设备设计方案471—<b class='flag-5'>便携式</b>手提Camera Link 模拟源测试设备

    TSN抓包工具解密:数据捕获,为什么选Profishark

    网络管理中,网络流量分析和故障排查是重要环节,如何高效精准地进行网络流量分析和故障排查?来看看利用ProfiShark数据
    的头像 发表于 04-29 08:04 524次阅读
    TSN抓包<b class='flag-5'>工具</b>解密:数据<b class='flag-5'>包</b>捕获,为什么选<b class='flag-5'>Profishark</b>?

    艾体宝干货 | TSN抓包工具解密:为什么选择使用 ProfiShark 进行数据捕获?

    时间敏感网络(TSN)技术正在成为工业控制和实时通信领域的关键技术,而ProfiShark作为一款高性能的数据捕获工具,提供了在TSN网络
    的头像 发表于 04-25 17:41 438次阅读
    艾体宝干货 | TSN抓包<b class='flag-5'>工具</b>解密:为什么选择使用 <b class='flag-5'>ProfiShark</b> 进行数据<b class='flag-5'>包</b>捕获?

    英飞凌携手Worksport利用氮化镓降低便携式发电站的重量和成本

    3月11日,英飞凌科技股份公司宣布与Worksport Ltd.(Nasdaq代码:WKSP;WKSPW)合作,共同利用氮化镓(GaN)降低便携式发电站的重量和成本。Worksport将在其便携式发电站转换器中使用英飞凌的GaN
    发表于 03-25 16:51 324次阅读
    英飞凌携手Worksport<b class='flag-5'>利用</b>氮化镓降低<b class='flag-5'>便携式</b>发电站的重量和成本

    QE for Motor V1.3.0:汽车开发辅助工具解决方案工具包

    电子发烧友网站提供《QE for Motor V1.3.0:汽车开发辅助工具解决方案工具包.pdf》资料免费下载
    发表于 02-19 10:44 0次下载
    QE for Motor V1.3.0:汽车开发辅助<b class='flag-5'>工具</b>解决方案<b class='flag-5'>工具包</b>

    利用ProfiShark 构建便携式网络取证工具包

    网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark1G为
    的头像 发表于 01-13 08:04 1533次阅读
    <b class='flag-5'>利用</b><b class='flag-5'>ProfiShark</b> <b class='flag-5'>构建</b><b class='flag-5'>便携式</b><b class='flag-5'>网络</b><b class='flag-5'>取证</b><b class='flag-5'>工具包</b>

    便携式三轴插拔力测试仪:工业精密测量革新工具

    便携式三轴插拔力测试仪:工业精密测量革新工具
    的头像 发表于 01-09 09:07 739次阅读
    <b class='flag-5'>便携式</b>三轴插拔力测试仪:工业精密测量革新<b class='flag-5'>工具</b>