网络犯罪侦察技术13
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
linying@ynu.edu.cn 10
14.2
计算机及网络攻击取证
计算机及网络攻击取证是指通过特定的软件 和工具,从计算机及网络系统中提取攻击的证据。 和工具,从计算机及网络系统中提取攻击的证据。 就计算机及网络攻击的总体状况来看,计算 就计算机及网络攻击的总体状况来看, 机及网络取证正处于发展的时期, 机及网络取证正处于发展的时期,其特点与变化 趋势表现为以下几个方面: 趋势表现为以下几个方面:
linying@ynu.edu.cn 12
根据取证时间的不同, 根据取证时间的不同,计算机及网络攻击取证主要 分为实时取证和事后取证两类。 取证的工具有很多, 分为实时取证和事后取证两类。 取证的工具有很多, 以下是常用实时取证类工具表: 以下是常用实时取证类工具表: • Netstat:显示当前受害机器的网络监听程序及网络连 : 接; • ARP:查看受害机器的地址解析缓存表; :查看受害机器的地址解析缓存表; • Who:显示系统在线用户信息; :显示系统在线用户信息; • Last:显示系统登陆用户信息; :显示系统登陆用户信息; • Ps:查看 :查看UNIX系统进程信息。 系统进程信息。 系统进程信息
linying@ynu.edu.cn
4
CSIR团队的主要职责是提供事故反应服务, 团队的主要职责是提供事故反应服务, 团队的主要职责是提供事故反应服务 除此之外, 除此之外,它们还可以利用自己的学识和经验 提供一些其他的服务: 提供一些其他的服务: 安全事件响应; 安全事件响应; 安全事件与软件安全缺陷分析研究; 安全事件与软件安全缺陷分析研究; 安全知识库开发与管理,包括漏洞知识、 安全知识库开发与管理,包括漏洞知识、入侵 检测; 检测; 发布安全信息,如系统缺陷公告; 发布安全信息,如系统缺陷公告; 教育与培训,包括安全管理及应急培训。 教育与培训,包括安全管理及应急培训。
linying@ynu.edu.cn
9
例如针对网络服务,事故响应评估调查表应关注:
是否运行有rlogin 或者 Remote Shell(rsh)? 是否运行有 ( )? 是否运行有rexec? 是否运行有 ? Finger 的端口是打开的吗? 的端口是打开的吗? 系统上是否运行有Sendmail 或者类似的东西?是哪一 或者类似的东西? 系统上是否运行有 个版本的? 个版本的? 是否运行有Trivial File Transfer Protocol(tftp)? 是否运行有 系统上是否有x 窗口系统?它在运行吗? 系统上是否有 窗口系统?它在运行吗? 是否运行有Unix-to-Unix Copy Program(uucp)? 是否运行有 ( )? 系统是否有一个hosts 文件? 文件? 系统是否有一个 系统是否使用了符号链接? 系统是否使用了符号链接? 系统是否有.rhosts或hosts.equiv文件? 文件? 系统是否有 或 文件 系统上是否运行着 System Logging Deemon (syslogd)? )?
linying@ynu.edu.cn 6
常见的安全事件类型有: 常见的安全事件类型有: 物理实体及环境类安全事件; 物理实体及环境类安全事件; 网络通信类安全事件; 网络通信类安全事件; 主机系统类安全事件; 主机系统类安全事件; 应用系统类安全事件。 应用系统类安全事件。
linying@ynu.edu.cn
linying@ynu.edu.cn 3
随着因特网规模的不断扩张, 随着因特网规模的不断扩张,一个安防组织已 经不能满足迅速扩大的安防需求了。 经不能满足迅速扩大的安防需求了。类似于 CERT的组织在世界各地涌现出来,企业也开始 的组织在世界各地涌现出来, 的组织在世界各地涌现出来 建立自己的计算机安防事故反应团队 (Computer Security Incident Response Team, 简称 简称CSIR 团队)。 团队)。
linying@ynu.edu.cn 13
linying@ynu.edu.cn 5
14.1.2 应急预案
应急预案是指在突发情况下, 应急预案是指在突发情况下,按事先设想 的安全事件类型及意外情形, 的安全事件类型及意外情形,制定处理安全事 件的工作步骤。 件的工作步骤。 应急预案的基本内容应该包括: 应急预案的基本内容应该包括: 执行应急预案有关人员的姓名、住址、 执行应急预案有关人员的姓名、住址、电话号 码以及有关职能部门的联系方法; 码以及有关职能部门的联系方法; 详细列出系统紧急情况的类型; 详细列出系统紧急情况的类型; 应急处理所要采取的具体步骤及操作顺序。 应急处理所要采取的具体步骤及操作顺序。
网络犯罪侦察技术
林英.信息安全 林英 信息安全
linying@ynu.edu.cn
1
第14章 计算机及网络攻击应急响应与取证
14.1 计算机及网络攻击应急响应 14.2 计算机及网络攻击取证
linying@ynu.edu.cn
2
Βιβλιοθήκη Baidu
14.1 计算机及网络攻击应急响应 14.1.1 什么是事故管理
事故响应概念是从1988年蠕虫席卷全球之后开 年蠕虫席卷全球之后开 事故响应概念是从 始出现的.莫里斯蠕虫通过因特网感染了 莫里斯蠕虫通过因特网感染了60000多 始出现的 莫里斯蠕虫通过因特网感染了 多 台系统。从这次事件中恢复之后, 台系统。从这次事件中恢复之后,人们逐步形成 了这样一种共识: 了这样一种共识:因特网需要一个值得信任的组 织来帮助大家应对安防事件。到了1988年的 月, 年的11月 织来帮助大家应对安防事件。到了 年的 CERT/CC(Computer Emergency Response ( Team Coordination Center,www.cert.org)组织 组织 在美国的卡内基梅隆大学成立了。 在美国的卡内基梅隆大学成立了。
linying@ynu.edu.cn
11
• • • • • • •
大容量的存储设备提取, 大容量的存储设备提取,特别是隐藏数据的提 取; 动态数据取证; 动态数据取证; 加密数据取证; 加密数据取证; 实时取证; 实时取证; 网络流量取证; 网络流量取证; 网络攻击取证; 网络攻击取证; 证据关联分析
7
14.1.3
应急事件处理流程
应急事件处理一般包括安全事件报警、 应急事件处理一般包括安全事件报警、安 全事件确认、启动应急预案、安全事故处理、 全事件确认、启动应急预案、安全事故处理、 撰写安全事故报告、应急工作总结等步骤。 撰写安全事故报告、应急工作总结等步骤。
linying@ynu.edu.cn
8
14.1.4
事故响应评估调查表
事故响应计划( 事故响应计划(Incident Response Plan,IRP) , ) 和CIRS团队对企业和企业完整的安防体系具有重要的意 团队对企业和企业完整的安防体系具有重要的意 企业必须根据自己的实际情况制定出相应的IRP计 义;企业必须根据自己的实际情况制定出相应的 计 组建出自己的CIRS团队。但在着手做这些事情之前, 团队。 划,组建出自己的 团队 但在着手做这些事情之前, 企业必须先知道自己有哪些东西需要保护。企业必须有 企业必须先知道自己有哪些东西需要保护。 自己的评估调查表。评估调查表是围绕三个主题展开: 自己的评估调查表。评估调查表是围绕三个主题展开: • 详细列出企业的脆弱点; 详细列出企业的脆弱点; • 制定出事故响应计划和流程; 制定出事故响应计划和流程; • 明确了危机管理团队的权利。 明确了危机管理团队的权利。
14.2
计算机及网络攻击取证
计算机及网络攻击取证是指通过特定的软件 和工具,从计算机及网络系统中提取攻击的证据。 和工具,从计算机及网络系统中提取攻击的证据。 就计算机及网络攻击的总体状况来看,计算 就计算机及网络攻击的总体状况来看, 机及网络取证正处于发展的时期, 机及网络取证正处于发展的时期,其特点与变化 趋势表现为以下几个方面: 趋势表现为以下几个方面:
linying@ynu.edu.cn 12
根据取证时间的不同, 根据取证时间的不同,计算机及网络攻击取证主要 分为实时取证和事后取证两类。 取证的工具有很多, 分为实时取证和事后取证两类。 取证的工具有很多, 以下是常用实时取证类工具表: 以下是常用实时取证类工具表: • Netstat:显示当前受害机器的网络监听程序及网络连 : 接; • ARP:查看受害机器的地址解析缓存表; :查看受害机器的地址解析缓存表; • Who:显示系统在线用户信息; :显示系统在线用户信息; • Last:显示系统登陆用户信息; :显示系统登陆用户信息; • Ps:查看 :查看UNIX系统进程信息。 系统进程信息。 系统进程信息
linying@ynu.edu.cn
4
CSIR团队的主要职责是提供事故反应服务, 团队的主要职责是提供事故反应服务, 团队的主要职责是提供事故反应服务 除此之外, 除此之外,它们还可以利用自己的学识和经验 提供一些其他的服务: 提供一些其他的服务: 安全事件响应; 安全事件响应; 安全事件与软件安全缺陷分析研究; 安全事件与软件安全缺陷分析研究; 安全知识库开发与管理,包括漏洞知识、 安全知识库开发与管理,包括漏洞知识、入侵 检测; 检测; 发布安全信息,如系统缺陷公告; 发布安全信息,如系统缺陷公告; 教育与培训,包括安全管理及应急培训。 教育与培训,包括安全管理及应急培训。
linying@ynu.edu.cn
9
例如针对网络服务,事故响应评估调查表应关注:
是否运行有rlogin 或者 Remote Shell(rsh)? 是否运行有 ( )? 是否运行有rexec? 是否运行有 ? Finger 的端口是打开的吗? 的端口是打开的吗? 系统上是否运行有Sendmail 或者类似的东西?是哪一 或者类似的东西? 系统上是否运行有 个版本的? 个版本的? 是否运行有Trivial File Transfer Protocol(tftp)? 是否运行有 系统上是否有x 窗口系统?它在运行吗? 系统上是否有 窗口系统?它在运行吗? 是否运行有Unix-to-Unix Copy Program(uucp)? 是否运行有 ( )? 系统是否有一个hosts 文件? 文件? 系统是否有一个 系统是否使用了符号链接? 系统是否使用了符号链接? 系统是否有.rhosts或hosts.equiv文件? 文件? 系统是否有 或 文件 系统上是否运行着 System Logging Deemon (syslogd)? )?
linying@ynu.edu.cn 6
常见的安全事件类型有: 常见的安全事件类型有: 物理实体及环境类安全事件; 物理实体及环境类安全事件; 网络通信类安全事件; 网络通信类安全事件; 主机系统类安全事件; 主机系统类安全事件; 应用系统类安全事件。 应用系统类安全事件。
linying@ynu.edu.cn
linying@ynu.edu.cn 3
随着因特网规模的不断扩张, 随着因特网规模的不断扩张,一个安防组织已 经不能满足迅速扩大的安防需求了。 经不能满足迅速扩大的安防需求了。类似于 CERT的组织在世界各地涌现出来,企业也开始 的组织在世界各地涌现出来, 的组织在世界各地涌现出来 建立自己的计算机安防事故反应团队 (Computer Security Incident Response Team, 简称 简称CSIR 团队)。 团队)。
linying@ynu.edu.cn 13
linying@ynu.edu.cn 5
14.1.2 应急预案
应急预案是指在突发情况下, 应急预案是指在突发情况下,按事先设想 的安全事件类型及意外情形, 的安全事件类型及意外情形,制定处理安全事 件的工作步骤。 件的工作步骤。 应急预案的基本内容应该包括: 应急预案的基本内容应该包括: 执行应急预案有关人员的姓名、住址、 执行应急预案有关人员的姓名、住址、电话号 码以及有关职能部门的联系方法; 码以及有关职能部门的联系方法; 详细列出系统紧急情况的类型; 详细列出系统紧急情况的类型; 应急处理所要采取的具体步骤及操作顺序。 应急处理所要采取的具体步骤及操作顺序。
网络犯罪侦察技术
林英.信息安全 林英 信息安全
linying@ynu.edu.cn
1
第14章 计算机及网络攻击应急响应与取证
14.1 计算机及网络攻击应急响应 14.2 计算机及网络攻击取证
linying@ynu.edu.cn
2
Βιβλιοθήκη Baidu
14.1 计算机及网络攻击应急响应 14.1.1 什么是事故管理
事故响应概念是从1988年蠕虫席卷全球之后开 年蠕虫席卷全球之后开 事故响应概念是从 始出现的.莫里斯蠕虫通过因特网感染了 莫里斯蠕虫通过因特网感染了60000多 始出现的 莫里斯蠕虫通过因特网感染了 多 台系统。从这次事件中恢复之后, 台系统。从这次事件中恢复之后,人们逐步形成 了这样一种共识: 了这样一种共识:因特网需要一个值得信任的组 织来帮助大家应对安防事件。到了1988年的 月, 年的11月 织来帮助大家应对安防事件。到了 年的 CERT/CC(Computer Emergency Response ( Team Coordination Center,www.cert.org)组织 组织 在美国的卡内基梅隆大学成立了。 在美国的卡内基梅隆大学成立了。
linying@ynu.edu.cn
11
• • • • • • •
大容量的存储设备提取, 大容量的存储设备提取,特别是隐藏数据的提 取; 动态数据取证; 动态数据取证; 加密数据取证; 加密数据取证; 实时取证; 实时取证; 网络流量取证; 网络流量取证; 网络攻击取证; 网络攻击取证; 证据关联分析
7
14.1.3
应急事件处理流程
应急事件处理一般包括安全事件报警、 应急事件处理一般包括安全事件报警、安 全事件确认、启动应急预案、安全事故处理、 全事件确认、启动应急预案、安全事故处理、 撰写安全事故报告、应急工作总结等步骤。 撰写安全事故报告、应急工作总结等步骤。
linying@ynu.edu.cn
8
14.1.4
事故响应评估调查表
事故响应计划( 事故响应计划(Incident Response Plan,IRP) , ) 和CIRS团队对企业和企业完整的安防体系具有重要的意 团队对企业和企业完整的安防体系具有重要的意 企业必须根据自己的实际情况制定出相应的IRP计 义;企业必须根据自己的实际情况制定出相应的 计 组建出自己的CIRS团队。但在着手做这些事情之前, 团队。 划,组建出自己的 团队 但在着手做这些事情之前, 企业必须先知道自己有哪些东西需要保护。企业必须有 企业必须先知道自己有哪些东西需要保护。 自己的评估调查表。评估调查表是围绕三个主题展开: 自己的评估调查表。评估调查表是围绕三个主题展开: • 详细列出企业的脆弱点; 详细列出企业的脆弱点; • 制定出事故响应计划和流程; 制定出事故响应计划和流程; • 明确了危机管理团队的权利。 明确了危机管理团队的权利。