|
|
51CTO旗下网站
|
|
移动端

2.6 案例二:谁动了我的胶片(5)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例二:谁动了我的胶片。

作者:李晨光来源:机械工业出版社|2014-11-26 21:02

2.6 案例二:谁动了我的胶片(5)

疑难解析

1)由于在FTP 或SSH 日志文件中没有发现可疑的活动,调查人员在寻找服务器和被窃取视频文件的日志时,最初的调查大多集中在某些特定的日志文件上,而没有对所有的文件进行检查。

2)在局域网中跟踪一个捣乱的系统的确很繁琐。张坤的方法虽然花了大量时间,但仍是最好的办法。张坤在最初的调查中应该断开代理服务器外部接口的连接,这样可以防止黑客再次通过代理服务器“造访”。考虑到他们面临的处境和老板所给的指示,计划给黑客设一个“陷阱”也是有一定意义的。还有一个简单的解决方法是从网络上彻底断开这台服务器的物理连接,因为这台服务器并没有使用。如果要用这台服务器,应该配置合理的ACL(访问控制列表),拒绝来自因特网对内网的访问。

3)通过邮箱中发送的邮件信头信息分析。

囿于篇幅,本书仅选取信头信息中对证据认定起到重要作用的字段进行分析。首先指出的是信头信息是由发件人MUA(Mail User Agent)、发件人和收件人邮件服务器、中继邮件服务器在处理该邮件时逐个添加的,收件人的MUA 在最后收取邮件时一般不会添加信头信息。

第一个Received 字段:

  1. Received: from web15604.mail.cnb.yahoo.com ([ 202.165.102.5x ]) by SNT0 -MC3 -F14.Snt0.  
  2. hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);Sat,24 Sep 2010 08:17:50 -0700 

说明:

Received 字段是最重要的分析渠道,是邮件服务器自动记录的邮件在MTA(MessageTransfer Agent)上的痕迹,因此一般能够提供真实的邮件传输历史记录。即使在其他信头字段被伪造的情况下,通过对Received 字段信息的分析,也能发现伪造者的蛛丝马迹。

邮件的传递需要通过中继服务器中转,最后才抵达收件人服务器MTA。所以Received字段会多于两个。对取证来说,只用到两个,包括最上面的Received 字段,邮件的“最后一站”,即传送到收件人服务器的轨迹信息;以及最下面的Received 字段,邮件的“第一站”,即邮件从MUA 传送到发件人服务器的轨迹信息。

本字段表示该邮件是在服务器时间2010 年9 月24 日23:17:50,被web15604.mail.cnb.yahoo.com( 其IP 地址为202.165.102.5x ) 的邮件服务器传送到域名为SNT0-MC3-F14.Snt0.hotmail.com 的邮件服务器,使用的软件是Microsoft SMTPSVC(内部版本号为6.0.3790.4675)。

第二个Received 字段:

  1. Received: from [122.246.51.2x] by web15604.mail.cnb.yahoo.com viaHTTP;Sat,24 Sep 2010  
  2. 23:17:48 CST 

说明:

这个Received 字段,是邮件的“第一站”,可以用于证明邮件经编辑后发送到发件人服务器的事实,也是确定发件人身份最重要的一段信息。

本段信息表示该邮件是在服务器时间2010 年9 月24 日23:17:48 被一个IP 地址为122.246.51.2x 的MUA 工作站(该工作站未命名,故from 后的字段空白)通过网页(viaHTTP)传送到域名为web15604.mail.cnb.yahoo.com 的邮件服务器。

这个字段揭示了该邮件的真实发送时间为2010 年9 月24 日23:17:48,由于是通过WebMail 直接生成邮件发送,因此信息中没有邮件发送者使用的计算机名称(但有该终端使用的IP 地址,该地址通过登录中国互联网络信息中心CNNIC IP 地址注册信息查询系统查询,确认是中国电信某城市分公司使用的,电信分配的地址是动态IP 地址)。

请注意[122.246.51.2x]字节,方括号内的IP 地址不是邮件发送人提供给服务器的,而是由发件人服务器核查后取得的使用MUA 发送邮件的计算机的IP 地址,因此可以直接确定是发送邮件计算机的真实IP 地址。

4)可以通过FLUKE OptiView 综合网络分析仪或者使用Cisco Works 2000 网络管理平台查找到非法接入点。

5)拨号者的上网IP 地址就是他的互联网访问“身份证”。在十多年前,多数用户通过PSTN 或ISDN 方式PPP 接入,调查这类用户的地址可以根据自动号码识别ANI 技术获取用户的主叫电话号码,并通过RADIUS 服务器中存储的用户信息确定用户的接入来源;对于目前应用比较广泛的ADSL 宽带接入,用户接入来源的确认就没有那么直观了。主要问题是语音业务和数据业务是分离的,所以不能直接获得用户的电话号码,这时要获取用户的真实来源就要利用电信内部的认证/计费记录和用户信息/系统配置数据库才能查到有用信息。如图2-11 所示。

对于宽带用户使用PPPOE 方式网上犯罪行为,电信运营商需要配合公安局进行罪犯的身份追查,而在技术层面需要提供的信息,通常就是用户的精确定位信息,也就是说,通过用户的上网记录、上网IP 反查出用户上网的线路信息,然后进一步追踪到用户的身份。

下面举个例子。通常普通用户都是使用ADSL 接入电信或联通网络,当你开始拨号获取动态IP,ISP 会根据你的宽带ADSL 账号、密码随即在一个地址池中分配一个IP 地址,与此同时记录以下时间信息:2013 年2 月28 日18 时30 分29 秒,101023123383894(账号),IP:202.107.2.x,操作系统Windows 7,拨号电话12345678,当然实际记录信息比这个还要详细。在电信局查询注册电话号码就知道主人是谁。

预防措施

在这个案例中,张坤并没有意识到网络中存在这样一个代理服务器,这简直糟透了。如果你管理一个网络,最好对网络进行安全审计。前任IT 管理员留下的网络结构图中清楚地指明了代理服务器,但是因为服务器没有上线,所以没有引起张坤的注意。既然代理服务器并没有真正使用,所以应该及时与网络断开。

开放式代理服务器的最大问题是访问控制列表的不合适的配置。对于Squid 代理服务器来说,合适的设置应该是下面这样:

  1. acl mynetwork src 192.168.1.0/255.255.255.0  
  2. http_access allow mynetwork  
  3. http_access deny all 

在这个案例中,张坤采取了适当的补救方法。尽管在开始的时候他的方法有些不得当,但当他开始怀疑代理服务器的时候,他就从网络中断开了该服务器的物理连接。在服务器从物理上断开后,就可以开始细致的检查,而不用担心黑客会再次通过代理服务器入侵。同时张坤还应该考虑检查所有的日志文件,这样才可能全面评估这次入侵造成的损失。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Wicked Cool Java中文版

本书主要介绍由Sun微系统公司创建的Java编程语言。 除了核心内容外,Java还有许多免费的财富,即开放源代码的库。本书就是为了介绍这些库...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊