第一部分 基礎篇
第1章 實用調查策略 2
1.1 真實的案例 2
1.1.1 醫院裏被盜的筆記本電腦 3
1.1.2 發現公司的網絡被用於傳播盜版 5
1.1.3 被黑的政府服務器 6
1.2 足跡 7
1.3 電子證據的概念 8
1.3.1 實物證據 9
1.3.2 最佳證據 9
1.3.3 直接證據 10
1.3.4 情況證據 11
1.3.5 傳聞證據 11
1.3.6 經營記錄 12
1.3.7 電子證據 13
1.3.8 基於網絡的電子證據 14
1.4 關於網絡證據相關的挑戰 14
1.5 網絡取證調查方法(OSCAR) 15
1.5.1 獲取信息 15
1.5.2 製訂方案 16
1.5.3 收集證據 17
1.5.4 分析 18
1.5.5 齣具報告 19
1.6 小結 19
第2章 技術基礎 21
2.1 基於網絡的證據來源 21
2.1.1 物理綫纜 22
2.1.2 無綫網絡空口 22
2.1.3 交換機 23
2.1.4 路由器 23
2.1.5 DHCP服務器 24
2.1.6 域名服務器 24
2.1.7 登錄認證服務器 25
2.1.8 網絡入侵檢測/防禦係統 25
2.1.9 防火牆 25
2.1.10 Web代理 26
2.1.11 應用服務器 27
2.1.12 中央日誌服務器 27
2.2 互聯網的工作原理 27
2.2.1 協議 28
2.2.2 開放係統互連模型 29
2.2.3 例子:周遊世界……然後再迴來 30
2.3 互聯網協議組 32
2.3.1 互聯網協議組的早期曆史和開發過程 33
2.3.2 網際協議 34
2.3.3 傳輸控製協議 38
2.3.4 用戶數據報協議 40
2.4 小結 42
第3章 證據獲取 43
3.1 物理偵聽 43
3.1.1 綫纜 44
3.1.2 無綫電頻率 48
3.1.3 Hub 49
3.1.4 交換機 50
3.2 流量抓取軟件 52
3.2.1 libpcap和WinPcap 53
3.2.2 伯剋利包過濾(Berkeley Packet Filter,BPF)語言 53
3.2.3 tcpdump 57
3.2.4 Wireshark 61
3.2.5 tshark 62
3.2.6 dumpcap 62
3.3 主動式獲取 63
3.3.1 常用接口 63
3.3.2 沒有權限時咋辦 68
3.3.3 策略 68
3.4 小結 69
第二部分 數據流分析
第4章 數據包分析 72
4.1 協議分析 73
4.1.1 哪裏可以得到協議信息 73
4.1.2 協議分析工具 76
4.1.3 協議分析技巧 79
4.2 包分析 91
4.2.1 包分析工具 91
4.2.2 包分析技術 94
4.3 流分析 99
4.3.1 流分析工具 100
4.3.2 流分析技術 103
4.4 分析更高層的傳輸協議 113
4.4.1 一些常用的高層協議 114
4.4.2 高層協議分析工具 122
4.4.3 高層協議分析技術 124
4.5 結論 127
4.6 案例研究:Ann的約會 127
4.6.1 分析:協議概要 128
4.6.2 DHCP通信 128
4.6.3 關鍵詞搜索 130
4.6.4 SMTP分析——Wireshark 133
4.6.5 SMTP分析——TCPFlow 136
4.6.6 SMTP 分析——附件提取 137
4.6.7 查看附件 139
4.6.8 找到Ann的簡單方法 140
4.6.9 時間綫 145
4.6.10 案件的理論推導 145
4.6.11 挑戰賽問題的應答 146
4.6.12 下一步 148
第5章 流統計分析 149
5.1 處理過程概述 150
5.2 傳感器 151
5.2.1 傳感器類型 151
5.2.2 傳感器軟件 152
5.2.3 傳感器位置 153
5.2.4 修改環境 154
5.3 流記錄導齣協議 155
5.3.1 NetFlow 155
5.3.2 IPFIX 156
5.3.3 sFlow 156
5.4 收集和匯總 157
5.4.1 收集器的位置和架構 157
5.4.2 數據收集係統 158
5.5 分析 160
5.5.1 流記錄分析技術 160
5.5.2 流記錄分析工具 164
5.6 結論 169
5.7 案例研究:奇怪的X先生 169
5.7.1 分析:第一步 170
5.7.2 外部攻擊者和端口22的通信 171
5.7.3 DMZ中的受害者——10.30.30.20(也是172.30.1.231) 174
5.7.4 內部受害係統——192.30.1.101 178
5.7.5 時間綫 179
5.7.6 案件分析 180
5.7.7 迴應挑戰賽問題 180
5.7.8 下一步 181
第6章 無綫:無須網綫的取證 183
6.1 IEEE 第二層協議係列 184
6.1.1 為什麼那麼多第二層協議 185
6.1.2 802.11 協議族 186
6.1.3 802.1X 195
6.2 無綫接入點(WAP) 196
6.2.1 為什麼要調查無綫接入點 196
6.2.2 無綫接入點的類型 196
6.2.3 WAP證據 200
6.3 無綫數據捕獲及分析 201
6.3.1 頻譜分析 201
6.3.2 無綫被動證據收集 202
6.3.3 有效地分析802.11 203
6.4 常見攻擊類型 205
6.4.1 嗅探 205
6.4.2 未授權的無綫接入點 205
6.4.3 邪惡雙子 208
6.4.4 WEP破解 208
6.5 定位無綫設備 209
6.5.1 獲取設備描述 210
6.5.2 找齣附近的無綫接入點 210
6.5.3 信號強度 211
6.5.4 商業化企業級工具 213
6.5.5 Skyhook 214
6.6 總結 215
6.7 案例研究:HackMe公司 215
6.7.1 調查WAP 216
6.7.2 快速粗略的統計 221
6.7.3 對於管理幀的深層次觀察 226
6.7.4 一個可能的“嫌疑犯” 228
6.7.5 時間綫 229
6.7.6 案例總結 230
6.7.7 挑戰問題的應答 231
6.7.8 下一步 233
第7章 網絡入侵的偵測及分析 235
7.1 為什麼要調查NIDS/NIPS 236
7.2 NIDS/NIPS的典型功能 236
7.2.1 嗅探 236
7.2.2 高層協議辨識 237
7.2.3 可疑字節的報警 238
7.3 檢測的模式 239
7.3.1 基於特徵的分析 239
7.3.2 協議辨識 239
7.3.3 行為分析 239
7.4 NIDS/NIPS的種類 239
7.4.1 商業化NIDS/NIPS 239
7.4.2 自我定製 241
7.5 NIDS/NIPS的電子證據采集 241
7.5.1 電子證據類型 241
7.5.2 NIDS/NIPS界麵 243
7.6 綜閤性網絡封包日誌 244
7.7 Snort係統 245
7.7.1 基本結構 246
7.7.2 配置 246
7.7.3 Snort規則語言 247
7.7.4 例子 249
7.8 總結 251
7.9 教學案例:Inter0ptic拯救地球(第一部分) 252
7.9.1 分析:Snort 警報 253
7.9.2 初步數據包分析 254
7.9.3 Snort規則分析 255
7.9.4 從Snort抓包數據中提取可疑文件 257
7.9.5 “INFO Web Bug”警報 257
7.9.6 “Tcp Window Scale Option”警報 259
7.9.7 時間綫 261
7.9.8 案情推測 261
7.9.9 下一步 262
第三部分 網絡設備和服務器
第8章 事件日誌的聚閤、關聯和分析 266
8.1 日誌來源 267
8.1.1 操作係統日誌 267
8.1.2 應用日誌 275
8.1.3 物理設備日誌 277
8.1.4 網絡設備日誌 279
8.2 網絡日誌的體係結構 280
8.2.1 三種類型的日誌記錄架構 280
8.2.2 遠程日誌:常見問題及應對方法 282
8.2.3 日誌聚閤和分析工具 283
8.3 收集和分析證據 285
8.3.1 獲取信息 285
8.3.2 策略製定 286
8.3.3 收集證據 287
8.3.4 分析 289
8.3.5 報告 290
8.4 總結 290
8.5 案例:L0ne Sh4rk的報復 290
8.5.1 初步分析 291
8.5.2 可視化失敗的登錄嘗試 292
8.5.3 目標賬戶 294
8.5.4 成功登錄 295
8.5.5 攻陷後的活動 296
8.5.6 防火牆日誌 297
8.5.7 內部被害者——192.30.1.101 300
8.5.8 時間綫 301
8.5.9 案件結論 303
8.5.10 對挑戰問題的應答 303
8.5.11 下一步 304
第9章 交換機、路由器和防火牆 305
9.1 存儲介質 305
9.2 交換機 306
9.2.1 為什麼調查交換機 306
9.2.2 內容尋址內存錶 307
9.2.3 地址解析協議 307
9.2.4 交換機類型 308
9.2.5 交換機證據 309
9.3 路由器 310
9.3.1 為什麼調查路由器 310
9.3.2 路由器類型 310
9.3.3 路由器上的證據 312
9.4 防火牆 313
9.4.1 為什麼調查防火牆 313
9.4.2 防火牆類型 313
9.4.3 防火牆證據 315
9.5 接口 317
9.5.1 Web接口 317
9.5.2 控製颱命令行接口(CLI) 318
9.5.3 遠程控製颱 319
9.5.4 簡單網絡管理協議(SNMP) 319
9.5.5 私有接口 320
9.6 日誌 320
9.6.1 本地日誌 321
9.6.2 簡單網絡管理協議 322
9.6.3 syslog 322
9.6.4 身份驗證、授權和賬戶日誌 323
9.7 總結 323
9.8 案例研究:Ann的咖啡環 323
9.8.1 防火牆診斷命令 325
9.8.2 DHCP服務日誌 326
9.8.3 防火牆訪問控製列錶 327
9.8.4 防火牆日誌分析 327
9.8.5 時間綫 331
9.8.6 案例分析 332
9.8.7 挑戰問題的答復 333
9.8.8 下一步 334
第10章 Web代理 335
10.1 為什麼要調查Web代理 335
10.2 Web代理的功能 337
10.2.1 緩存 337
10.2.2 URI過濾 339
10.2.3 內容過濾 339
10.2.4 分布式緩存 339
10.3 證據 341
10.3.1 證據的類型 341
10.3.2 獲取證據 342
10.4 Squid 342
10.4.1 Squid的配置文件 343
10.4.2 Squid的Access日誌文件 343
10.4.3 Squid緩存 344
10.5 Web代理分析 346
10.5.1 Web代理日誌分析工具 347
10.5.2 例子:剖析一個Squid磁盤緩存 350
10.6 加密的Web流量 357
10.6.1 TLS(傳輸層安全) 358
10.6.2 訪問加密的內容 360
10.6.3 商用的TLS/SSL攔截工具 364
10.7 小結 364
10.8 教學案例:Inter0ptic拯救地球(之二) 365
10.8.1 分析:pwny.jpg 366
10.8.2 Squid緩存的網頁的提取 368
10.8.3 Squid的Access.log文件 371
10.8.4 進一步分析Squid緩存 373
10.8.5 時間綫 377
10.8.6 案情推測 379
10.8.7 迴答之前提齣的問題 380
10.8.8 下一步 381
第四部分 高級議題
第11章 網絡隧道 384
11.1 功能型隧道 384
11.1.1 背景知識:VLAN鏈路聚集 385
11.1.2 交換機間鏈路(Inter-Switch Link,ISL) 385
11.1.3 通用路由封裝(Generic Routing Encapsulation,GRE) 386
11.1.4 Teredo:IPv4網上的IPv6 386
11.1.5 對調查人員的意義 387
11.2 加密型隧道 387
11.2.1 IPsec 388
11.2.2 TLS和SSL 389
11.2.3 對取證人員的影響 390
11.3 隱蔽通信型隧道 391
11.3.1 策略 391
11.3.2 TCP序列號 391
11.3.3 DNS隧道 392
11.3.4 ICMP隧道 393
11.3.5 例子:分析ICMP隧道 395
11.3.6 對調查人員的影響 398
11.4 小結 399
11.5 案例教學:Ann的秘密隧道 400
11.5.1 分析:協議統計 401
11.5.2 DNS分析 402
11.5.3 追查隧道傳輸的IP包 405
11.5.4 對隧道傳輸的IP包的分析 409
11.5.5 對隧道傳輸的TCP報文段的分析 412
11.5.6 時間綫 414
11.5.7 案情推測 414
11.5.8 迴答之前提齣的問題 415
11.5.9 下一步 416
第12章 惡意軟件取證 418
12.1 惡意軟件進化的趨勢 419
12.1.1 僵屍網絡 419
12.1.2 加密和混淆 420
12.1.3 分布式命令和控製係統 422
12.1.4 自動自我升級 426
12.1.5 變化形態的網絡行為 428
12.1.6 混在網絡活動中 434
12.1.7 Fast-Flux DNS 436
12.1.8 高級持續威脅(Advanced Persistent Threat,APT) 437
12.2 惡意軟件的網絡行為 440
12.2.1 傳播 441
12.2.2 命令和控製通信 443
12.2.3 載荷的行為 446
12.3 未來的惡意軟件和網絡取證 446
12.4 教學案例:Ann的“極光行動” 447
12.4.1 分析:入侵檢測 447
12.4.2 TCP會話:10.10.10.10:4444–10.10.10.70:1036 449
12.4.3 TCP會話:10.10.10.10:4445 455
12.4.4 TCP會話:10.10.10.10:8080–10.10.10.70:1035 461
12.4.5 時間綫 466
12.4.6 案情推測 467
12.4.7 迴答之前提齣的問題 468
12.4.8 下一步 468
後記 470
· · · · · · (
收起)
