我是靠谱客的博主 发嗲睫毛膏,最近开发中收集的这篇文章主要介绍网络取证基础一,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

尽管无线网络中的数据传输是加密的,但是管理和控制帧一般是不加密的

 

交换机中含有一张CAM表(contentaddressable memory),其中存储的各个物理端口与各张网卡mac地址的对应关系

 

物理侦听:

同轴电缆(COAX):信息传输的传媒是单根铜芯,所以网络上的所有站点都必须通过竞争协议传输数据,并解析所有信号。同轴电缆的优点是铜芯能免遭电磁干扰

 

双绞线(twisted pair,tp)双绞线中含有多对铜线。将每一对铜线绞在一起,使得他们各自产生的电磁干扰相互抵消。一般部署在星型拓扑上。

 

用于截取光纤中的流量的工具有:内接式网络分路器(inline network tap)、刺穿式搭接器(vampire tap),感应线圈(inductuion coil)、光纤分光器(fiber optic tap)

 

Hub是将本地子网中所有站点连接到一起的第一层设备。在物理上,连接在Hub上的每台设备都能收到发往连在这个Hub上的其他各台设备的所有流量

 

交换机的每个端口都是她自己的冲突域(collision domain).CAM表的作用是使交换机能在端口对端口的基础上实行流量隔绝

 

要从交换机嗅探流量,可以对交换机实行泛洪攻击(flooding)--发送大量MAC地址不同的以太网包向CAM表注入虚假的信息,称为mac泛洪(mac flooding),一旦CAM表被填满,许多交换机在默认情况下进入应急模式,把目标地址不在CAM表里的所有流量转发到每一个端口上,另一种方法是ARP欺骗

 

伯克利包过滤(berkeley packet filter,BPF)语言(过滤语言)内置了一些基元(primitive)来指代一些常用的协议字段。可以检查位于指定偏移量上的字段(甚至可以是一个位bit)的值,BPF过滤器也可以由详尽的条件链和嵌套的逻辑“与”“或”操作组成

 

调查人员可以用来访问运行中的基于网络的设备的各种方法,包括:

Console接口,SSH(安全shell)、安全复制(scp)、和SFTP、telnet、snmp(常被用作传播和会聚网络管理信息,snmp用在两个方面:基于事件的查询和配置查询、snmp允许通过定义“管理信息库(MIB)对其进行扩展”),MIB是对管理信息数据库的基本描述

 

Snmp的基本操作有:

轮询 :GET GETNEXT GETBULK

中断:TRAP INFDRM

控制:SET

 

TFTP(udp69端口)

 

策略:避免重启或关闭设备。尽量通过console接口而不是网络链接设备、记录系统时间、根据易失灭程度依次收集证据,记录你的调查过程

 

数据包详细标记语言(PDML)定义为使用XML格式表示2~7层内协议数据包详情的标准。数据包摘要标记语言(PSML)用于表示协议中最重要的细节

 

DNS是一个查询-响应协议。DNS协议定义了查询及响应数据包的结构,其中的一些字段能够保存任意数据,因此可以用来作为双向隐蔽通道的基础

 

Tcp流量封装在一个ip包中,然后穿过基于UDP协议的dns隧道传输

 

通过tcp协议路由传输dns数据也是可行的,这通常发生在服务器回复的数据太大不适用单独一个Udp数据包传输的时候,超大dns回复数据包通常是对axfr记录请求的回复,同时也被称作“zone transfer”请求

 

流记录:

关于流的一个信息子集一条流记录通常包括源和目的ip、源和目的端口(如果有的话)、协议、日期、时间、以及每个流传输的数据大小

 

流记录处理系统:

传感器:用于监听指定网段的数据流,从中提取的关键的流信息保存为流记录

收集器:一个或多个被配置成监听流记录数据并将器保存至硬盘的服务器

聚集器:当使用了多个收集器时,通常将收集到的数据汇总到一个中心节点服务器进行分析

分析

 

802.11定义了不同的数据帧类型:

管理帧:控制基础间的通信

控制帧:支持不同有效传输介质(如射频)之上的流量控制

数据帧:对无线网络设备之间通讯的三层协议以上的数据进行封装

 

管理帧(类型0)旨在协调无线局域网上的任意通信,从网络基础设施到单个设备发生的探测请求等。管理帧与类型中包括关联请求(Association requests)、关联应答(associationresponse)、探测帧(probes)、信标帧(becons)等

最后

以上就是发嗲睫毛膏为你收集整理的网络取证基础一的全部内容,希望文章能够帮你解决网络取证基础一所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(44)

评论列表共有 0 条评论

立即
投稿
返回
顶部