网络入侵取证分布式系统的设计与实现.docx

1、网络入侵取证分布式系统的设计与实现网络入侵取证布局设计By 黑海洋 （owasp 中国分会成员）引 言网络犯罪已成为全球性威胁计算机网络入侵取证是一门针对计算机网络入侵与犯罪进行证据获取、保存、分析和出示的计算机网络技术。目前，入侵取证的模式大致可分为两种，一种是在案发后，使用技术手段对相关计算机进行取证，主要是对被损坏的文件进行恢复和分析，同时，发现相关入侵信息；另一种，是取证机进行实时监测，对连接在网络中被保护终端的状态数据进行即时监测记录，类似与飞机上使用的黑匣子，一但发生入侵行为，便可通过对记录的数据进行分析，确定攻击源。本文研究网络入侵取证，在Win32平台下设计实现了由取证机及客户

2、端信息采集系统构成的分布式网络入侵取证系统，包括链路层以太帧的捕获子系统（从网络传输底层获取追踪、取证所必须的MAC地址，IP地址，通讯内容等详细信息），被取证机的数据采集子系统（检测核心机密文件是否被篡改，重要进程的运行情况等）等；文中对网络数据包捕获，取证系统自身保护，系统间通讯给出了多种设计方案，并做了比较和探讨。一、入侵取证的意义与现状在无法有效防范网络、计算机犯罪的情况下，有效的打击网络的非法入侵者显得十分重要，计算取证技术为我们提供了手段，通过获取电子证据，寻找罪犯并将其绳之于法。计算机取证是一门针对计算机入侵与犯罪进行证据获取、保存、分析和出示的计算机网络技术。目前，入侵取证的模

3、式大致可分为两种，一种是在案发后，使用技术手段度对相关计算机进行取证，主要是对损坏的文件进行恢复和分析，同时，发觉相关使用信息；另一种，是实时监测模式的取证机，它连接在网络中随时监测记录被保护终端的状态数据，类似与飞机上使用的黑匣子，一但发生入侵行为，便可通过对记录的数据进行分析，确定攻击源，依法打击入侵者。网络入侵已成为最主要的攻击手段，网络安全一直以来都是，网络应用进一步发展的核心问题。防火墙是传统入侵防范措施，在技术理论上，现代防火墙是一种先进而复杂的基于应用层的网关，经过仔细的配置，通常能够在内、外网之间提供安全的网络防护，降低网络被攻击的风险，但实践中发现，仅仅依靠防火墙是不够的，网

4、络入侵检测和取证系统正成为其有效的补充。有效的监测、记录网络的数据包，是发现入侵行为，取证的重要手段。黑客攻击的重点通常是重要文件，例如，对网站的攻击常常是以恶意窜改网页文件的方式进行的。因此，主动监视关键文件已获取篡改迹象是入侵取证的关键。目前，国际上的入侵监测技术也正出于起步和探索阶段，同时，计算机取证还需要与相关的法律相结合，但是现行与之相关的法律尚不完善。已开发的一些取证工具有：The Coroners Toolkit“取证剖析工具”可以用于被删除文件的恢复、.TASK针对文件系统取证的命令行工具集合等软件。二、分布式网络入侵取证系统网络入侵取证系统的核心是取证机，取证机实时的获取网络

5、数据和被取证机的各种重要信息并进行存储，并能对数据进行分析得出最终结论。取证机上应包含高性能网络监听部分用于获取网络数据源，监测网络中的全部活动；客户机信息采集部分接收、保存来自客户机信息收集器的各种信息；数据分析部分帮助网络管理员根据记录分析入侵行为。被取证机上包含信息收集器用于收集包括重要文件访问、篡改等重要的系统信息，并将其发回取证机。网络物理结构框架如图： 网络入侵取证系统的流程如下（适当加点文字说明）：三、网络入侵取证系统的设计及技术要点下面讨论网络入侵取证系统的原理，实现网络入侵取证系统中的主要模块。3.1网络数据采集实现网络监听技术可以有效捕获网络数据包是实现网络监测，入侵检测，

6、入侵取证的系统的基石。使用网络监听技术可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。3.1.1网络监听的基本原理以太网数据传输是通过广播实现的，将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，只要经过自己网络接口，主机都将接收。当网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包发向目的主机。TCP/IP协议中数据包从IP层交给数据链路层，而网络接口是不会识别IP地址的，因此

7、在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的MAC地址。当数据帧到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。常用的以太网卡支持以下工作模式：广播模式、多播模式、直接模式和混杂模式。网卡在设置为广播模式时，它将会接收所有目的地址为广播地址的数据包

8、，一般所有的网卡都会设置为这个模式。网卡在设置为多播模式时，当数据包的目的地址为多播地址，而且网卡地址是属于那个多播地址所代表的多播组时，网卡将接纳此数据包，即使一个网卡并不是一个多播组的成员，程序也可以将网卡设置为多播模式而接收那些多播的数据包。网卡在设置为直接模式时，只有当数据包的目的地址为网卡自己的地址时，网卡才接收它。网卡在设置为混杂模式时，它将接收所有经过的数据包，这个特性是编写网络监听程序的关键。3.1.2 用Libpcap软件包实现数据分组的捕获Libpcap（其Windows版本为Winpcap）是一种与系统无关，采用分组捕获机制的分组捕获函数库，用于访问数据链路层。Libca

9、p在不同的平台上采用统一的编程接口，使用libcap编写的程序可自由的跨平台使用。Windows并未提供内置的分组捕获机制，这一功能由应用系统提供，Winpcap使用BPF虚拟机（NPF）补充了这一机制。NPF在Windows 95/98/ME中以VXD文件的方式实现，在windows2000中以SYS文件的方式实现。由于Libpcap的平台无关性及其优异的性能，下面将论述基于Libpcap的高性能网络监听器的实现。3.1.3 Libpcap的体系结构Libcap接口支持基于BSD数据过滤器（BPF）的数据过滤机制。Winpcap是基于NPF机制的，NPF于BPF最大的不同在于采用的内核缓存的

10、形式不同。Libpcap是基于程序员的角度设计的，它帮助程序员实现了应用程序与操作系统内核的接口。Libpcap提供了一组强大而高效的函数来实现数据包的捕获，同时提供了用户数据缓存用于存储来自与内核的数据包，有效防止应用程序进入系统内核管理的存储区域，提高程序的健壮性。基于BSD的Libpcap结构Libpcap由二十多个C程序文件组成，按功能大致分为以下几个部分：1）打开，读取设备，设置过滤部分2）编译、优化、调试过滤部分3）脱机方式监听部分4）本地网络设置检测部分5）主控程序及版本部分3.1.4 Libpcap数据包捕获程序流程1.获取本地设备信息。通过函数pcap_lookupdev寻找

11、系统中可用的网络接口设备，返回一个表示网络适配器的字符串。2.打开设备开始监听会话通过函数pcap_open_live()建立监听会话。Pcap_t *pcap_open_live(char *device,int snaplen,int promisc,int to_ms,char *ebuf)其中：device为上一步中所提到的网络适配器的字符串，snaplen定义监听程序所捕获的最大字节数，promisc定义是否将网络适配器设置为混杂模式。to_ms定义读操作的时间。Ebuf函数调用失败时返回错误信息字符串。3.设置过滤条件编辑过滤字符串，设置过滤器，制定要捕获的主机、协议等，可以有效的

12、捕获指定类型的数据。通过函数pcap_compile将过滤字符串编译为二进制。常用的过滤字符串有“host 210.40.7.129”表示捕获主机210.40.7.129收发的数据帧，“tcp” 表示捕获协议类型为TCP的数据帧，“port 20” 表示捕获目的或源端口是20的数据帧等等，很多过滤字符串还能进行组合。由pcap_setfilter()函数进行内核过滤器的设置生效。 4.执行捕获循环 每捕获一个数据包后就调用用户的回调函数对数据包进行处理，以上功能可通过调用以下两个函数实现pcap_dispatch,pcap_loop,它们的功能基本相同，唯一的差别在于pcap_loop在读取超

13、时时不会返回。3.1.5 监听程序性能的调整在需提高监听程序性能时可做以下相应调整。1调整用户级缓存。通过修改pcap_open_live()函数的源代码并重新编译后来调整用户级缓存。2调整函数pcap_open_live()中的读操作等待时间值。通常出于效率可将该值设置的比较大；但当对响应时间要求比较高时，应将该值改小。3设置严格的过虑条件。4在基于WIN32平台，winpcap中还可以通过函数pcap_setbuff()来设置内核缓存，通常情况，要取得较好的性能应设置较大的内核缓存。3.1.6 数据帧的协议解析捕获后的数据帧经过解析才能得到我们想要的信息，如作为网络监听所需要的数据帧的源地

14、址，目的地址，协议类型等信息。解析的过程是将数据帧中的数据按不同协议进行分析提取。首先，要按照不同协议数据组织格式定义效应数据类型，下面根据以太网网数据帧的格式及TCP/IP协议栈定义相关数据类型。定义以太帧的头部数据类型：typedef struct UCHAR DestMac6; UCHAR SrcMac6; UCHAR Etype2;ETHHEADER;注意网络接口卡驱动程序会负责计算效验和，并取走帧中的前同步字符和效验字段。根据IP数据包的封装格式定义IP头部的相应数据类型：typedef struct UCHAR header_len:4; UCHAR version:4; UCHA

15、R tos:8; / type of service USHORT total_len:16; / length of the packet USHORT ident:16; / unique identifier USHORT flags:16; UCHAR ttl:8; UCHAR proto:8; / protocol ( IP , TCP, UDP etc) USHORT checksum:16; UCHAR sourceIP4; UCHAR destIP4;IPHEADER;可根据以上示例定其他协议的相应数据结构。3.1.7网络监听程序实例以下将通过作者利用Winpcap及MFC开发的网络入侵取证系统的网络数据包捕获部分，来进一步阐述利用libpcap开发网络监听程序的方法。以下仅分析程序的监听部分。1数据类型定义为了实现捕获数据的解析定义了相关数据类型：（在文件decode.h中定义）/定义协议类型名称char *Proto = Reserved, ICMP, IGMP, GGP, IP, ST, TCP, UCL, EGP, IGP, BBN-RCC-MON, NVP-II, PUP, ARGUS, EMCON