黑客大追蹤：網(wǎng)絡(luò)取證核心原理與實(shí)踐

第一部分  基礎(chǔ)篇
第1章  實(shí)用調(diào)查策略 2
1.1  真實(shí)的案例 2
1.1.1  醫(yī)院里被盜的筆記本電腦 3
1.1.2  發(fā)現(xiàn)公司的網(wǎng)絡(luò)被用于傳播盜版 5
1.1.3  被黑的政府服務(wù)器 6
1.2  足跡 7
1.3  電子證據(jù)的概念 8
1.3.1  實(shí)物證據(jù) 9
1.3.2  最佳證據(jù) 9
1.3.3  直接證據(jù) 10
1.3.4  情況證據(jù) 11
1.3.5  傳聞證據(jù) 11
1.3.6  經(jīng)營(yíng)記錄 12
1.3.7  電子證據(jù) 13
1.3.8  基于網(wǎng)絡(luò)的電子證據(jù) 14
1.4  關(guān)于網(wǎng)絡(luò)證據(jù)相關(guān)的挑戰(zhàn) 14
1.5  網(wǎng)絡(luò)取證調(diào)查方法（OSCAR） 15
1.5.1  獲取信息 15
1.5.2  制訂方案 16
1.5.3  收集證據(jù) 17
1.5.4  分析 18
1.5.5  出具報(bào)告 19
1.6  小結(jié) 19
第2章  技術(shù)基礎(chǔ) 21
2.1  基于網(wǎng)絡(luò)的證據(jù)來(lái)源 21
2.1.1  物理線纜 22
2.1.2  無(wú)線網(wǎng)絡(luò)空口 22
2.1.3  交換機(jī) 23
2.1.4  路由器 23
2.1.5  DHCP服務(wù)器 24
2.1.6  域名服務(wù)器 24
2.1.7  登錄認(rèn)證服務(wù)器 25
2.1.8  網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng) 25
2.1.9  防火墻 25
2.1.10  Web代理 26
2.1.11  應(yīng)用服務(wù)器 27
2.1.12  中央日志服務(wù)器 27
2.2  互聯(lián)網(wǎng)的工作原理 27
2.2.1  協(xié)議 28
2.2.2  開放系統(tǒng)互連模型 29
2.2.3  例子：周游世界……然后再回來(lái) 30
2.3  互聯(lián)網(wǎng)協(xié)議組 32
2.3.1  互聯(lián)網(wǎng)協(xié)議組的早期歷史和開發(fā)過(guò)程 33
2.3.2  網(wǎng)際協(xié)議 34
2.3.3  傳輸控制協(xié)議 38
2.3.4  用戶數(shù)據(jù)報(bào)協(xié)議 40
2.4  小結(jié) 42
第3章  證據(jù)獲取 43
3.1  物理偵聽(tīng) 43
3.1.1  線纜 44
3.1.2  無(wú)線電頻率 48
3.1.3  Hub 49
3.1.4  交換機(jī) 50
3.2  流量抓取軟件 52
3.2.1  libpcap和WinPcap 53
3.2.2  伯克利包過(guò)濾（Berkeley Packet Filter，BPF）語(yǔ)言 53
3.2.3  tcpdump 57
3.2.4  Wireshark 61
3.2.5  tshark 62
3.2.6  dumpcap 62
3.3  主動(dòng)式獲取 63
3.3.1  常用接口 63
3.3.2  沒(méi)有權(quán)限時(shí)咋辦 68
3.3.3  策略 68
3.4  小結(jié) 69
第二部分  數(shù)據(jù)流分析
第4章  數(shù)據(jù)包分析 72
4.1  協(xié)議分析 73
4.1.1  哪里可以得到協(xié)議信息 73
4.1.2  協(xié)議分析工具 76
4.1.3  協(xié)議分析技巧 79
4.2  包分析 91
4.2.1  包分析工具 91
4.2.2  包分析技術(shù) 94
4.3  流分析 99
4.3.1  流分析工具 100
4.3.2  流分析技術(shù) 103
4.4  分析更高層的傳輸協(xié)議 113
4.4.1  一些常用的高層協(xié)議 114
4.4.2  高層協(xié)議分析工具 122
4.4.3  高層協(xié)議分析技術(shù) 124
4.5  結(jié)論 127
4.6  案例研究：Ann的約會(huì) 127
4.6.1  分析：協(xié)議概要 128
4.6.2  DHCP通信 128
4.6.3  關(guān)鍵詞搜索 130
4.6.4  SMTP分析——Wireshark 133
4.6.5  SMTP分析——TCPFlow 136
4.6.6  SMTP 分析——附件提取 137
4.6.7  查看附件 139
4.6.8  找到Ann的簡(jiǎn)單方法 140
4.6.9  時(shí)間線 145
4.6.10  案件的理論推導(dǎo) 145
4.6.11  挑戰(zhàn)賽問(wèn)題的應(yīng)答 146
4.6.12  下一步 148
第5章  流統(tǒng)計(jì)分析 149
5.1  處理過(guò)程概述 150
5.2  傳感器 151
5.2.1  傳感器類型 151
5.2.2  傳感器軟件 152
5.2.3  傳感器位置 153
5.2.4  修改環(huán)境 154
5.3  流記錄導(dǎo)出協(xié)議 155
5.3.1  NetFlow 155
5.3.2  IPFIX 156
5.3.3  sFlow 156
5.4  收集和匯總 157
5.4.1  收集器的位置和架構(gòu) 157
5.4.2  數(shù)據(jù)收集系統(tǒng) 158
5.5  分析 160
5.5.1  流記錄分析技術(shù) 160
5.5.2  流記錄分析工具 164
5.6  結(jié)論 169
5.7  案例研究：奇怪的X先生 169
5.7.1  分析：第一步 170
5.7.2  外部攻擊者和端口22的通信 171
5.7.3  DMZ中的受害者——10.30.30.20（也是172.30.1.231） 174
5.7.4  內(nèi)部受害系統(tǒng)——192.30.1.101 178
5.7.5  時(shí)間線 179
5.7.6  案件分析 180
5.7.7  回應(yīng)挑戰(zhàn)賽問(wèn)題 180
5.7.8  下一步 181
第6章  無(wú)線：無(wú)須網(wǎng)線的取證 183
6.1  IEEE 第二層協(xié)議系列 184
6.1.1  為什么那么多第二層協(xié)議 185
6.1.2  802.11 協(xié)議族 186
6.1.3  802.1X 195
6.2  無(wú)線接入點(diǎn)（WAP） 196
6.2.1  為什么要調(diào)查無(wú)線接入點(diǎn) 196
6.2.2  無(wú)線接入點(diǎn)的類型 196
6.2.3  WAP證據(jù) 200
6.3  無(wú)線數(shù)據(jù)捕獲及分析 201
6.3.1  頻譜分析 201
6.3.2  無(wú)線被動(dòng)證據(jù)收集 202
6.3.3  有效地分析802.11 203
6.4  常見(jiàn)攻擊類型 205
6.4.1  嗅探 205
6.4.2  未授權(quán)的無(wú)線接入點(diǎn) 205
6.4.3  邪惡雙子 208
6.4.4  WEP破解 208
6.5  定位無(wú)線設(shè)備 209
6.5.1  獲取設(shè)備描述 210
6.5.2  找出附近的無(wú)線接入點(diǎn) 210
6.5.3  信號(hào)強(qiáng)度 211
6.5.4  商業(yè)化企業(yè)級(jí)工具 213
6.5.5  Skyhook 214
6.6  總結(jié) 215
6.7  案例研究：HackMe公司 215
6.7.1  調(diào)查WAP 216
6.7.2  快速粗略的統(tǒng)計(jì) 221
6.7.3  對(duì)于管理幀的深層次觀察 226
6.7.4  一個(gè)可能的“嫌疑犯” 228
6.7.5  時(shí)間線 229
6.7.6  案例總結(jié) 230
6.7.7  挑戰(zhàn)問(wèn)題的應(yīng)答 231
6.7.8  下一步 233
第7章  網(wǎng)絡(luò)入侵的偵測(cè)及分析 235
7.1  為什么要調(diào)查NIDS/NIPS 236
7.2  NIDS/NIPS的典型功能 236
7.2.1  嗅探 236
7.2.2  高層協(xié)議辨識(shí) 237
7.2.3  可疑字節(jié)的報(bào)警 238
7.3  檢測(cè)的模式 239
7.3.1  基于特征的分析 239
7.3.2  協(xié)議辨識(shí) 239
7.3.3  行為分析 239
7.4  NIDS/NIPS的種類 239
7.4.1  商業(yè)化NIDS/NIPS 239
7.4.2  自我定制 241
7.5  NIDS/NIPS的電子證據(jù)采集 241
7.5.1  電子證據(jù)類型 241
7.5.2  NIDS/NIPS界面 243
7.6  綜合性網(wǎng)絡(luò)封包日志 244
7.7  Snort系統(tǒng) 245
7.7.1  基本結(jié)構(gòu) 246
7.7.2  配置 246
7.7.3  Snort規(guī)則語(yǔ)言 247
7.7.4  例子 249
7.8  總結(jié) 251
7.9  教學(xué)案例：Inter0ptic拯救地球（第一部分） 252
7.9.1  分析：Snort 警報(bào) 253
7.9.2  初步數(shù)據(jù)包分析 254
7.9.3  Snort規(guī)則分析 255
7.9.4  從Snort抓包數(shù)據(jù)中提取可疑文件 257
7.9.5 “INFO Web Bug”警報(bào) 257
7.9.6 “Tcp Window Scale Option”警報(bào) 259
7.9.7  時(shí)間線 261
7.9.8  案情推測(cè) 261
7.9.9  下一步 262
第三部分  網(wǎng)絡(luò)設(shè)備和服務(wù)器
第8章  事件日志的聚合、關(guān)聯(lián)和分析 266
8.1  日志來(lái)源 267
8.1.1  操作系統(tǒng)日志 267
8.1.2  應(yīng)用日志 275
8.1.3  物理設(shè)備日志 277
8.1.4  網(wǎng)絡(luò)設(shè)備日志 279
8.2  網(wǎng)絡(luò)日志的體系結(jié)構(gòu) 280
8.2.1  三種類型的日志記錄架構(gòu) 280
8.2.2  遠(yuǎn)程日志：常見(jiàn)問(wèn)題及應(yīng)對(duì)方法 282
8.2.3  日志聚合和分析工具 283
8.3  收集和分析證據(jù) 285
8.3.1  獲取信息 285
8.3.2  策略制定 286
8.3.3  收集證據(jù) 287
8.3.4  分析 289
8.3.5  報(bào)告 290
8.4  總結(jié) 290
8.5  案例：L0ne Sh4rk的報(bào)復(fù) 290
8.5.1  初步分析 291
8.5.2  可視化失敗的登錄嘗試 292
8.5.3  目標(biāo)賬戶 294
8.5.4  成功登錄 295
8.5.5  攻陷后的活動(dòng) 296
8.5.6  防火墻日志 297
8.5.7  內(nèi)部被害者——192.30.1.101 300
8.5.8  時(shí)間線 301
8.5.9  案件結(jié)論 303
8.5.10  對(duì)挑戰(zhàn)問(wèn)題的應(yīng)答 303
8.5.11  下一步 304
第9章  交換機(jī)、路由器和防火墻 305
9.1  存儲(chǔ)介質(zhì) 305
9.2  交換機(jī) 306
9.2.1  為什么調(diào)查交換機(jī) 306
9.2.2  內(nèi)容尋址內(nèi)存表 307
9.