网络取证第四、九章实验

最新推荐文章于 2025-01-08 21:42:16 发布

Dreamer_jane

最新推荐文章于 2025-01-08 21:42:16 发布

阅读量1.4k

点赞数

分类专栏：密码学

本文链接：https://blog.csdn.net/Dreamer_jane/article/details/111245237

版权

密码学专栏收录该内容

2 篇文章

订阅专栏

网络取证

第四章案例

一、Ann的异常即时通信【TCP、UDP】

1.课本案例

利用封装协议中的信息
- 0X4500 IPV4协议数据包的开始
利用TCP/UDP端口号，与默认的标准服务相对应
分析源或目标服务器的功能（通过IP地址或主机名进行指定）
测试已知协议结构可能的信息

工具

1.手动挖掘传输文件

tcpxtract 通过文件特征提取及重组网络流中所负载的数据流与foremost相似
- tcpxtract -f 文件名 -o output_dir/【导出到指定的目录中】
tshark 快速查看数据包文件的会话统计信息
Bless工具的“cut”功能能够将文件从数据包中切出

2.oftcat解析

专门是为了分析某一种高层协议存在，小且精。准确高效地提取所传输地文件

3.多用途工具

如 NetworkMine，支持大部分协议。当希望获取多种信息或者所分析的内容涉及多个高层协议或没有目标时，推荐用这种。

二、Ann的约会（DHCP分析、SMTP分析）【Page154】

常用的高层协议

1.超文本传输协议（HTTP）

2.动态主机配置协议（DHCP）

MAC地址：高位3字节为制造商识别码OUI

DHCP：连接网络时会广播DHCP请求包，本地DHCP服务器对此进行单播恢复。DHCP服务器提供了一个DHCP租赁数据，IP地址、子关掩码、网关地址、DNS服务器地址以及IP地址的租赁时间。

3.简单邮件传输协议（SMTP）

1.课本案例

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m8xwatBB-1608080756592)

材料实验步骤：

（1）找出Ann的IP 地址

1.分析协议概要。打开捕获的数据包文件，进入统计->协议层次功能。
发现有DHCP协议。（备注：书上写的是bootstrap协议）

通过MAC地址来追查Ann做了什么：

（1）Bootstrap protocol协议主要用于传输DHCP请求和应大数据。通过它可轻易地将Mac地址关联到分配的IP地址以及其他网络配置信息中。

注意此处可能查看不到bootstrap协议，因为这个是属于旧版，现在合并成为DHCP协议，如上述的dynamic host configuration protocol

在过滤器中输入bootp，只查看DHCP包。同时在之前的证据中已经知道Ann的Mac地址为 00:21:70:4d:4f:ae，缩小数据查找范围。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cj1EvCOI-1608080756599)

点击查看DHCP包（可忽略）

查看request包里的信息，此时用户正在向DHCP服务器发送请求。点开hostname，也可看到里面写着Ann-laptop，里面验证了我们对Ann电脑mac地址的猜想。

点开其中的Dynamic Host Configuration Protocol查看响应的IP（Requested IP Address）

发现请求响应的地址为 192.168.30.108，可推测该地址为DHCP服务器的地址。

点击查看ACK包

得出一下信息：

Ann获得的IP 地址为192.168.30.108，子网掩码为255.255.255.0，DNS服务器为10.30.30.20。

（2）获取Ann的所有通话记录

工具：ngrep【在linux中进行安装使用】

[安装步骤](linux下安装和使用ngrep_钱从彬_新浪博客 (sina.com.cn))

或是使用 sudo apt install ngrep也可

1.查找有关Ann的所有通信记录

ngrep “Ann Dercover” -N -t -q -I evidence-packet-analysis.pcap

观察该日志主机的端口号（通过端口号来初步判断是使用了什么服务以此确定是通过什么进行通信）

2011/05/17 12:33:07 192.168.30.108:1684 -> 64.12.168.40:587

2011/05/17 12:33:08 192.168.30.108:1685 -> 64.12.168.40：587

2011/05/17 12:33:21 205.188.58.10:143 -> 192.168.30.108:1686

2011/05/17 12:34:16 192.168.30.108:1687 ->64.12.168.40:587

2011/05/17 12:34:18 192.168.30.108:1688 -> 205.188.50.10:143

…

查看端口看到有三个数据包是与TCP587端口进行通信。查资料可知，TCP587常用于SMTP的消息提交。另外四个数据包是与205.188.58.10的TCP143端口进行通信,查资料可知，143端口常用于IMAP协议，该协议与POP3一样，是用与电子邮件接收的协议。

经上述发现得知Ann通信主要通过邮件的形式。如今根据邮件的协议smtp来对Ann的通信进行分析

2.利用smtp来对协议内容进行分析【page160】

在wireshark中输入该命令，对数据包进行过滤。

ip.addr == 192.168.30.108 and smtp

发现邮件的内容暗示着Ann可能要拿着假护照去出境等。发现一个一连串的数据传输，有点可疑。点击追踪TCP流。

发现在传输过程中是以纯文本的形式进行传输。用户名以及密码仅仅进行了Base64编码。

找到登录部分，可得出Ann的账号名及密码。对此进行Base64解码。

解密得出：

账户名：sneakyg33ky

密码：s00pers3kr1t

3.分析邮件内容

观察到 Hi，sweatheart的那一封邮件，观察到后面有一连串的数据的运输，很可疑。

同时邮件有个附件，看样子，Ann约定好某个人带好假护照以及泳装去某个地方。我们需要对该邮件的附件进行分析。

看到附件为名为《secretrendezvous》的word文档，采用了base64编码。

4.提取附件

1、从“follow tcp stream”中点击fliter out this stream，选出该流所在的地方。另存为 b文件。运用010 Editor十六进制编辑器打开。对数据进行处理，去除头部跟尾部，仅保留附件的信息。保存为b.tar.gz。

在十六进制中，回车的值是“0X0D",换行符的值是”0X0A"。

2、使用fromdos工具，去除里面的换行符号

fromdos -b b.tar.gz

3、该附件采用了base64编码。对数据流进行解码。【千万不要忘记这一步，不然无法看到图片，只是一堆代码】

base64 -d b.tar.gz > secretrendezvous.docx

4、打开解码后保存的文件，发现里面附带了一张含有某个位置信息的图片，猜测Ann可能前往该地。

2.DHCP工作原理

（1）应用

在局域网中，用户电脑都需要IP地址才使用网络服务，但是客户并不都会配置IP地址，这时，可以在网络中部署一个DHCP服务器，用来给这些客户主机动态的分配IP。

所有DHCP的客户端，在向DHCP服务器租用到地址后，会在DHCP服务器端留下租用信息，网络管理员可以根据这些分配信息统一管理这些客户。

三、第九章（Ann的咖啡环）【】

1、DHCP服务日志分析

DHCP服务介绍：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QyfY3N43-1608080756626)

查看ACP表，发现该IP关联的MAC地址，再有Mac地址对应物理端口，对应到相关vlan。观察vlan分配到的网段。

查看关于该IP在dhcp上的租约分配服务，确定为其分配了该可疑的IP地址。

确认一下该MAC地址有没有分配过其他的IP地址及相应时间。

发现该mac地址只在DHCP文件中出现过一次时间为16:47.

查看DHCP日志开始的时间是在 16:02.

已确定该192.168.30.105是vlan"inside:的成员,而且连接在内部端口.

为什么确定是内部端口?

4、分析防火墙日志

1.查看firewall日志,发现其与本地DNS的UDP53端口通信了共有16次.

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fcCRFx2M-1608080756629)

2.查看防火墙文件,看看该IP地址究竟想要做什么?

看到该ip地址曾四次与 10.30.30.20的53端口进行通信.

在第五次中的通信被拦截了,参考设置的ACL查看什么行为会被允许,什么行为会被拦截.怀疑可能是他尝试进行NTP服务.

上网搜索 canonical.com,发现其应该是一个ubuntu linux主机.

继续往下查看firewall日志，发现在16：50的时候可疑系统192.168.30.105试图连接主机192.168.1.50上的22端口被拒绝。由于192.168.30.105处于192.168.30.0的网段，与我们的网段不同，因此被防火墙进行了拦截。

在这其后疑似发起了DNS服务攻击，在六秒后进行了关闭

遇到的问题

1.在Ubuntu安装bless时遇到问题。上网查找原因：系统太久而源太新。解决方法：强制安装缺少的依赖：apt install eog 参考博客

拓展

（2）SMB协议。传输过程中会有一些敏感信息，进行SMB过滤。

点开里面的接收方都是HewlettP_c2:e1:91(00:0b💿c2:e4:91)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EwGWukZE-1608080756636)(C:\Users\17913\AppData\Roaming\Typora\typora-user-images\image-20201205222354352.png)]

2.DHCP通信

3.关键词搜索

搜索已知犯罪嫌疑人的通信数据。可使用ngrep的工具来从数据包中搜索关键词。

4.关于邮件的SMTP分析

（1）跟踪TCP流

eog 参考博客

拓展

（2）SMB协议。传输过程中会有一些敏感信息，进行SMB过滤。

点开里面的接收方都是HewlettP_c2:e1:91(00:0b💿c2:e4:91)

[外链图片转存中…(img-EwGWukZE-1608080756636)]

2.DHCP通信

3.关键词搜索

搜索已知犯罪嫌疑人的通信数据。可使用ngrep的工具来从数据包中搜索关键词。