it-swarm-korea.com

네트워크 포렌식-도구 상자에있는 것

컴퓨터 포렌식에서 이 질문 와 유사한 맥락에서 인프라 및 네트워크 포렌식을위한 도구 상자에 어떤 도구가 있습니까? 일반적인 예로는 사고 후 또는 사고 의혹으로 전화를 받아 "우리가 침해 당했습니까? 공격자는 무엇을 했습니까? 어떻게했는지? 공격이 아직 진행 중입니까? "

조직에 로그가 있다고 가정합니다. 가장 가치있는 로그는 무엇입니까? 필수 도구로 어떤 것이 있습니까?

17
Rory Alsop

음, 처음 3 개의 질문에 대해서는 사무실에있는 기계에서 전체 시험을 수행 할 것입니다. 우리 네트워크의 여러 위치에서 방화벽과 흐름 수집기의 형태로 지속적인 네트워크 모니터링을 수행 할 수있어 운이 좋았습니다.

  1. Argus 의 흐름 레코드 (Net- 또는 J-flow와 유사)
  2. 방화벽 로그 ( '근처'호스트 및 하드웨어 방화벽 모두에서)
  3. tcpdump (가능한 경우 미러링 된 포트에서 캡처, 필요한 경우 허브/탭)
  4. Perl/grep/awk

마법의 대부분은 우리가 수년에 걸쳐 개발 한 Perl 스크립트와 Argus와 함께 제공되는 분석/집계 도구의 형태로 제공됩니다.

내가 조사한 대부분의 타협은 불법 영화/음악 등을 제공하거나 서비스 거부 공격을 수행하는 데 사용되고 있습니다. 두 경우 모두 흐름 레코드 또는 방화벽에서 감염을 추적하기 쉽습니다.

6
Scott Pack

이런 종류의 작업에 유용한 몇 가지 도구가 있습니다.

사용 가능한 경우 패킷 캡처 분석

텍스트 로그 분석의 경우 grepRuby 의 조합에 의존하는 경향이 있습니다.

5
Rory McCune

다시 내 목록은 아니지만 이것은 내 도구 상자입니다. http://www.forensicswiki.org/wiki/Tools:Network_Forensics

추가로 무선 감지를위한 몇 가지 사항 (예 : 내부자)

5
iivel

저나 제 팀이 몇 차례 사용해야 만했던 도구를 떠 올릴 것 같았습니다. 서버가 손상되었다고 가정하고 (그리고 당신이 그것을 볼 수있는 컴퓨터 포렌식 툴킷 수중에 있음) 다음을 원합니다.

  • Wireshark
  • tcpdump
  • ngrep
  • grep/Perl 스크립트 (루비를 천천히 배우고 있지만)
  • netflows (Argus를 보면 더 나은 방법이라고 생각합니다)

서버의 초기 평가에 따라 전원을 끄거나 네트워크 연결을 끊거나 조사 네트워크로 떨어질 수 있습니다. 전력을 공급하는 경우 서버 주변의 인프라와 인터넷 경로를 검토하여 네트워크 내부의 타협과 경계를 통한 통신을 찾고 싶습니다. 세 번째 옵션의 경우 조사 네트워크의 라이브 로그를 모니터링하고 싶습니다. 어쨌든 네트워크 전체에서 손상 징후를 확인하고 싶습니다.

이 시점에서 SIEM 도구는 기업 전체에서 매우 효과적 일 수 있습니다. 조사가 진행됨에 따라 업데이트 될 수 있으므로 추가 손상을 제한하는 데 도움이됩니다.

그러나 대부분의 노력은 사실 이후에 올 것입니다. 로그를 다루는 대부분의 작업은 모두 grep 경로를 따라 진행되었습니다.

4
Rory Alsop