来源 :https://digital-forensics.sans.org/media/Poster_Network-Forensics_WEB.pdf
一、网络取证分类
网络取证是大多数现代数字取证、事件响应和威胁捕获工作的关键组成部分。无论是单独进行,还是作为传统取证任务的补充,网络数据都可以为在受威胁的环境中进行通信提供决定性的洞察力。
网络取证分析技术可用于连续事件响应/威胁捕获操作,也可用于传统的取证能力。
1、连续事件响应和威胁捕获:主动威胁识别
核心概念:
将新威胁情报应用于现有数据以发现未知事件
网络取证的用例:
威胁情报通常包含基于网络的指示器,如IP地址、域名、签名、url等等。当这些数据已知时,可以审查现有的数据存储,以确定是否有情报活动的迹象值得进一步调查。
2、事后的取证分析:反应性检测与响应
核心概念:
检查现有数据以更全面地了解已知事件
网络取证的用例:
攻击的几乎每个阶段都可能包括网络活动。了解攻击者在侦察、传输、渗透、安装、指挥和控制以及后渗透阶段的行为,可以为他们的行为、意图和能力提供深入和有价值的见解。
二、网络数据类型
1、全包捕获(pcap)
pcap文件包含在收集点看到的原始数据包数据。它们可以包含部分或完整的数据包数据。
好处
•通常被认为是网络数据收集的“圣杯”,这种数据源在通信结束后很长一段时间都有助于深入分析。
•无数的工具可以从pcap文件中读取和写入文件,为分析人员提供许多方法来检查它们并从中提取相关信息。
缺点
•这些文件可以长得非常大——每天可以从1Gbps链接中收集数十tb的pcap数据。这种规模经常使分析具有挑战性。
•法律约束常常限制源数据的可用性。当一个组织跨越法律管辖范围时,这种约束也很复杂。
•加密通信的使用越来越多,使得完整的包捕获对于低级分析的用处越来越小。
2、NetFlow和相关的基于流的集合
流记录包含在收集点看到的网络通信摘要。NetFlow不包含任何内容——只包含关于每个网络连接的元数据的汇总记录。无论单独用于确定通信是否发生,还是与其他数据源一起使用,NetFlow都可以非常有助于及时分析。
好处
•NetFlow和类似的记录由于缺少内容而需要更少的存储空间。这有助于更长期的记录保存。
•NetFlow的分析过程比全包捕获快得多。
•NetFlow运行查询比对应的pcap文件快100-1000x。
•在收集和存储Netflow时,通常很少涉及隐私问题。使用前应咨询当地法律权威。
•分析过程同样适用于所有协议——加密或明文、自定义或基于标准。
缺点
•没有内容,低级别的分析和发现可能是不可能的。
•许多收集平台是独特的,需要培训或许可证才能访问
3、日志文件
日志文件可能是网络和端点调查中使用最广泛的源数据。它们包含用于描述日志创建者处理或观察的活动的应用程序或以平台为中心的项目。
好处
•由于它们是为业务操作而收集和保留的,所以日志是广泛可用的,并且经常可以进行分析。
•可以聚合原始日志数据进行集中分析。许多组织以某种形式的SIEM或相关平台具有这种能力。
缺点
•日志数据以多种格式包含不同级别的详细信息,通常需要进行解析和充实,以添加上下文或额外数据以证实发现。
•如果日志数据还没有聚合,那么在开始分析之前,发现它可能需要花费大量的时间和精力。
三、SOF-ELK
SOF-ELK®是一个VM设备预配置,自定义安装Elastic Stack。它是专门为处理典型调查中不断增长的数据量而设计的,同时支持信息安全程序的威胁捕获和安全操作组件。SOF-ELK定制包括许多日志解析器、资源充实和相关配置,目的是使平台成为一种随时可用的分析工具。SOF-ELK平台是一个免费的开源工具,任何人都可以下载。配置文件在Github库中公开可用,该设备是为在该领域进行升级而设计的。最新的可下载设备详细信息在http://for572.com/sof-elk-readme
1、什么是“ELK”和“Elastic Stack”?
Elastic Stack由Elasticsearch搜索和分析引擎、Logstash数据收集和充实平台以及Kibana可视化层组成。它通常被称为“ELK”,以这三种元素命名。
更广泛的Elastic Stack包括其他组件,例如日志传输软件的Elastic Beats系列,以及各种安全和性能监控组件。
所有ELK组件和Beats日志传输软件都是免费的开源软件。Elastic Stack的其他一些组件是经过商业许可的。
2、引导和登录到SOF-ELK
SOF-ELK VM以就绪-启动模式分发。如果可用,您可能需要添加额外的CPU内核和RAM分配。VM的IP地址在引导后显示在pre-authentication屏幕上。远程shell访问(SSH)和web访问Kibana接口都需要这个IP地址。
用户名是“elk_user”,默认密码是“forensics”,“root”用户也具有相同的密码。“elk_user”和“root”帐户的密码应该在第一次引导时立即更改。
SSH服务器运行在默认端口22上。使用您喜欢的SSH/SCP/SFTP客户端软件访问这个。
Kibana接口在端口5601上运行。使用您首选的web浏览器访问它。
3、Lucene查询语法
Elastic Stack使用Apache Lucene查询语法搜索其数据。下面是一些基本语法,可以帮助您搜索加载到SOF-ELK的数据。
如欲了解更多信息,可在以下网页上提供在线教程:
http://for572.com/lucene
4、基本的搜索
最基本的搜索语法是“fieldname:value”,它将所有文档与设置为“value”的“fieldname”字段匹配。搜索可以用“-”字符作为前缀来否定,一些例子如下:
5、部分字符串搜索
“*”用作通配符。
6、数字和IP地址范围
“[”和“]”字符表示包含范围边界(即大于或等于,小于或等于),“{”和“}”字符表示排他范围边界(即大于或小于)。注意“TO”必须大写。
7、逻辑结构
多个搜索可以使用“AND”和“OR”组合,这也必须大写。
8、加载数据到SOF-ELK
SOF-ELK可以摄取几种数据格式,包括:
•Syslog(支持许多不同的日志类型)
•HTTP服务器访问日志
•NetFlow
•Bro日志
更多的源代码正在测试中,并被添加到平台中,可以通过Github存储库激活。有关如何做到这一点的详细信息,请参阅“使用Git进行更新”部分。
所有源数据都可以从现有文件(DFIR模型)和活动源(安全操作模型)加载。
9、DFIR Model
将源数据放在SOF-ELK VM文件系统的适当位置:
由于syslog条目通常不包含年份,因此可以在此位置创建每年的子目录—例如
支持通用的、组合的和相关的格式
来自passivedns实用程序的原始日志
来自nfcapd收集的数据存储的NetFlow:
使用nfdump2sof-elk.sh脚本创建兼容的ASCII格式数据(该脚本包含在SOF-ELK VN中并且可从Github获取)
支持多种不同类型的日志类型,基于默认的BroNSM文件名。
10、安全操作模式
打开必要的防火墙端口,以允许您首选的基于网络的摄取发生。
配置日志传输软件或源,将数据发送到上述端口。
11、清除和重新解析数据
从SOF-ELK的Elasticsearch索引中删除数据,以及迫使平台在文件系统上重新解析源数据,这两项操作都是通过shell脚本自动完成的。删除是通过索引完成的,并且允许删除单个源文件。需要索引名称。获得当前加载的索引列表:
12、用Git更新
SOF-ELK VM使用包含所有配置文件的基于github的存储库的克隆。这允许用户更新操作安装的配置文件,而不需要下载VM本身的新副本。在更新可操作的SOF-ELK平台之前,一定要检查当前的Github存储库中是否有任何注释或特殊说明。
要更新VM,请确保它具有Internet连接,并运行以下命令:
13、SOF-ELK仪表板
提供了几个Kibana仪表板,每个仪表板都是为满足基本分析需求而设计的。使用端口5601上的SOF-ELK VM的IP地址在web浏览器中打开Kibana接口。
下列指示板包括:
其他仪表板将通过Github存储库分发。(请参阅“使用Git进行更新”部分。)
Kibana仪表板允许分析师与潜在Elasticsearch引擎中包含的数据进行交互和探索。有几个特性提供了一定程度的交互性,允许对大量数据进行动态分析。
(1)查询数据
每个仪表板的顶部允许用户输入Lucene查询,详细信息见“Lucene查询语法”部分。Elasticsearch确定文档匹配的程度,包括一个“_score”字段,该字段指示每个文档匹配查询的程度
(2)过滤
过滤器也可以应用在Kibana接口中。这些与查询类似,但都是没有“_score”字段的二进制匹配/非匹配搜索。Elasticsearch缓存常用的过滤器以优化其性能。Kibana将过滤器显示为在查询字段下面的气泡。绿色气泡表示正匹配过滤器,红色气泡表示负匹配过滤器。
过滤器可以通过在过滤器气泡上方悬停后出现的菜单进行修改。
从左到右,这些选项是:切换过滤器的开关,针过滤器到所有仪表板,否定过滤器,删除过滤器,和手动编辑过滤器。
(3)文档的扩张
当指示板包含文档列表面板时,可以通过单击左侧的三角形图标展开每个文档
这将显示文档的所有字段。
(4)交互过滤器生成
记录详细信息中显示的每个字段都可以用放大镜图标交互式地构建到过滤器中。正号产生一个正滤波器,负号产生一个负滤波器。表图标将字段添加到文档列表面板
四、网络源数据收集平台
1、交换机
端口镜像是一个“software tap”,它复制从指定的交换机端口发送到另一个交换机端口的数据包。这有时被称为“SPAN port”。然后,镜像流量可以被发送到执行收集或分析的平台,例如全包捕获或NetFlow探测。
好处
•激活端口镜像通常只需要更改配置,通常可以避免停机。
•典型网络拓扑的所有级别上都有交换机,最大限度地提高了捕获/观察平台放置的灵活性。
缺点
•在高流量网络中,由于带宽限制在半双工速度,数据丢失是可能的。
2、路由器
路由器通常提供NetFlow导出功能,使用适当的收集器支持基于流的可见性。
好处
•基础设施已经就位,同样只需要进行配置修改,几乎不需要停机。
•许多组织已经从他们的路由基础设施收集网络流,所以添加一个额外的出口点通常是一个简单的过程。
缺点
•路由器通常不提供执行全包捕获的能力。
3、层2-7设备
任何控制或管辖网络链路的平台都可以提供关于通过或经过它的通信的有价值的日志数据。这些设备可能是网络基础设施设备,如交换机、路由器、防火墙,以及各种各样的第7层设备,如web代理、负载均衡器、DHCP和DNS服务器等等。端点还可以配置为生成完整的包捕获数据或导出NetFlow。
优点
•同一事件的多个视角可以产生关于事件的多个有用数据点。
缺点
•日志数据的内容可能包含多种格式和不同级别的详细信息。这可能需要大量的解析和分析来确定有用的细节。
•创建日志的平台通常分散在企业中——逻辑上和物理上。这需要健全的日志聚合计划和平台,或者需要大量手工工作。
4、Tap
网络tap是一种硬件设备,它提供重复的数据包数据流,可以发送到与之相连的捕捉或观察平台上。“aggregating”tap将网络流量的两个方向合并到单个端口上的单个数据流,而其它的则为重复数据流提供两个端口-每个方向上一个。“regenerating”tap为多个物理端口提供重复的数据流,允许连接多个捕获或监视平台。
优点
•专为复制流量而设计的——真正的网络流量捕获的最佳案例。
•为性能和可靠性而设计。即使没有电力,大多数监听器仍将继续通过受监控的通信,尽管它们不会提供重复的数据流。
缺点
•可能会很贵,尤其是在更高的网速和更高端的功能上。
•除非在感兴趣的地方已经安装了Tap,否则通常需要停机才能安装。
五、基于网络的处理流程
虽然没有一个单独的工作流来详尽地执行网络取证分析,但最常见和最有益的任务通常可以归入以下类别。注意,这些类别通常不是迭代的。它们是能够适应对手行动的动态过程的组成部分。
1、接收和抽取(Ingest and Distill)
目标:为分析和导出数据做准备,以便更容易地促进分析工作流的其余部分
•根据本地程序记录源数据
•如果pcap文件可用,可以提取到其他数据源类型(NetFlow、Bro日志、无源DNS日志等)。
•考虑将源数据分割成基于时间的块,如果原始源覆盖了较长一段时间
•将源数据加载到SOF-ELK、Moloch等大型分析平台。
2、精简和过滤(Reduce and Filter)
目标:将大的输入数据量减少到更小的容量,允许使用更广泛的工具进行分析
•使用已知指标和数据点将源数据减少到更易于管理的数量
•初始指标和数据点可能包括IP地址、端口/协议、时间框架、卷计算、域名和主机名等。
•对于大型分析平台,构建过滤器,将可见数据减少到涉及已知指标的流量
3、分析和探索(Analyze and Explore)
目标:确定支持调查目标和假设的流量和工件
•在精简的数据集中,寻找关于可疑流量的知识
•这可能包括评估流量内容、上下文、异常、一致性——任何有助于澄清其与调查相关性的内容
•寻找任何可能表明流量被用于可疑目的的协议异常
•使用任何可用的环境基线来识别偏离正常流量行为的偏差
4、抽取指标和对象(Extract Indicators and Objects)
目标:查找有助于识别恶意活动的构件,包括字段值、字节序列、文件或其他对象
•当识别出其他工件时,维护这些数据点的持续收集,以便在调查期间和之后进一步使用
•这些可能包括来自网络流量内部的直接观察,或关于与通信相关的DNS活动性质的辅助观察,事件前后等等。
•提取文件和其他对象,如证书或有效负载,可以帮助提供IR过程的其他部分,如恶意软件反向工程和基于主机的活动搜索
5、范围和规模(Scope and Scale)
目标:在源数据中更广泛地搜索与已知指标匹配的行为
•在确定了定义感兴趣活动的有用构件之后,使用大型分析平台和工具扩展搜索
•识别显示可疑行为的其他端点,目标是在环境中充分考虑事件范围
•将适当的指标传递给安全操作,以实时识别可疑活动
6、建立基线(Establish Baselines)
目标:确定“正常”行为模式的参数,以帮助发现需要调查的异常
•确定典型的流量周期,top-talking主机,端口/协议,HTTP活动中GET与 POST比例。
•为多个周期构建所有基线——大多数度量标准为每天、每周、每月和每年的时间框架划分不同的周期
•考虑组织内部应该建立基线的级别——企业级的汇总通常与较低级别的汇总不同
六、提取完整的包捕获源数据
虽然全包捕获通常作为连续监视程序的组成部分或在事件响应动作期间的策略收集,但它通常太大而不能进行本机处理。相反,将pcap文件提取到其他格式以进行更实际的分析。这提供了两方面的优点——对提取的源数据进行快速分析,同时保留原始pcap文件,以便进行深入分析和提取。
1、Bro NSM日志文件
Bro网络安全监视平台生成大量日志文件,其中包含从源pcap数据中提取的有用工件。这些日志是文本格式的,但是通常需要“brol -cut”实用程序进行更精简的分析。注意,并不是所有的日志文件都会被创建——Bro只生成与它已经解析的源流量相关的日志文件。
这不是创建的所有日志的详尽列表,访问http://for572.com/bro-logs查看更多的日志。
(1)网络协议
cnn.log
•TCP/UDP/ICMP链接
•像NetFlow一样的网络流
dns.log
•DNS组件,包括请求和响应
•Bro格式的被动DNS日志
http.log
•HTTP组件,包括:URLs,User-Agent,Referrers,MIME类型和其它内容
rdp.log
•远程桌面协议组件
smtp.log
•SMTP组件(邮件发送和中转)
(2)文件元数据
files.log
•文件元数据包括:hash,MIME类型,观察到的所有文件的更多内容,通过任何协议传输的文件
x509.log
•用于SSL和TLS链接的证书元数据
(3)特别情况
signatures.log
•Bro直接进行搜索的内容签名相匹配的事件
•不是用于替换IDS,但是常常对于定向搜索很有用
weird.log
•Bro所未预见到的协议异常
•包括没有请求的DNS响应,TCP截断等事件
4、资产
known_hosts.log
•IP客户端地址列表,已经被观察到完成至少一次的握手链接
know_services.log
•服务器IP地址列表和端口,它们被观察到提供至少一次TCP握手链接,病包括协议
software.log
•被标识的运行在源数据内的软件列表
•通常从服务器banner或客户端字段HTTP User-Agent中抽取
5、PassiveDNS日志格式
轻量级的“passivedns”实用程序创建详细描述DNS查询和响应的文本记录。这种格式非常适合在多个协议之间搜索活动,因为大多数软件(好软件或坏软件)在启动网络连接之前都会发出DNS请求。这些日志也可以通过SIEM或日志聚合器(如SOF-ELK)轻松解析。
七、网络取证工具箱
工具是任何取证过程的重要组成部分,但它们本身不能解决问题或产生发现。分析人员必须了解可用的工具及其优缺点,然后评估原始源数据和手边的调查目标之间的最佳方法。这里详细介绍的工具远不是一个全面的列表,但代表了网络取证分析中经常使用的一组核心实用程序。更广泛的文档可以在工具的主页和在线文档中找到。
1、tcpdump:记录或者解析网络流量
tcpdump通常用于将实时网络流量转储到pcap文件中,tcpdump在网络取证中更常用来执行数据精简,方法是从现有的pcap文件中读取数据,应用过滤器,然后将精简的数据写入新的pcap文件。tcpdump使用BPF (Berkeley包过滤器)语言进行包选择。
2、editcap:修改捕获文件的内容
由于BPF仅限于评估包内容数据,因此需要一个不同的实用程序来过滤pcap元数据。这个命令将读取捕获文件,限制时间框架、文件大小和其他参数,然后将结果数据写入一个新的捕获文件,可以选择删除包数据。
3、Wireshark :深度的、协议敏感的包探索和分析
Wireshark可能是最广为人知的分组数据探索工具。它提供了广泛的协议覆盖和低级数据探测特性。它包括超过1500个协议解析器,提取超过140,000个不同的数据字段。为了可读性,Wireshark解析器经常将这些字段中的内容规范化。(例如,DNS主机名以FQDN的形式呈现,而不是出现在包中的文字字符串。)
4、tshark:命令行访问几乎所有Wireshark的特性
对于Wireshark的所有特性,从命令行访问它们的能力为分析师提供了可伸缩的能力。无论是在脚本中构建可重复的命令,循环几十个输入文件,还是直接在shell中执行分析,tshark都将Wireshark的所有特性打包在命令行实用程序中。
5、mergecap :合并两个或更多的pcap文件
当面对大量pcap文件时,将它们的一个子集合并到一个文件中以进行更精简的处理可能是有利的。这个实用程序将确保写入输出文件的数据包是按时间顺序编写的。
6、tcpxtract:为已知的页眉和页脚字节雕刻重新组装的TCP流,以尝试重新组装文件
这是TCP等效的最重要磁盘/内存雕刻实用程序。tcpxtract将重新组装每个TCP流,然后在流中搜索已知的开始/结束字节,将匹配的子流写到磁盘上。它不支持协议,因此不能确定文件名等元数据,也不能处理由非连续字节序列组成的协议内容。值得注意的是,tcpxtract不能解析SMB通信、加密的有效负载内容或分组编码的HTTP通信。解析压缩数据需要针对压缩字节的签名,而不是相应的明文。
7、grep:显示与指定正则表达式模式匹配的输入文本
使用非常灵活和古老的正则表达式从文件或通过STDIN管道搜索输入文本。显示匹配行,但输出可以是细粒度的,以满足特定的分析需求。
8、NetworkMiner :协议敏感的对象提取工具,用于将文件写入磁盘
9、broo -cut:从Bro日志中提取特定字段
Bro NSM根据需要创建记录观察到的网络流量的日志文件。这些是tab分隔值格式,但需要后处理才能提取感兴趣的字段。
10、capinfos :计算并显示输入pcap文件的高级汇总统计信息
11、ngrep:显示与指定正则表达式模式匹配的信息包的元数据和上下文
12、tcpflow:将输入数据包数据重新组装到TCP数据段
13、flowgrep.py :提取与指定正则表达式模式匹配的TCP流
14、nfdump:从磁盘上兼容nfcap的文件处理NetFlow数据
15、calamaris:从web代理服务器日志文件生成摘要报告
八、网络流量异常
了解任何环境中什么是“正常”是至关重要的,以便快速确定可能暗示可疑或恶意活动的异常事件。在网络协议领域,这可能是一个重大挑战。有无数种方法可以操纵网络流量,使其对攻击者有利,同时看起来仍然是正常的。在许多情况下,这些偏差仍然遵循承载协议的所有规则。这里给出的条件在识别异常时可能有用,但这不是一个详尽的列表。然而,这些条件和其他条件对于建立或促进基线计划或在调查期间提供健康轮廓的怀疑是有用的。
1、HTTPGET和POST的比例
How:HTTP代理日志,NSM日志,HTTP服务器日志
what:使用GET、POST或其他方法的观察到的HTTP请求的比例。
why:这个比率为HTTP流量建立了一个典型的活动概要。当它偏离正常基线太远时,它可能建议强制登录、SQL注入尝试、RAT病毒使用、服务器特性探测或其他可疑/恶意活动。
2、Top会话IP地址
how: Netflow
What:在容量和/或连接计数中,负责最大网络通信容量的主机列表。以每天/每周/每月/每年为基础计算,以考虑流量模式的周期性变化。
why:流量异常大的峰值可能暗示着数据泄露活动,而连接尝试的峰值可能暗示着C2活动。
3、HTTP User-Agent
how:HTTP代理日志,NSM日志,HTTP服务器日志
what:HTTP用户代理通常标识负责发出HTTP请求的软件。这对于分析在环境中运行的软件非常有用。
why:这是在环境中配置活动的一个非常宝贵的标识符。它可以分析使用哪些web浏览器标题、版本和扩展。最近,桌面和移动应用程序也使用独特的用户代理字符串。了解“正常”字符串的存在会导致异常值突出,这可能会突出可疑活动。但是,这是一个任意且可选的标头,因此要对那些暗示伪造的行为持怀疑态度——例如对给定IP地址的快速更改,观察到的用户代理字符串数量的显著增加,等等。
4、Top DNS域名请求
how:被动DNS日志,DNS服务器端查询日志,NSM日志
what:基于内部客户端请求活动的最常查询的二级域。每日滚动排名前1000位的域名可能是一个不错的起点,但这个数字应该根据本地需求进行调整。
why:一般来说,给定环境的行为不会在日常基础上发生巨大的变化。因此,任何一天查询的前500-700个域名与前一天查询的前1000个不应该有太大区别。(计数上的差异允许日常行为的自然涨落。)任何一个排名靠前的领域都可能暗示着一个需要关注的事件,比如新的网络钓鱼活动、C2领域或其他异常。
5、HTTP返回代码比率
how:HTTP代理日志,NSM日志,HTTP服务器日志
what:返回的代码是一个三位数的整数,它有助于指示服务器上响应请求的“发生了什么”。它们按数百个类别分组:100s=信息,200s=成功,300s=重定向,400s=客户端错误,500s=服务器端错误。
why:了解事务的服务器端发生了什么对描述HTTP活动非常有用。400系列代码的峰值可能表示侦察或扫描活动,而500系列代码的异常高可能表示登录失败或SQL注入尝试失败。与其他观察结果一样,了解这些值的典型观测比率有助于识别需要进一步研究的异常趋势。
6、新近观察到/新注册域名
how:被动DNS日志,DNS服务器端查询日志,NSM日志
what:根据历史域查询日志,或者根据域的WHOIS“已注册日期”,任何以前从未在环境中查询过的域。
why:第一次在给定的环境中查询域可能意味着一个新的或高度集中的目标操作。全新的域通常与恶意活动相关联,因为攻击者通常需要动态的基础结构来进行操作。
7、外部基础设施使用的尝试
how:NetFlow,防火墙日志,NSM日志
what:尽管最佳实践是默认地限制出站通信,并例外地批准必要的服务和连接,但通常情况并非如此——出站方向上的边界仍然漏洞百出。即使在适当限制的环境中,这些尝试也应该创建失败连接尝试的构件。
why:通过识别试图使用或成功使用外部服务的内部客户端,可以快速收集显示异常行为的端点列表。这些可能包括到外部DNS服务器而不是内部解析器的连接、试图绕过代理服务器的HTTP连接、到VPN提供者的连接、到不常见端口的原始套接字连接等等。
8、典型的端口和协议使用
how:NetFlow
What:在容量和/或连接计数方面,占最多通信的端口和相应协议的列表。以日/周/月/年为基础计算,以考虑流量模式的周期性变化。
why:与跟踪顶级会话IP地址的目的类似,了解典型的端口和协议使用情况可以快速识别异常,这些异常应该进一步探究潜在的可疑活动。
9、DNS TTL值和RR计数
how:被动DNS日志,NSM日志
What:TTL指缓存DNS服务器应该保留给定记录的秒数。在RR count字段中记录了给定DNS包中资源记录的数量。
why:非常短的TTLs可能意味着快速流量DNS或潜在的隧道行为。高RR计数可能表示与快通量或类似弹性体系结构相关的大规模负载平衡。虽然这些行为可能暗示着可疑的行为,但它们也经常出现在良性网络活动中,例如内容交付网络、基于dn的循环负载平衡和类似的体系结构中。
10、自治系统通信
how:NetFlow, NSM日志
What:自治系统编号(ASNs)是分配给网络块所有者(如isp、数据中心和其他服务提供者)的数字“句柄”。这可能意味着互联网“社区”的特征,网络流量的基础不仅仅是IP地址或CIDR块。
why:某些ASNs通常比其他的更明显地与恶意活动联系在一起。声誉数据库在确定这些方面很有用。即使没有智能覆盖,识别与环境中系统通信的ASNs是一个有用的基准度量,可以轻松地识别需要进一步关注的特殊ASNs通信。
11、周期性的流量指标
how:NetFlow
What:维护每天、每周、每月以及类似基础上的流量指标。
why:这些将识别规范的流量模式,使偏差更容易发现和调查。在夜间或周末期间(通常很少或根本没有交通流量时)突然出现交通高峰或连接中断,这显然是一种反常现象。
九、Moloch
Moloch是一个全包摄取和索引平台。它读取现有pcap文件的实时网络数据流,然后从已知协议字段中提取数据,存储在Elasticsearch后端。Moloch调用这些字段会话协议信息或SPI数据。Moloch使用以会话为中心的视图,将通信流的客户端和服务器源方向关联起来,以便于分析。Moloch将全包数据和SPI数据分开,允许不同的存储分配和保留策略。用户还可以以pcap格式导出一部分流量,这使得它成为网络取证工作流的一个有价值的添加,因为任何其他有能力的工具都可以用派生数据。