基于bro的计算机入侵取证实战分析
什么是计算机入侵取证
计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。
bro基本介绍
bro是一款被动的开源流量分析器。它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控。虽然经常与传统入侵检测/预防系统进行比较,但bro采用了完全不同的方法,为用户提供了一个灵活的框架,可以帮助定制,深入的监控远远超出传统系统的功能。
bro的目标在于搜寻攻击活动并提供其背景信息与使用模式。它能够将网络中的各设备整理为可视化图形、深入网络流量当中并检查网络数据包;它还提供一套更具通用性的流量分析平台。
我们通过一个实验来学习基于bro的计算机入侵取证分析的技术。
实验目标
本次实战的例子是pcap attack trace,通过分析流量包中的extract file和log文件得到攻击主机的IP
实验过程
安装bro工具
apt-get install bro bro-aux实验环境
配置bro
编辑 /etc/bro/site/local.bro,在文件尾部追加两行新配置代码
@load frameworks/files/extract-all-files # 提取所有文件@load mytuning.bro在/etc/bro/site/目录下创建新文件mytuning.bro, 添加:
原因:通常,Bro的事件引擎将丢弃没有有效校验和的数据包。如果想要在系统上分析本地生成/捕获流量,所有发送/捕获的数据包将具有不良的校验和,因为它们尚未由NIC计算,因此这些数据包将不会在Bro策略脚本中进行分析,所以要设置成忽略校验和验证。
下载pcap包(实验目标)
wget https://www.honeynet.org/files/attack-trace.pcap_.gz解压缩后使用bro自动分析pcap包
bro -r attack-trace.pcap_ /etc/bro/site/local.bro出现警告信息 WARNING:No Site::local_nets have been defined. It’s usually a good idea to define your local networks.对于本次入侵取证实验来说没有影响。
如果要解决上述警告信息,编辑mytuning.bro,增加一行变量定义:
redef Site::local_nets = { 192.150.11.0/24 };增加这行关于本地网络IP地址范围的定义对于本次实验来说会新增2个日志文件,会报告在当前流量(数据包文件)中发现了本地网络IP和该IP关联的已知服务信息
通过阅读/usr/share/bro/base/files/extract/main.bro的源代码 , 可以了解到该文件名的最右一个-右侧对应的字符串FHUsSu3rWdP07eRE4l是 files.log 中的文件唯一标识
查看files.log,可以得到,该文件提取自FTP会话,并得到该流量的conn_uids为CK4p013efE9TpisoXg
查看conn.log,找到id为CK4p013efE9TpisoXg的五元组信息,得到该PE文件来自于IPv4地址为98.114.205.102的主机
关于log文件显示的小技巧
bro-cut ts uid id.orig_h id.resp_h proto < conn.log
结语
通过这个实验可以展示出bro在计算机取证方面具有十分有效的作用。它可以通过pcap包来获取入侵者留下的痕迹。
但是它跟普通的网络流量包分析工具还是具有一定的区别的。
Bro | Snort | Wireshark& Tshark | |
|---|---|---|---|
优势 | 高级的 异常检测 | 正则表达式,签名 | 流量分析 |
关注数据 | 连接对象, 事件 | 数据包, 数据流 | 协议剖析 |
可编程性 | Bro DSL | 不 | 不 |
实时或重放 | 兼备 | 兼备 | Pcap重放 |
应用层 | 应用层 自动化, 数据动态分发 | 自动化, OpenAppID | 手动, 解析器 |
bro除了上述实验的功能,还提供了不少关键的高级特性,例如在事件生成引擎中实现应用层协议功能。在计算机取证分析中,可以高效地分析网络流量,从而找出入侵的痕迹,帮助管理者追究责任、减少损失。
bro是一个值得网络入侵检测系统开发者参考和借鉴的好工具,也是具有一定网管经验的用户定制攻击检测功能的选择。
参考
https://www.bro.org/documentation/faq.html#why-isn-t-bro-producing-the-logs-i-expect-a-note-about-checksums
https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/
https://www.bro.org/sphinx/script-reference/proto-analyzers.html?highlight=arp#bro-connsize