网络流量取证

在今天的世界中，网络是我们日常生活的一个基本组成部分，它使我们能够进行通信、获取信息并开展各种在线活动。然而，网络也是坏人攻击的主要目标，他们试图通过利用漏洞造成伤害。

在这个实验中，我们将从网络基础知识入手，包括IP地址、协议和端口，对这些元素如何协同工作以促进设备间的通信进行复习。

接下来，我们将进行网络流量的取证分析。我们将分析捕获的流量以寻找可疑或恶意活动，这将涉及查找流量模式中的异常，识别未经授权的访问尝试，并追踪任何攻击的来源。

基础网络知识复习

简而言之，网络是一组连接在一起以进行通信、共享信息、文件和资源的设备。这些设备需要具有IP地址、协议和端口才能相互通信，了解这些对于任何数字取证分析员至关重要，因为这些基础知识是调查网络上任何恶意活动的基本构建模块。

IP地址是分配给网络上每个设备的唯一标识符。它用于识别设备的位置并促进与其他设备的通信。IP地址的一个示例是“192.168.1.1”。

协议是指导网络上设备间通信的一组规则。一些常见的协议包括HTTP、SSH和FTP。

例如，当你浏览一个网站时，你的计算机会向web服务器发送一个HTTP请求，服务器会以包含你请求的网页的HTTP响应做出回应。

端口是用来标识设备上特定应用程序或服务的编号。当设备接收网络流量时，它使用端口号来确定流量所针对的应用程序或服务。

捕获网络流量
进行网络流量取证的先决条件是捕获网络流量。这可以通过使用网络数据包捕获或嗅探工具来实现，比如Wireshark或tcpdump。在本实验中，我们主要将使用Wireshark，因此请确保您已在计算机上安装了它。

要捕获实时网络流量，请执行以下步骤：

在Linux终端中输入wireshark，或在Windows的“开始”菜单中找到Wireshark并打开。
一旦打开，选择你想要捕获流量的网络接口。在大多数情况下，这是eth0。
点击窗口左上角的蓝色鲨鱼鳍图标，开始捕获流量。
在大多数情况下，您应该已经看到Wireshark上出现了数据包。如果没有，可以尝试通过浏览器访问某个网站（如https://www.google.com/）来生成一些流量。
要停止捕获流量，点击左上角的红色停止按钮。
要保存捕获的流量，转到文件→另存为，并选择一个名称和位置来保存捕获文件。

注意：默认情况下，文件扩展名应该是.pcapng。另一个常用的捕获文件扩展名为.pcap。

在这一部分，让我们探讨用于捕获和分析网络流量、提取有价值信息、检测可疑行为以及调查网络攻击的工具和技术。

例如，当你使用HTTP访问一个网站时，你的浏览器会将请求发送到web服务器上的80号端口。

网络流量取证的下一步是分析捕获的网络流量。这涉及到检查网络流量以识别可疑活动、未授权访问尝试,并提取如下信息:

尽管Wireshark有许多网络取证功能,但一些最常用的包括查看协议层次结构、应用过滤器、查看数据包详细信息和数据包字节、跟踪TCP流,以及导出对象。

关于wireshark的相关教程网络上已经有很多，感觉没必要在这里介绍，自行学习即可