鄒 瑛，陳 聯(lián)

（四川司法警官職業(yè)學(xué)院 德陽(yáng)618000）

1 引言

在網(wǎng)絡(luò)取證中，網(wǎng)絡(luò)取證的數(shù)據(jù)可以來自多種設(shè)備和應(yīng)用程序，可以分別從網(wǎng)絡(luò)協(xié)議的各個(gè)層捕獲，其實(shí)質(zhì)是網(wǎng)絡(luò)流，其存在形式依賴于網(wǎng)絡(luò)傳輸協(xié)議，采用不同的傳輸協(xié)議網(wǎng)絡(luò)流的格式也不相同。網(wǎng)絡(luò)取證的目標(biāo)就是對(duì)網(wǎng)絡(luò)流進(jìn)行正確地提取和分析，真實(shí)全面地將發(fā)生在網(wǎng)絡(luò)上的所有事件記錄下來，為事后的追查提供完整準(zhǔn)確的資料，將證據(jù)提交給法庭。在計(jì)算機(jī)網(wǎng)絡(luò)犯罪手段不斷技術(shù)化、反取證能力日益增強(qiáng)的形勢(shì)下，僅依靠網(wǎng)絡(luò)安全技術(shù)將入侵者完全拒之門外非常困難。而利用snort2是可以用來填補(bǔ)昂貴的、探測(cè)任務(wù)繁重的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（network intrusion detection system，NIDS）留下的空缺，有效防止反取證躲避技術(shù)。

2 典型的躲避技術(shù)

躲避或越過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的技術(shù)是指利用非法或合法手段逃脫IDS/IPS的檢測(cè)和記錄，以防止取證。舉例如下。

（1）利用字符串匹配的弱點(diǎn)：針對(duì)基本字符串匹配弱點(diǎn)的IDS躲避技術(shù)是最早被提出和實(shí)現(xiàn)的。一些基于特征碼的入侵檢測(cè)設(shè)備幾乎完全依賴于字符串匹配算法，而對(duì)于一個(gè)編寫非常差的特征碼，攻擊者能輕松地破壞對(duì)其的字符串匹配。雖然不是所有的入侵檢測(cè)系統(tǒng)都是純粹基于特征碼檢測(cè)的，不過絕大多數(shù)對(duì)字符串匹配算法有非常大的依賴。

（2）多變shell代碼：多變shell代碼技術(shù)由K2研發(fā)的，設(shè)計(jì)思想來源于病毒逃避（virus evasion）技術(shù)。使用這種技術(shù)重新構(gòu)造的shell代碼更為危險(xiǎn)，入侵檢測(cè)設(shè)備非常難以檢測(cè)到。這種技術(shù)只用于緩沖區(qū)溢出攻擊，對(duì)付基于特征碼的檢測(cè)系統(tǒng)非常有效，而對(duì)于智能化的或基于協(xié)議分析的檢測(cè)系統(tǒng)的效果要差很多。

以上的兩個(gè)實(shí)例都可以進(jìn)行應(yīng)用層入侵檢測(cè)躲避。

3 分布式snort入侵檢測(cè)系統(tǒng)概述

分布式snort入侵監(jiān)測(cè)系統(tǒng)的主要組成部分包括中央分析服務(wù)器、IDS探針和協(xié)同代理。一般情況下，一個(gè)企業(yè)的網(wǎng)絡(luò)可以分為外部網(wǎng)絡(luò)、企業(yè)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)等。入侵監(jiān)測(cè)系統(tǒng)既可以部署在防火墻之外，也可以部署于防火墻之內(nèi)。部署于防火墻之外，可以獲得更多攻擊數(shù)據(jù)，但是誤報(bào)警率也高。因此一般情況下，入侵檢測(cè)系統(tǒng)部署于防火墻之后是比較明智的。

（1）中央分析服務(wù)器

中央分析服務(wù)器是整個(gè)系統(tǒng)的心臟和靈魂。它一般由一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)和一個(gè)Web服務(wù)器組成，為系統(tǒng)管理員提供交互式Web管理界面。在中央分析服務(wù)器上，管理人員可以進(jìn)行遠(yuǎn)程IDS探針管理、攻擊數(shù)據(jù)查詢、實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)攻擊及深入分析，如攻擊方向的遷移、識(shí)別攻擊模式等。MySQL數(shù)據(jù)庫(kù)、Apache服務(wù)器、SnortCenter和ACID（analysis console for incident databases）是一個(gè)不錯(cuò)的snort平臺(tái)系統(tǒng)組合。

SnortCenter是一個(gè)基于Web的snort探針和規(guī)則管理系統(tǒng)，用于遠(yuǎn)程修改snort探針的配置，起動(dòng)、停止探針，編輯、分發(fā)snort特征碼規(guī)則。如果與cron和curl結(jié)合使用，SnortCenter還可以定時(shí)為每個(gè)探針進(jìn)行規(guī)則升級(jí)，自動(dòng)從snort官方站點(diǎn)獲得最新特征碼規(guī)則（http://www.snort.org/dl/signatures/snortrules-stable.tar.gz）。SnortCenter的下載地址為http://users.pandora.be/larc/download/。ACID是一個(gè)基于PHP的分析引擎，用于查詢、管理snort探針產(chǎn)生的數(shù)據(jù)庫(kù)。ACID的下載地址為http://www.cert.org/kb/acid/。

（2）IDS探針和協(xié)同代理

代理是向中央分析服務(wù)器報(bào)告攻擊信息的軟件，是分布式入侵檢測(cè)系統(tǒng)的一個(gè)重要部件。SnortCenter Agent和普通意義上的協(xié)同代理軟件有些不同，它只是一個(gè)SnortCenter進(jìn)行探針管理的代理工具。通過SnortCenter Agent，SnortCenter能夠起動(dòng)、關(guān)閉受保護(hù)主機(jī)上的snort探針；修改探針的配置和使用的特征碼規(guī)則。SnortCenter Agent是用Perl語(yǔ)言編寫的，可以在不同的平臺(tái)上使用。為了防止登錄過程中賬戶和密碼的泄漏，它使用SSL和SnortCenter之間進(jìn)行通信。snort探針是真正進(jìn)行入侵檢測(cè)的組件，其源代碼可以從http://www.snort.org獲得。

4 snort入侵檢測(cè)系統(tǒng)的安裝及部署

在分析服務(wù)器上，首先要建立記錄snort報(bào)警和日志數(shù)據(jù)庫(kù)及SnortCenter、ACID需要的數(shù)據(jù)庫(kù)。在臨時(shí)目錄中解壓縮snort的源代碼，進(jìn)入contrib目錄，建立數(shù)據(jù)庫(kù)，并進(jìn)行相關(guān)的配置。代碼如下：

#mysql-u root-p

create database snort;

connect snort

source create_mysql

grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.*to snort;

grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.*to snort@localhost;

grant CREATE,INSERT,SELECT,UPDATE on snort.*to acidviewer;

grant CREATE,INSERT,SELECT,UPDATE on snort.*to acidviewer@localhost;

connect mysql

set password for'snort'@'localhost'=password('yourpassword');

set password for'snort'@'%'=password('yourpassword');

flush privileges;

把最新版的SnortCenter源代碼解壓縮，將目錄里面的文件復(fù)制到Apache的DocumentRoot目錄(如/usr/local/apache/htdocs)。下載SnortCenter需要的adodb(http://php.weblogs.com/adodb/)，安裝到SnortCenter所在的目錄，然后建立SnortCenter數(shù)據(jù)庫(kù)。代碼如下：

$tar zxvf snortcenter-v0.9.6.tar.gz

$cp snortcenter-v0.9.6/*/usr/local/apache/htdocs/

$tar zxvf adodb250.tgz

$cp-R./adodb/usr/local/apache/htdocs/

$echo"CREATE DATABASE snortcenter;"|mysql-u root-p

完成了基本的安裝之后，需要根據(jù)系統(tǒng)的情況手工編輯/usr/local/apache/htdocs/config.php文件，從而結(jié)束SnortCenter的配置。一般情況下需要修改的參數(shù)見表1。

完成上面的配置后，啟動(dòng)Apache服務(wù)器，在瀏覽器的地址欄輸入分析中心服務(wù)器的地址，系統(tǒng)缺省賬戶是admin，密碼為change。登錄進(jìn)入系統(tǒng)以后，點(diǎn)擊admin→Create DB Tables選單，即完成SnortCenter的安裝，如圖1所示。

安裝ACID需要PHP支持GD，并對(duì)PHPLot(www.phplot.com)、ADODB進(jìn)行支持。新版本的ACID（0.9.6b22以后版本）還需要JpGraph(http://www.aditus.nu/jpgraph/)的支持。ACID及相關(guān)軟件安裝到指定位置之后，編輯配置文件acid_conf.php完成其配置，參數(shù)設(shè)置如表2所示。

表1 /usr/local/apache/htdocs/config.php文件需要修改的參數(shù)

圖1 創(chuàng)建SnortCenter數(shù)據(jù)庫(kù)

表2 ACID參數(shù)設(shè)置

PHPLot所在目錄另外，ACID本身缺乏必要的訪問控制機(jī)制，需要設(shè)置Apache對(duì)訪問ACID的用戶提供驗(yàn)證。

同時(shí)，需要安裝snort探針和SnortCenter Agent，分別進(jìn)入需要保護(hù)主機(jī)，安裝snort和SnortCenter Agent。SnortCenter Agent需要SSL的支持，所需模塊可以從http://www.cpan.org得到。安裝代碼如下：

$./configure-with-mysql

$make

$make install

$tar-zxvf Net_SSLeay.pm.1.21.tar.gz

$cd Net_SSLeay.pm.1.21

$perl Makefile.PL

$make install

$mkdir/opt/snortagent/

$cp snortcenter-agent-v0.1.6.tar.gz/opt/snortagent

$cd/opt/snortagent

$tar-zxvf snortcenter-agent-v0.1.6.tar.gz

$cd sensor

$./setup.sh

其中，我們需要注意的問題是，系統(tǒng)涉及到網(wǎng)絡(luò)中的很多主機(jī)，各個(gè)snort探針需要通過網(wǎng)絡(luò)時(shí)間協(xié)議（network time protocol）實(shí)現(xiàn)時(shí)間的精確同步。

在實(shí)際的網(wǎng)絡(luò)取證中，犯罪分子通過分析，利用取證軟件和設(shè)備漏洞等反取證技術(shù)，繞開取證環(huán)節(jié)直接攻擊計(jì)算機(jī)，而snort通過協(xié)議分析，檢測(cè)網(wǎng)絡(luò)的原始傳輸數(shù)據(jù)，進(jìn)行實(shí)時(shí)通信分析和信息包記錄、檢查包有效載荷、分析協(xié)議和內(nèi)容查詢匹配、探測(cè)緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)侵入嘗試、分析捕獲的報(bào)文、系統(tǒng)日志、指定文件等，通過匹配入侵行為特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。

Snort是基于特征檢測(cè)的IDS，使用規(guī)則的定義來檢查網(wǎng)絡(luò)中有問題的數(shù)據(jù)包，針對(duì)每一種入侵行為提煉出它的特征值并按照規(guī)范寫成檢驗(yàn)規(guī)則，從而形成一個(gè)規(guī)則數(shù)據(jù)庫(kù)。通過對(duì)協(xié)議的分析、數(shù)據(jù)包內(nèi)容的搜索和匹配，snort將捕獲的報(bào)文按照規(guī)則庫(kù)逐一進(jìn)行匹配，若匹配成功，則認(rèn)為該入侵行為成立。snort的檢測(cè)能力能對(duì)付絕大多數(shù)基于單包的網(wǎng)絡(luò)攻擊。從報(bào)警信息，我們可以了解到報(bào)警的類型，它由一個(gè)惟一的報(bào)警類型編號(hào)（SID）表示、報(bào)警的創(chuàng)建時(shí)間、報(bào)警的源地址，即報(bào)警的源IP和端口、報(bào)警的目的地址，即報(bào)警的目的IP和端口。

通過對(duì)這些報(bào)警信息的分析，可以提取出有用的取證信息。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)取證是一個(gè)迅速發(fā)展的研究領(lǐng)域，是一門有待標(biāo)準(zhǔn)化和探討、不斷發(fā)展的學(xué)科，特別在反取證技術(shù)日益提高的情況下，如何利用有效的工具防治反取證躲避技術(shù)對(duì)計(jì)算機(jī)取證工作帶來的困擾，這在網(wǎng)絡(luò)信息安全和犯罪調(diào)查方面有著重要的應(yīng)用前景。

1 王一淼.基于入侵檢測(cè)系統(tǒng)的主動(dòng)取證方法.計(jì)算機(jī)應(yīng)用研究，2007（5）

2 安全響應(yīng)團(tuán)隊(duì)的好幫手：網(wǎng)絡(luò)取證工具，http://netsecurity.51cto.com

3 Ponec M,Herv G P.Highly efficient techniques for network forensics.In:Proceedings of the 14th ACM conference on Computer and communications security,Alexandria,Virginia,USA,2007

4 使用Snort探測(cè)輕型侵入HackBase.com