Сетевая криминалистика

Содержание

Слайд 2

ВОПРОСЫ ЗАНЯТИЯ Основы мониторинга сетевой активности. Криминалистический анализ сетевого трафика. Domain

ВОПРОСЫ ЗАНЯТИЯ
Основы мониторинга сетевой активности.
Криминалистический анализ сетевого трафика.
Domain Name System

(DNS).
HyperText Transfer Protocol (HTTP).
Литература :
Федотов Н.Н. Форензика — компьютерная криминалистика. М: Юридический мир, 2007 г..
Messier R. - Network Forensics – 2017
Samir Datt - Learning Network Forensics – 2016
Davidoff S., Ham J. − Network Forensics − Tracking Hackers through Cyberspace – 2012
Andrew Case. The Art of Memory Forensics
Scott J. Roberts. Intelligence-Driven Incident Response
Лекции и тренинги Group-IB
Слайд 3

Криминалистика Digital evidence Processing Analysis

Криминалистика

Digital evidence

Processing

Analysis

Слайд 4

План

План

Слайд 5

Основы мониторинга сетевой активности

Основы мониторинга сетевой активности

Слайд 6

Общая картина

Общая картина

Слайд 7

Артефакты

Артефакты

Слайд 8

Типы цифровых улик Digital Evidence Types Non-Volatile (Энергонезависимые) Volatile (Энергозависимые) Журналы Сетевой трафик

Типы цифровых улик

Digital Evidence Types

Non-Volatile
(Энергонезависимые)

Volatile
(Энергозависимые)

Журналы

Сетевой трафик

Слайд 9

Источники криминалистических улик Сетевой трафик Сбор на уровне хоста Сбор с

Источники криминалистических улик

Сетевой трафик
Сбор на уровне хоста
Сбор с сетевых устройств в

локальной сети
Сбор на периметре/магистральный трафик

Журналы
DNS, DHCP
Журналы почтового сервера
Журналы прокси сервера
Журналы веб-сервера, веб-приложений
Журналы IDS, IPS систем
Netflow
Журналы сетевого оборудования (syslog)
Журналы рабочих станций

Слайд 10

Захват сетевого трафика

Захват сетевого трафика

Слайд 11

Захват сетевого трафика На периметре Сетевое оборудование ЛВС На уровне хоста

Захват сетевого трафика

На периметре

Сетевое оборудование ЛВС

На уровне хоста

Слайд 12

Захват трафика c хоста Гибкость настройки Фильтрация трафика

Захват трафика c хоста

Гибкость настройки
Фильтрация трафика

Слайд 13

Утилиты для захвата трафика Cross-platform (wireshark, tshark) *nix (tcpdump) Windows (netsh)

Утилиты для захвата трафика

Cross-platform (wireshark, tshark)
*nix (tcpdump)
Windows (netsh)

Слайд 14

Утилиты для захвата трафика Wireshark Tshark

Утилиты для захвата трафика

Wireshark

Tshark

Слайд 15

Утилиты для захвата трафика Tcpdump Netsh

Утилиты для захвата трафика

Tcpdump

Netsh

Слайд 16

Фильтрация пакетов Примитивы и логические операции Общее: ip, tcp, udp, icmp,

Фильтрация пакетов

Примитивы и логические операции

Общее: ip, tcp, udp, icmp, host, ether,

net, port
Направление: src, dst
Поиск по конкретному IP адресу: ip.addr

Логические операторы: and, or, not
Менее актуальное: vlan, portrange, gateway
Поиск по протоколу: icmp, smb, dns, http

Слайд 17

Захват с фильтрацией пакетов

Захват с фильтрацией пакетов

Слайд 18

Захват трафика

Захват трафика

Слайд 19

Захват трафика

Захват трафика

Слайд 20

Захват дампа трафика на исследование

Захват дампа трафика на исследование

Слайд 21

Удаленный захват трафика с хоста

Удаленный захват трафика с хоста

Слайд 22

Удаленный захват трафика

Удаленный захват трафика

Слайд 23

Удаленный захват трафика

Удаленный захват трафика

Слайд 24

Захват с ЛВС Прозрачность для хоста Общая картина внутри сети (IDS/IPS позволяет собирать полный дамп трафика)

Захват с ЛВС

Прозрачность для хоста
Общая картина внутри сети (IDS/IPS позволяет собирать

полный дамп трафика)
Слайд 25

Захват на периметре

Захват на периметре

Слайд 26

Резюме Не использовать DNS-lookup для каждого IP адреса Записывать все байты

Резюме

Не использовать DNS-lookup для каждого IP адреса
Записывать все байты пакета (snapshot

length)
Необходимо различать сетевой интерфейс, с которого снимается трафик
Запись дампа трафика лучше вести в локальный файл с ротацией
Используйте фильтры BPF
Слайд 27

Криминалистический анализ сетевого трафика

Криминалистический анализ сетевого трафика

Слайд 28

Что искать?

Что искать?

Слайд 29

Как искать?

Как искать?

Слайд 30

На чем концентрироваться?

На чем концентрироваться?

Слайд 31

Арсенал

Арсенал

Слайд 32

Арсенал

Арсенал

Слайд 33

Domain Name System (DNS)

Domain Name System (DNS)

Слайд 34

Domain Name System

Domain Name System

Слайд 35

Domain Name System

Domain Name System

Слайд 36

DNS типы записей DNS common A, AAAA, ALIAS, CNAME, MX, NS,

DNS типы записей

DNS common
A, AAAA, ALIAS, CNAME, MX, NS, PTR, SOA,

SRV, TXT

DNSSEC
DS, RRSIG, RRSET, NSEC, NSEC3, NSEC3PARAM

DNS less common
CAA, DNAME, etc.

Слайд 37

DNS типы записей DNS common A, AAAA, ALIAS, CNAME, MX, NS,

DNS типы записей

DNS common
A, AAAA, ALIAS, CNAME, MX, NS, PTR, SOA,

SRV, TXT

DNSSEC
DS, RRSIG, RRSET, NSEC, NSEC3, NSEC3PARAM

DNS less common
CAA, DNAME, etc.

Слайд 38

DNS практика Посмотрим как в Wireshark можно исследовать DNS активность ПО: Wireshark Файл: task1.pcap

DNS практика

Посмотрим как в Wireshark можно исследовать DNS активность

ПО: Wireshark
Файл: task1.pcap

Слайд 39

Создание фильтра

Создание фильтра

Слайд 40

Все резолвы IPv4

Все резолвы IPv4

Слайд 41

Авторитетные ответы от DNS-серверов

Авторитетные ответы от DNS-серверов

Слайд 42

Резюме Ответы на DNS запросы с IP адресами веб-ресурсов (в т.ч.

Резюме

Ответы на DNS запросы с IP адресами веб-ресурсов (в т.ч. Проверка

на наличие интернет-соединения)
Определение «отстука» вредоносного ПО на C&C/взаимодействия с C&C
Выявление скрытых каналов связи (covert channels)
Слайд 43

Hypertext transfer protocol (HTTP)

Hypertext transfer protocol (HTTP)

Слайд 44

HTTP Методы запроса Основные: GET, POST Опциональные: OPTIONS, PUT, DELETE, HEAD,

HTTP

Методы запроса
Основные: GET, POST
Опциональные: OPTIONS, PUT, DELETE, HEAD, TRACE, CONNECT

Строка запроса
В

строке запроса также могут передаваться параметры, например:
GET /wp-content/secure/online/thrust?auth=true&isadmin=false HTTP 1.1\r\n
Слайд 45

HTTP Cookie: индекс обращения уникальным пользовательским данным, собираемым на стороне веб-сервера

HTTP

Cookie: индекс обращения уникальным пользовательским данным, собираемым на стороне веб-сервера (веб-приложения)
Accept:

предпочитаемый клиентом тип контента: text/html, application/xml+xhtml, application/xml.
Смежные заголовки: Accept-Language, Accept-Encoding
User Agent: https://developers.whatismybrowser.com/useragents/explore/
Authentication: -- Basic/Digest/etc – способ авторизации на HTTP-сервере
Referer URL: содержит URL адрес ресурса, с которого клиент был перенаправлен на конкретную страницу
X-* (X-Forwarded-For): этот заголовок добавляется на случай reverse proxy
Proxy-Authorization: -- Basic/Digest/etc – способ авторизации на прокси-сервере
Слайд 46

HTTP. Пример запроса

HTTP. Пример запроса

Слайд 47

HTTP. Коды ответа (response codes)

HTTP. Коды ответа (response codes)

Слайд 48

HTTP. Коды ошибок 500 502 503

HTTP. Коды ошибок

500

502

503

Слайд 49

HTTP практика Посмотрим как в Wireshark можно исследовать HTTP активность ПО: Wireshark Файл: task1.pcap

HTTP практика

Посмотрим как в Wireshark можно исследовать HTTP активность

ПО: Wireshark
Файл: task1.pcap

Слайд 50

Просмотр всех HTTP пакетов

Просмотр всех HTTP пакетов

Слайд 51

Просмотр всех HTTP запросов

Просмотр всех HTTP запросов

Слайд 52

HTTP запросы на определенный IP адрес

HTTP запросы на определенный IP адрес

Слайд 53

Экспорт объектов переданных по HTTP

Экспорт объектов переданных по HTTP

Слайд 54

Резюме Пользовательская активность в ходе веб-браузинга (веб-контент, скачиваемые файлы) Взаимодействие по

Резюме

Пользовательская активность в ходе веб-браузинга (веб-контент, скачиваемые файлы)
Взаимодействие по REST API
Взаимодействие

вредоносного ПО с C&C
Кража данных
Компрометация (попытки компрометации) сервера
Слайд 55

Полезные фичи (1)

Полезные фичи (1)

Слайд 56

Полезные фичи (2)

Полезные фичи (2)

- Предыдущая
Формирование УУД на уроках физики с помощью работы с учебником
Следующая -
Хрещення князя Володимира і киян

Похожие презентации

Устройства ввода
מערכת ‪ CRM‬למוקד סמייל ‪
Программирование (Python)
Информация. Основные виды информации
Daemon Tools Lite
Кодирование основных типов алгоритмических структур на языках объектно — ориентированного и процедурного программирования
Режимы и способы обработки данных
Знаки: форма и значение. Знаковые системы
Презентация "Практический поиск в Интернете" - скачать презентации по Информатике
Виды компьютеров
Визуальный инструмент разработки автоматических спецпрограмм проверки РЗА, ООО НПП Динамика
Растровая и векторная графика
Данные в компьютере
Кодирование чисел. Системы счисления
Телемедицина в приложении СОГАЗ
Мультимедийные презентации на уроке истории
Мультимедийные интерактивные презентации
РАЗДЕЛ 20 ПРОГНОЗИРОВАНИЕ ДОЛГОВЕЧНОСТИ СОЕДИНЕНИЙ, ВЫПОЛНЕННЫХ ТОЧЕЧНОЙ СВАРКОЙ
Решение логических задач
Программное обеспечение ПК
Администрирование в информационных системах Администрирование БД Резервное копирование и восстановление данных
Антивирусные программы
Технология создания Web-страниц
SQL basics. Урок 1
Обеспечение доступности серверов БД
преза
Красивая абстракция в Photoshop
Анимация смены слайдов. Microsoft PowerPoint
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть