基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證研究

宋璐璐

（陜西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院陜西咸陽712000）

在我國信息技術(shù)不斷發(fā)展的過程中，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用到社會(huì)各方各面中，有效促進(jìn)了社會(huì)經(jīng)濟(jì)的發(fā)展和進(jìn)步，并且改善了人們的工作及生活方式。現(xiàn)實(shí)生活中的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是一把雙刃劍，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展為社會(huì)犯罪活動(dòng)提供了全新的手段和空間。據(jù)調(diào)查，通過網(wǎng)絡(luò)及計(jì)算機(jī)技術(shù)進(jìn)行犯罪的行為不斷增加，具有較高的危害。所以就要充分發(fā)揮法律及社會(huì)的能力對(duì)付計(jì)算機(jī)犯罪活動(dòng)，以此產(chǎn)生了計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)，其主要目的就是對(duì)電子證據(jù)進(jìn)行收集，核心內(nèi)容就是對(duì)網(wǎng)絡(luò)中的行為證據(jù)收集和分析。

1 計(jì)算機(jī)網(wǎng)絡(luò)取證的總體結(jié)構(gòu)

1.1 分析系統(tǒng)流程

計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)主要包括獲取證據(jù)、刪選證據(jù)、分析證據(jù)及創(chuàng)建證據(jù)鏈，之后再將證據(jù)分析報(bào)告進(jìn)行提交，從而獲得原始證據(jù)[1]，圖1為計(jì)算機(jī)犯罪的處理流程。

如果有人舉報(bào)，公安機(jī)關(guān)會(huì)在第一時(shí)間立案并且偵查保護(hù)現(xiàn)場，通過計(jì)算機(jī)犯罪的不法分子會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)中留下痕跡，那么在大量的網(wǎng)絡(luò)數(shù)據(jù)中找到有效的證據(jù)就是計(jì)算機(jī)犯罪處理過程中的重要內(nèi)容。不管是日志、聊天記錄等數(shù)據(jù)都要一一檢查，搜集數(shù)據(jù)并且分類歸檔，保證數(shù)據(jù)能夠還原。之后就是對(duì)收集的數(shù)據(jù)進(jìn)行分析和檢定，創(chuàng)建證據(jù)鏈，根據(jù)司法機(jī)關(guān)的規(guī)定提交報(bào)告及原始證據(jù)[2]。

圖1 計(jì)算機(jī)犯罪的處理流程

1.2 工作模型

計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)使用B/S/S結(jié)構(gòu)，兩個(gè)Server分別指的是應(yīng)用服務(wù)及數(shù)據(jù)庫服務(wù)。前者的主要目的是為系統(tǒng)提供數(shù)據(jù)分析處理及web服務(wù)，后者的主要目的是使數(shù)據(jù)能夠存儲(chǔ)[3]。圖2為計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)的工作模型。

圖2 計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)的工作模型

服務(wù)器中集中了系統(tǒng)所有的開發(fā)，客戶機(jī)主要安裝瀏覽器就能夠方面系統(tǒng)維護(hù)，所有客戶機(jī)只是瀏覽器不變，服務(wù)器中的MYSQL及PHP、客戶機(jī)瀏覽器都是免費(fèi)的，所有創(chuàng)建的成本較低[4]。

1.3 系統(tǒng)結(jié)構(gòu)

通過計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)的業(yè)務(wù)流程及工作方式，使用模塊化設(shè)計(jì)思想，圖3為計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)的結(jié)構(gòu)。

圖3 計(jì)算機(jī)網(wǎng)絡(luò)取證系統(tǒng)的結(jié)構(gòu)

2 計(jì)算機(jī)網(wǎng)絡(luò)日志文件分析

2.1 計(jì)算機(jī)操作系統(tǒng)日志文件

不同計(jì)算機(jī)操作系統(tǒng)中的日志格式都不同，其中的內(nèi)容也各不相同，主要包括Windows日志文件、Liunx日志文件及unix日志文件。

我國大多數(shù)都是使用Windows操作系統(tǒng)，所以這也是網(wǎng)絡(luò)黑客尤為關(guān)注的內(nèi)容，從而導(dǎo)致Win?dows系統(tǒng)的攻擊較多；

Linux操作系統(tǒng)內(nèi)核源代碼開放，所以比Windows安全，但是因?yàn)樵创a開放使Linux的內(nèi)核版本較多，并且系統(tǒng)開發(fā)商也不同。在默認(rèn)情況下只能夠通過ROOT賬戶實(shí)現(xiàn)日志細(xì)節(jié)的配置，ROOT賬戶還能夠?yàn)槠渌~戶授權(quán)權(quán)限；

Unix操作系統(tǒng)中的版本不同，導(dǎo)致日志文件的存放目錄也不同，早期是在usr中存在，目前是在var中存放。表1是目前Unix操作系統(tǒng)的日志文件位置及功能[5]。

表1 Unix操作系統(tǒng)的日志文件位置及功能

2.2 計(jì)算機(jī)應(yīng)用程序日志文件

Web服務(wù)器中具有多種共日志形式，比如電子郵件、Web服務(wù)器等，其通過固定ASCII碼格式記錄了較多的信息。Unix、Linux等操作系統(tǒng)的服務(wù)實(shí)現(xiàn)是通過Apache進(jìn)行的，在提供web服務(wù)的時(shí)候會(huì)具有錯(cuò)誤及訪問日志，在提供郵件及FTP服務(wù)的時(shí)候會(huì)具有獨(dú)立日志[6]。

數(shù)據(jù)庫日志文件具有強(qiáng)大的功能，比如在線日志、歸檔日志、聯(lián)機(jī)日志等，每個(gè)運(yùn)行數(shù)據(jù)庫實(shí)例具有在線日志追蹤記錄，在線日志填滿之后，就成為歸檔日志，之后創(chuàng)建全新的在線日志進(jìn)行記錄，以此循環(huán)[7]。

3 計(jì)算機(jī)網(wǎng)絡(luò)取證方式

HTTP還稱為超文本傳輸協(xié)議，其是萬維網(wǎng)應(yīng)用層協(xié)議，主要是通過客戶端程序及服務(wù)器實(shí)現(xiàn)信息的交換，他們是在兩個(gè)不同主機(jī)中運(yùn)行，通過HTTP報(bào)文的交換實(shí)現(xiàn)網(wǎng)頁的響應(yīng)和請(qǐng)求，并且還定義了報(bào)文結(jié)構(gòu)及客戶與服務(wù)器報(bào)文的交換規(guī)則[8]。圖4為HTTP協(xié)議的工作模式。

圖4 HTTP協(xié)議的工作模式

網(wǎng)絡(luò)中的不法分子通過瀏覽器對(duì)web服務(wù)器進(jìn)行攻擊，HTTP協(xié)議通信體系中的攻擊行為都是通過HTTP協(xié)議報(bào)文實(shí)現(xiàn)的，那么只要將攻擊過程中的HTTP協(xié)議報(bào)文，就能夠獲得犯罪分子的犯罪證據(jù)。本節(jié)通過詳細(xì)的案例，研究基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證方式，其中通過開源CMS網(wǎng)絡(luò)系統(tǒng)作為web應(yīng)用，在局域網(wǎng)中進(jìn)行[9]。

3.1 Burp Suite

Burp Suite指的是截獲報(bào)文及分析的工具，其主要應(yīng)用在調(diào)試和實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用程序安全檢測的集成平臺(tái)中，其還有Burp Proxy代理，指的是交互HTTP協(xié)議服務(wù)器，其主要目的就是作為瀏覽器及網(wǎng)絡(luò)服務(wù)器的中間橋梁，能夠在攔截、查看中間實(shí)現(xiàn)數(shù)據(jù)報(bào)文的傳遞。此種瀏覽器請(qǐng)求修改的能力使測試人員能夠發(fā)現(xiàn)應(yīng)用程序在意外及惡意請(qǐng)求的處理，比如會(huì)話劫持、緩沖區(qū)溢出、SQL注入等。Burp Proxy代理具有良好的界面，其中具有詳細(xì)的攔截規(guī)則，并且還能夠?qū)TTP消息結(jié)構(gòu)及內(nèi)容進(jìn)行準(zhǔn)確的分析，對(duì)截?cái)嗟墓δ苓M(jìn)行設(shè)置，主要包括兩種狀態(tài)，分別為開啟和關(guān)閉：在開啟截?cái)喙δ艿臅r(shí)候，代理服務(wù)器中的數(shù)據(jù)包能夠被攔截，web服務(wù)器及瀏覽器不能夠正常通信；在關(guān)閉截?cái)喙δ艿臅r(shí)候，Burp Sutie會(huì)將數(shù)據(jù)包進(jìn)行截取之后將其存儲(chǔ)到本地中，放行數(shù)據(jù)包，這個(gè)時(shí)候web服務(wù)器及瀏覽器就能夠?qū)崿F(xiàn)通信。在web應(yīng)用系統(tǒng)網(wǎng)絡(luò)中部署B(yǎng)urp Suite，代理設(shè)置網(wǎng)絡(luò)出口網(wǎng)關(guān)服務(wù)器，關(guān)閉攔截功能，在犯罪分子攻擊網(wǎng)絡(luò)系統(tǒng)的時(shí)候，犯罪分子的流量就會(huì)被攔截并且保存[10]。

3.2 報(bào) 文

HTTP協(xié)議的特點(diǎn)使攻擊者在訪問網(wǎng)站的時(shí)候留下客戶端信息，如圖5所示。

圖5 HTTP協(xié)議客戶端的信息

通過圖5可以看出來截獲的報(bào)文信息為：

攻擊者使用的計(jì)算機(jī)操作系統(tǒng)為Win 7；攻擊者使用的Win 7操作系統(tǒng)為64位；攻擊者使用的瀏覽器為46.0火狐瀏覽器；攻擊者使用的語言環(huán)境為美式語言，以此能偶確定攻擊者的國籍。

通過一段的時(shí)間觀察之后，可以得到攻擊者的入棧路徑、瀏覽站點(diǎn)使用的路徑、入棧網(wǎng)頁等行為，通過這些指標(biāo)能夠成為指證犯罪分子的輔助證據(jù)[11]。

3.3 分析訪問的服務(wù)器

HTTP中具有多種請(qǐng)求類型，一般都使用POST及GET請(qǐng)求，主要在web服務(wù)器中輸入U(xiǎn)RL，瀏覽器就能夠通過URL向服務(wù)器發(fā)送GET請(qǐng)求，從而使服務(wù)器了解獲得及返回的資源。通過HTTP協(xié)議報(bào)文請(qǐng)求收集攻擊者訪問的網(wǎng)站頁面、圖片、視頻，發(fā)布過的信息及修改之后的網(wǎng)頁，設(shè)置包括攻擊者在進(jìn)入到管理后臺(tái)之后對(duì)數(shù)據(jù)的添加、查看、刪除及修改等操作[12]。

3.4 截取攻擊者的身份信息

通過查找并且分析攻擊數(shù)據(jù)報(bào)文，能夠有效尋找攻擊者在登錄并且訪問頁面的用戶及密碼等身份信息，以此找到犯罪嫌疑人。這些身份信息證明了此賬戶為犯罪嫌疑人自己的，或者是此賬戶被盜，通過賬戶的實(shí)際使用人員，就能夠逐漸找到賬戶密碼中泄露的內(nèi)容，以此鎖定犯罪分子[13]。圖6為攻擊在訪問網(wǎng)站后臺(tái)之后留下的地址，通過HTTP協(xié)議中POST方法提交賬戶、密碼等登錄信息。

圖6 攻擊者在訪問網(wǎng)站后臺(tái)留下的地址信息

攻擊者成功進(jìn)入到網(wǎng)站管理后臺(tái)，其能夠?qū)?huì)員、訂單信息進(jìn)行一系列的操作，獲得這些數(shù)據(jù)就能夠掌握攻擊者的犯罪證據(jù)。

3.5 獲得攻擊者的木馬病毒

在攻擊者進(jìn)入到系統(tǒng)之后，會(huì)到目標(biāo)服務(wù)器中上傳一系列的木馬病毒，從而實(shí)現(xiàn)穩(wěn)定掌控的目的。但是這些上傳動(dòng)作會(huì)被HTTP報(bào)文所記錄。攻擊者在前期能夠通過漏洞滲透得到權(quán)限，比如進(jìn)入到Web系統(tǒng)管理員后臺(tái)找到新聞發(fā)布站點(diǎn)功能，從而通過病毒將亂碼上傳到服務(wù)器中。之后通過病毒客戶端程序連接到木馬中，從而得到Web系統(tǒng)的權(quán)限，以此控制目標(biāo)服務(wù)器。圖7就是攻擊者在進(jìn)入到管理員后臺(tái)中發(fā)布的內(nèi)容，并且內(nèi)容中還具有一張圖片，從報(bào)文的詳細(xì)內(nèi)容看，此內(nèi)容中的圖片并不正常，是一張木馬病毒[14]。

圖7 攻擊者上傳的內(nèi)容

4 實(shí)驗(yàn)分析

本次實(shí)驗(yàn)在一臺(tái)Win XP計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)，在此計(jì)算機(jī)中虛擬開放性的Web服務(wù)主機(jī)，其中的內(nèi)部資源為公司的商業(yè)機(jī)密，Web服務(wù)器IP為192.168.0.2。以下為商業(yè)機(jī)密的丟失過程：首先，檢測是否存在Unicode漏洞，如果存在漏洞，攻擊者就能夠通過漏洞入侵服務(wù)器，得到商業(yè)機(jī)密。為了能夠使服務(wù)器能夠下載東西，可以留有后門，在本地配置“灰鴿子”服務(wù)端，將配置之后的服務(wù)端程序放到tftpd32.exe目錄中，在上傳程序之后檢測是否上傳到服務(wù)器中。通過對(duì)“灰鴿子”進(jìn)行測試，為了不使管理員發(fā)現(xiàn)，刪除server.exe。

因?yàn)槿∽C的服務(wù)器只有一個(gè)Web服務(wù)，所以取證數(shù)據(jù)日志的日志也只有一個(gè)，掐為注冊(cè)表，通過收集數(shù)據(jù)、分析、證據(jù)鑒別，從而形成數(shù)據(jù)鏈，以下為數(shù)據(jù)鏈的內(nèi)容：

日志文件 ex091119：2009-11-19 08：47：47 到2009-11-19 09:20:20 IP：192.168.0.1先后執(zhí)行了dir(列目錄[Unicode漏洞])→dir secret.doc-s（查找此目錄中是否有secret.doc文件[Unicode漏洞]）→tfpt-i put 192.168.0.1 secret.doc d:inetpubscriptssecret.doc（把secret.doc傳送到192.168.0.1[Unicode漏洞]）→tf?pt-i get 192.168.0.1 server.exe d:\inetpub\scripts\serv?er.exe（發(fā) server.exe傳到了 d:inetpubscripts目錄里[Unicode漏洞]）→dir(列目錄[Unicode漏洞])→d:in?etpubscriptsserver.exe（執(zhí)行 server.exe程序[Unicode漏洞]）→del d:inetpubscriptsserver.exe（把 server.exe刪除了[Unicode漏洞]）

注冊(cè)表的主要目的就是發(fā)現(xiàn)“灰鴿子”，從而實(shí)現(xiàn)遠(yuǎn)程控制、管理及監(jiān)控。

通過取證分析，可以看出來系統(tǒng)能夠?qū)Σ环ㄐ袨檫M(jìn)行準(zhǔn)確的判斷，因?yàn)槿说闹R(shí)有限，還有更多的知識(shí)沒有添加到知識(shí)庫中，所以系統(tǒng)的工作有限。但是在知識(shí)庫不斷擴(kuò)充的過程中，系統(tǒng)的分析取證工作還能夠進(jìn)一步的擴(kuò)展[15]。

5 結(jié)束語

綜上所述，可以了解到，基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證能夠獲得犯罪分子的犯罪事實(shí)及犯罪細(xì)節(jié)，通過科學(xué)合法的取證，獲得犯罪分子具有法律依據(jù)的證據(jù)。但是在網(wǎng)絡(luò)取證過程中，要注意全面掌握HTTP協(xié)議中報(bào)文字段的作用及報(bào)文的格式，從而能夠方便收集和整理報(bào)文中的信息，并且創(chuàng)建報(bào)文信息庫，以此實(shí)現(xiàn)良好的報(bào)文網(wǎng)絡(luò)取證。

參考文獻(xiàn)：

[1]朱駿.基于網(wǎng)絡(luò)安全的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工程，2017，30（3）：111-112.

[2]劉琦.基于傳輸層協(xié)議的網(wǎng)絡(luò)訪問控制研究[J].中小企業(yè)管理與科技，2017，26（7）:73-75.

[3]劉宇明.探究基于復(fù)雜網(wǎng)絡(luò)理論的計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)溲芯縖J].電腦知識(shí)與技術(shù)，2017，28（3）：98-99.

[4]覃志波，陸幼驪，姜林，等.基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證方法[J].計(jì)算機(jī)科學(xué)，2016，43（B12）:26-29.

[5]謝振華.基于雙方向?qū)哟位母呗氂?jì)算機(jī)網(wǎng)絡(luò)專業(yè)課程體系及課程內(nèi)容構(gòu)建[J].電腦知識(shí)與技術(shù)，2017，13（4）：111.

[6]侯瑞霞.淺談基于計(jì)算機(jī)和網(wǎng)絡(luò)的中學(xué)自主學(xué)習(xí)模式研究[J].教育，2017，24（1）:316.

[7]李文計(jì).基于計(jì)算機(jī)遠(yuǎn)程網(wǎng)絡(luò)通訊技術(shù)的應(yīng)用分析[J].科研，2017，35（2）:215.

[8]馬小雨.基于模糊層次分析法的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)研究[J].信息通信，2017，21（1）:98-99.

[9]程磊.基于HTTP協(xié)議的多線程網(wǎng)絡(luò)下載框架的研究與實(shí)踐[J].科技經(jīng)濟(jì)導(dǎo)刊，2016，2（18）:30-31.

[10]昃向輝.基于協(xié)議分析的信息泄露風(fēng)險(xiǎn)研究[J].信息與電腦，2016，28（19）:171-172.

[11]陳志雄.基于入侵防御的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)分析[J].數(shù)字技術(shù)與應(yīng)用，2017，35（2）:227.

[12]賀一峰，如先姑力·阿布都熱西提，亞森·艾則孜.HTTP異?；顒?dòng)取證及可視化系統(tǒng)研究[J].微型電腦應(yīng)用，2016，32（3）:23-26.

[13]錢志遠(yuǎn).基于計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究[J].通訊世界，2017，19（1）:99-100.

[14]程磊.基于HTTP協(xié)議的多線程網(wǎng)絡(luò)下載框架的研究與實(shí)踐[J].科技經(jīng)濟(jì)導(dǎo)刊，2016，24（18）:30-31.

[15]吳歡，宋力，劉遇哲.基于HTTP協(xié)議特征字的識(shí)別研究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2015，41（9）:32-35.