今年是我第一次參加資安大會,在各個展場穿梭的時候,我看到一個我不是很懂要做什麼的設備。當下對方也看我們不是廠商的人員,想要隨意地打發我們,只說他們的產品做的是封包鏡像備份。
封包的備份不太能說是一種防禦手段,就像監視器一樣,它只能夠紀錄當下發生的事情,並不能阻止事件的發生。但也和監視器一樣,可以透過記錄下來的封包來分析攻擊者的攻擊樣貌,或是做為證據使用。
有些攻擊是因為程式撰寫過程的邏輯漏洞造成的,這樣的漏洞可能在被攻擊時不會被記錄下來。又或是攻擊者把自己走過的痕跡抹得乾乾淨淨,不留下一點痕跡,這樣就算要抓也抓不到。
而且 Log 有個問題是,它只會記錄下發生的事件,實際封包中的內容不會有任何紀錄,完全無法得知漏洞出現在哪裡,要怎麼修補漏洞。
簡易的封包側錄軟體也是有免費的,我要說的是 Wireshark 這個軟體。它一樣有封包側錄的功能,不過用起來跟廠商提供的設備介面還是有落差,而且在大量封包進出的狀況,Wireshark 是有機會收集不到封包的。不過我們也是實驗性質的玩一下,應該也夠了。
Wireshark 安裝後,可以針對某種網路介面去擷取封包
更方便的是,Wireshark 提供篩選器的功能,可以篩選封包用的協定、封包來源方 ip 或 mac、封包送出目的地 ip 或 mac