iT邦幫忙

0

Cyber security -6 Module2-1 Capture and view network traffic

  • 分享至 

  • xImage
  •  

Learn more about packet captures

  • three main aspects of network analysis: packets, network protocol analyzers, and packet captures.
  1. 網路流量分析的重要性

    • 過網路流量可辨識員工發送郵件或惡意行為者嘗試竊取機密資料等行為。
    • 幫助理解網路活動及防範潛在威脅。
  2. Packet

    • 資料在發送時被分割成封包。data packet is a basic unit of information
    • 每個封包包含送達目的地所需的資訊(如信封地址)。
    • 封包包含三大組成部分:
      • Header (標頭): 包含來源與目的地 IP 位址、封包長度、協議等路由資訊。
      • Payload (有效負載): 傳送的實際數據。(例如: 上傳影像的檔案內容)
      • Footer (結尾): 提供錯誤檢查資訊,但僅部分協議如 Ethernet 使用。
        例子: 當您上傳圖片到網站時,圖片被分解成多個封包傳遞至目的地,並在傳送後重新組裝。

不同的協議層提供不同的標頭Header

標頭名稱 層級 功能
乙太網標頭 資料鏈路層Data Link Layer 包含來源和目的地的MAC地址,以及資料類型等信息,用於在局域網(LAN)中傳送資料。
IP標頭 網際網路層 Internet Layer 提供來源和目的地的IP地址,協助路由器在不同的網路之間進行數據的轉發和路由選擇。
TCP標頭 傳輸層Transport Layer 包含序列號、確認號以及控制位等信息,用於控制資料流的連接管理,確保資料以正確順序到達且無誤。
主題 定義/內容 應用/功能
封包 (Packet) 資料被分段並附加路由資訊進行傳輸。 允許數據在網路上流動。
Header (標頭) 含協定名稱、IP位址、端口等資訊,類似信封上的地址。 確保數據被正確路由到指定裝置。
Payload (負載) 封包的核心內容(如信件的內容)。 承載實際的數據,與需求相關的資訊。
Footer (trailer) 是用來作為錯誤檢查的一部分。以太網協議Ethernet protocol使用footer來檢查數據是否損毀,但有些網路封包在分析時,可能因為網路配置而不顯示footer資訊。此外,大多數協議,如網際網路協議(IP),並不使用footer。 確保封包完整性。
Packet Capture (P-cap) 擷取的封包數據文件,能詳細記錄網路上的封包流動。 幫助重建具體事件,檢測威脅或異常流量。
Packet Sniffer工具 攔截與分析網路上的流量工具資,安分析師利用此工具檢視封包以察覺威脅跡象(Indicators of Compromise)。例: Wireshark。 偵測與分析異常行為,用於威脅檢測及系統故障排查。

Network protocol analyzers

  • 網路協定分析器(packet sniffers)是一種設計用來在網路中捕捉capture和分析analyze數據流量 data traffic的工具,例如 tcpdump、Wireshark 和 TShark。
  • 它們可用於monitor監視網路、識別identify可疑活動、收集collect網路統計數據 network statistics(如帶寬bandwidth或速度speed)及排解網路效能slowdowns問題。然而,
  • 這些工具也可能被惡意利用,用來截取包含敏感數據的封包,例如帳戶登入資訊。
工具 類型 功能與特點 優點 缺點
tcpdump 命令列工具 (CLI) - 用於即時捕獲與分析封包數據。- 可過濾封包,僅捕獲特定協議或來源的封包。 - 輕量、高效,適合快速分析。- 支援腳本化操作,能與其他工具結合使用。 - 僅限於命令列操作,對新手不友好。- 缺乏圖形化介面,無法直觀查看封包內容。
Wireshark 圖形化工具 (GUI) - 功能強大的協議分析工具,支援即時捕獲與離線分析。- 直觀的圖形化介面,顯示封包的詳細資訊。 - 易於使用,適合詳細分析。- 支援多種協議,功能強大。 - 資源需求較高(CPU 和記憶體)。- 不適合僅進行快速捕捉。
TShark Wireshark 的命令列版本 (CLI) - 提供與 Wireshark 相同的協議分析功能,但以命令列方式操作。 - 輕量,適合腳本化分析。- 支援自動化處理大批量封包數據。 - 缺乏 GUI,對新手較不友好。- 部分功能需要額外學習命令參數。

(網路介面卡, NIC)

第一部分:捕捉網路流量

  • 默認狀態下,NIC僅聽取那些專門發送給自己的網路流量,而不會處理其它流量。
  • 網路協定分析器透過軟硬體功能捕捉網路流量並將其呈現給安全分析員分析。
  • 首先,透過網路介面卡(NIC)從網路中收集封包,並將NIC切換至監聽模式(如監控模式monitoring mode或混雜promiscuous模式),以捕捉所有可見的網路數據封包。
  • 混雜模式效果:讓NIC能夠獲取網路上所有可見的資料封包,並不是僅限於特定地址的流量。
  • 局限性:儘管切換模式可以捕捉可見封包,但安全分析員仍需將網路協定分析工具設定於適當的網路區段,以便獲得完整的主機間流量。
  • 例如分析工具若未設置於核心交換區段,則可能無法捕捉所有關鍵資料。

第二部分:數據解碼與展示

原始數據捕捉格式(Raw Binary Format):收集到的網路流量以二進位格式呈現,分析器將其轉換為人類可讀的格式,便於安全分析員解讀與分析。

啟用混雜模式可能使設備暴露於潛在攻擊,需謹慎負責地使用混雜模式工具。

Capturing packets

  • Packet sniffing 封包嗅探是一種捕捉和檢查網路數據封包的方法,而
  • packet capture (p-cap)封包攔截文件(p-cap)則是使用這種方法所生成的文件,該文件包含了從網路介面或網路中截取的數據封包。這些文件可以用來進行進一步的分析和檢視。
  • 未經授權使用網路協議分析工具攔截及檢視私人網路通訊在許多地區被視為非法。

P-cap 檔案格式比較表

檔案格式 支援的操作系統 特點
Libpcap Unix-like (Linux, MacOS) 默認格式,廣泛使用於網路分析工具(如 tcpdump)
WinPcap Windows 較舊的格式,使用率下降
Npcap Windows 現代化設計,與 Nmap 整合
PCAPng 多平台 同時捕捉封包和儲存數據,為“下一代”格式

IP Header & IPv4的結構與內容

TCP/IP模型的結構

TCP/IP模型由四個層級組成,每個層級都有其特定的功能,並且數據在這些層級之間進行傳輸時,遵循由下到上的順序:

  1. 網路介面層(Network Interface Layer)
  • 功能:負責在物理媒介上傳輸數據。它處理硬體相關的問題,如網路適配器和傳輸媒介(例如以太網、Wi-Fi等)。
  • 數據單位:幀(Frame)。
  1. 網際層(Internet Layer)
  • 功能:負責數據包的尋址和路由。它確保數據能夠從源地址傳送到目的地址,並處理不同網路之間的通訊。
  • 數據單位:數據包(Packet)。
  1. 傳輸層(Transport Layer)
  • 功能:負責數據的可靠傳輸。它提供端到端的通信服務,包括流量控制、錯誤檢測和數據重傳等功能。
  • 數據單位:段(Segment)。
  1. 應用層(Application Layer)
  • 功能:為用戶提供應用程序接口,處理具體的應用數據,如網頁瀏覽、電子郵件等。
  • 數據單位:消息(Message)。
字段名稱 功能定義 比喻/舉例
Version 指定IP版本 (如IPv4或IPv6)。 郵件類別 (優先郵件、快捷郵件、普通郵件)。
IHL Internet Header Length:指定IP頭部長度,若包含選項則長度增加。 無對應比喻。
ToS (Type of Service) 表示是否需要照特殊標準對封包處理。 包裹上的“易碎”標籤。
Total Length 封包的總長度,包括標頭與數據部分。 信封的長寬與重量。
Identification, Flags, Fragment Offset 和IP封包的分段 (Fragmentation) 有關,標記如何分段與重組。 信件經過多重路由 (例如郵箱、轉運中心、卡車等)。
TTL (Time to Live) 控制封包有效期限,防止封包無限循環。 信件的預期送達日期類似概念。
Protocol 指定使用哪個協議 (例如TCP/UDP),用數值表示。 地址中的房號,確認投遞對象。
Header Checksum 儲存效驗碼,確保傳輸過程中沒有發生頭部字段的錯誤。 無對應比喻。
Source Address, Destination Address 源地址和目標地址。 信封上的寄件人與收件人地址。
Options 非必要字段,通常用於網路故障排除,如果使用則會增加頭部長度。 信件的保險服務,非必要附加項目。
Packet Data 存儲實際數據的部分,例如郵件正文內容。 信封中的信件。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言