课程链接:http://cyberforensic.net/courses/IncidentResponse/notes.html
本文仅用于记录我自己觉得一些需要记下来的知识点,仅供学习使用。
如果有什么问题,欢迎指出交流。
By umaru
1 课程大纲
本章节主要介绍事件响应技术的相关知识,主要包括以下几部分:
- 网络空间安全攻击以及数据损害事件的基本概念
- 基本的取证分析技术
- 常用工具的使用
2 基本概念
- 计算机安全事件:任何非法、未授权或不可接受的行为
- 例如:恶意代码,拒绝服务DoS,未授权访问,不恰当的使用
2.1 CIA信息安全准则
- Confidentiality:机密性,仅允许授权用户访问
- Integrity:完整性,不接受未授权更改
- Availability:可用性
2.2 Incident Response
(1)生命周期
事件响应生命周期
(2)方法论
事件响应处理方法
(3)事件的属性:即当一件事件发生时,我们该记录哪些信息
- 当前时间
- 谁报告了该事件
- 事件的性质
- 事件发生的事件
- 涉及到的硬件/软件
- 相关人员的联系方式
(4)Incident Handling Checklist
checklist
3 基本网络准则
3.1 可能的攻击空间
(1)内部攻击
- 攻击者为组织的内部人员
(2)外部攻击
- 从组织外部发起攻击:通过外部受损设备连接到网络(不得将外部设备连接到机密网络上的主要原因)
基于网络:通过互联网;通过组织的无线网络;通过受损的远程VPN系统
3.2 网络基本知识
(1)网络类型
LAN、WAN、VPN
(2)网络协议栈
- 应用层:支持网络应用,例如FTP、SMTP、STTP
- 传输层:host-host的数据传输,TCP、UDP
- 网络层:source-destination的数据帧路由,IP、路由协议
- 链路层:PPP、以太网、WiFi、Bluetooth、Zigbee
- 物理层:电线上的二进制bit传播
Encapsulation
具体的数据包格式略。
TCP、UDP、IP具体协议略。
(3)NAT:网络地址转换
使用路由器上的NAT转换表来进行。
(4)DNS:域名解析
myserver.mydomain.com -> IP address
(5)ARP:地址解析协议
IP -> MAC
(6)ICMP:报文控制协议
- 报告错误:网络/主机/端口/协议不可达
- request/reply
- 网络延时工具:
- tracert google.com
- http://tools.pingdom.com/ping/
- www.traceroute.org
- http:traceroute.monitis.com/
(7)HTTP
- 错误响应
- 301:Moved Permanently:请求的对象被移动到新的地址
- 304:Not Modified
- 400:Bad Request:请求消息没有被服务器正确理解
- 404:Not Found
3.3 网络加密
- 对称加密:DES、AES
- 非对称加密(公钥加密)
- 数字签名
- 消息摘要:Hash函数(MD5、SHA1)
- 可信第三方:CA
(未完待续。。)
