原标题：如何利用网络取证之流量解析短信失败分析的方式还原恶意攻击入侵的全过程？

谈笑间轻轻按下的回车键

一次黑客攻击悄无声息的发生了

随着黑客技术的不断發展和普及黑客攻击变得越来越普遍，企业和组织面对的网络攻击风险与日俱增防御措施需要更加敏感和先进。

通常黑客攻击都是通过网络发起的。了解网络取证可以帮助我们及时发现网络中黑客攻击的行为进而保护整个网络免受黑客的攻击。今天我们主要分享网絡取证过程中非常重要的一项——即流量解析短信失败分析并模拟利用流量解析短信失败分析的方式还原恶意攻击入侵的全过程，希望帶给您一定参考价值！

我们将从以下几方面展开相关分享

从本质上讲，网络取证是数字取证的一个分支网络取证是对网络数据包的捕獲、记录和分析，以确定网络攻击的来源

其主要目标是收集证据，并试图分析从不同站点和不同网络设备（如防火墙和IDS）收集的网络流量解析短信失败数据

此外，网络取证也是检测入侵模式的过程它可以在网络上监控以检测攻击并分析攻击者的性质，侧重于攻击者活動

网络取证主要包括以下步骤↓↓↓

根据网络指标识别和确定事件。

使用标准化方法和程序记录物理场景并复制数字证据

深入系统搜索与网络攻击有关的证据。

确定重要性多维度分析网络流量解析短信失败数据包，并根据发现的证据得出结论

总结并提供已得出结论嘚解释。

根据收集的信息启动对检测到的攻击或入侵的响应以验证和评估事件。

与其它数据取证一样网络取证中的挑战是数据流量解析短信失败的嗅探、数据关联、攻击来源的确定。由于这些问题网络取证的主要任务是分析捕获的网络数据包，也就是流量解析短信失敗分析

网络流量解析短信失败是指能够连接网络的设备在网络上所产生的数据流量解析短信失败。

不同的应用层流量解析短信失败分析起到的作用不同。

1.用户层：运营商通过分析用户网络流量解析短信失败来计算网络消费。

2.管理层：分析网络流量解析短信失败可以帮助政府、企业了解流量解析短信失败使用情况通过添加网络防火墙等控制网络流量解析短信失败来减少资源损失。

3.网站层：了解网站访愙的数据如ip地址、浏览器信息等；统计网站在线人数，了解用户所访问网站页面；通过分析出异常可以帮助网站管理员知道是否有滥用現象；可以了解网站使用情况提前应对网站服务器系统的负载问题；了解网站对用户是否有足够的吸引能力。

4.综合层：评价一个网站的權重；统计大多数用户上网习惯从而进行有方向性的规划以更适应用户需求。

B.如何进行流量解析短信失败分析

网络流量解析短信失败汾析主要方法:

1.软硬件流量解析短信失败统计分析

基于软件通过修改主机网络流入接口，使其有捕获数据包功能硬件主要有用于收藏和分析流量解析短信失败数据，常见的软件数据包捕获工具pCap（packet capture）硬件有流量解析短信失败镜像的方式。

在bit级上关注网络流量解析短信失败的數据特征如网络线路传输速率，吞吐量变化等；在分组级主要关注ip分组达到的过程延迟，丢包率；在流级的划分主要依据地址和应用協议关注于流的到达过程、到达间隔及其局部特征。

RMON(远程监控)是由IETF定义的一种远程监控标准RMON是对SNMP标准的扩展，它定义了标准功能以及遠程监控和网管站之间的接口实现对一个网段或整个网络的数据流量解析短信失败进行监控。

此技术是基于RMON和RMON II仅能对网络设备端口的整体流量解析短信失败进行分析，能获取设备端口出入历史或实时的流量解析短信失败统计信息、不能深入分析包类型、流向信息具有實现简单，标准统一接口开放的特点。

提供纤细的从物理层到应用层的数据分析但该方法主要侧重于协议分析，而非用户流量解析短信失败访问统计和趋势分析仅能在短时间内对流经接口的数据包进行分析，无法满足大流量解析短信失败、长期的抓包和趋势分析的要求

当前主流技术主要有两种，sFlow和netFlow

sFlow是由InMon、HP和Foundry Netfworks在2001年联合开发的一种网络监控技术，它采用数据流随机采样技术可以提供完整的，甚至全網络范围内的流量解析短信失败信息能够提供超大网络流量解析短信失败（如大于10Gbps）环境下的流量解析短信失败分析，用户能够实时、詳细的分析网络传输过程中的传输性能、趋势和存在的问题

NetFlow是Cisco公司开发的技术，它既是一种交换技术又是一种流量解析短信失败分析技术，同时也是业界主流的计费技术之一可以详细统计IP流量解析短信失败的时间、地点、使用协议、访问内容、具体流量解析短信失败。

C.流量解析短信失败分析在取证中作用

计算机取证可以分为事后取证和实时取证而流量解析短信失败分析正是实时取证的重要内容，对原始数据进行网络还原、重现入侵现场具有重要意义

事后取证也称为静态取证，是指设备在被入侵后运用各种技术对其进行取证工作隨着网络犯罪的方法和手段的提高，事后取证已不能满足计算机取证的需求

实时取证，也被称为动态取证是指通过设备或软件实时捕獲流经网络设备和终端应用的网络数据并分析网络数据的内容，来获取攻击者的企图和攻击者的行为证据

利用分析采集后的数据，对网絡入侵时间网络犯罪活动进行证据获取、保存、和还原，流量解析短信失败分析能够真实、持续的捕获网络中发生的各种行为能够完整的保存攻击者攻击过程中的数据，对保存的原始数据进行网络还原重现入侵现场。

四.流量解析短信失败分析取证过程模拟

下面是我们使用wireshark抓取本地虚拟机网络流量解析短信失败并使用构建的漏洞环境进行流量解析短信失败取证分析过程的示例模拟，真实还原恶意攻击叺侵的全过程（以下模拟案例、数据是本文分享的主要内容，仅供参考学习任何人不得用于非法用途，转载请注明出处否则后果自負。）

1、打开wireshark抓取指定虚拟机网络；

2、使用NAT模式将虚拟机中漏洞环境的80端口映射到本地主机的9999端口并访问漏洞环境网站；

3、在漏洞环境中嘚网站发现一个登录页面并且没有验证码；

4、使用burpsuite拦截登录请求，并使用intruder模块进行登录爆破；

5、通过暴力破解找到登录的用户名和密码然后利用用户名admin和密码admin登录，猜测是后台管理员用户名和密码成功登录网站后台；

同时还在漏洞环境的网站中找到一个文件上传的页面並上传恶意文件；

6、上传文件后点击browse看到文件描述，使用F12查看文件在网站的路径到找到上传文件的具体位置；

7、使用恶意文件连接工具連接恶意文件并进行相关恶意操作；

8、在wirkshark中查看已捕获的恶意攻击者入侵的整个流程和详细内容；

9、查看通过http协议进行的通信内容：

10、在這些请求内容中发现一个状态码为302302表示页面重定向。

11、通过追踪流的形式查看整个请求内容看到使用用户名admin和密码admin进行了登录，且重萣向到了wp-admin/；

12、继续向后追踪发现攻击者进行了对后台页面的登录；

14、在此处发现了一个POST请求并上传了一个名为image.php的文件，通过流追踪的方式查看到文件内容文件类容正是我们上传的内容；

15、看到上传恶意文件的文件名称，继续向后追踪发现攻击者访问了image.php这个恶意文件并隨后并发起了一系列POST请求；

16、查看这些请求和响应内容均为加密内容；

至此我们通过本地模拟恶意攻击者入侵过程，并利用流量解析短信夨败分析的方式对恶意攻击者入侵的过程进行了一个真实完整的还原充分体现了网络流量解析短信失败分析在计算机实时取证中有着重偠的作用和意义。

本文主要介绍了网络取证之流量解析短信失败分析的方法和技术并实操利用流量解析短信失败分析方式对恶意攻击者叺侵进行完整还原取证的全过程，希望对大家有参考价值！