黑客大追踪：网络取证核心原理与实践

图书标准信息

• 作者 [美]Sherri（雪莉·大卫杜夫）、Jonathan Ham（乔纳森·汉姆） 著；崔孝晨、陆道宏 译
• 出版社 电子工业出版社
• 出版时间 2015-01
• 版次 1
• ISBN 9787121245541
• 定价 119.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 504页
• 字数 752千字
• 正文语种 简体中文
• 原版书名 Network Forensics: Tracking Hackers Through Cyberspace
• 丛书 安全技术大系

【内容简介】

　　网络取证是计算机取证技术的一个新的发展方向，是计算机网络技术与法学的交叉学科。本书是网络取证方面的一本专著，一经出版便好评如潮，在网站上的评分达4.5星。
　　《黑客大追踪：网络取证核心原理与实践》根据网络取证调查人员的实际需要，概述了网络取证的各个方面，不论是对各种网络协议的分析和对各种网络设备的处理方式，还是取证流程的设计都有独到之处。
　　《黑客大追踪：网络取证核心原理与实践》共分四大部分十二章，第1章“实用调查策略”，第2章“技术基础”和第3章“证据获取”属于一部分，其中给出了一个取证的方法框架，并介绍了相关的基础知识；第4章“数据包分析”，第5章“流统计分析”、第6章“线：须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分，介绍了对网络流量进行分析的各种技术；第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分，详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分，针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。

【目录】

第一部分 基础篇
第1章 实用调查策略2
1．1 真实的案例2
1．1．1 医院里被盗的笔记本电脑3
1．1．2 发现公司的网络被用于传播盗版5
1．1．3 被黑的政府服务器6
1．2 足迹7
1．3 电子证据的概念8
1．3．1 实物证据9
1．3．2 最佳证据9
1．3．3 直接证据10
1．3．4 情况证据11
1．3．5 传闻证据11
1．3．6 经营记录12
1．3．7 电子证据13
1．3．8 基于网络的电子证据14
1．4 关于网络证据相关的挑战14
1．5 网络取证调查方法（OSCAR）15
1．5．1 获取信息15
1．5．2 制订方案16
1．5．3 收集证据17
1．5．4 分析18
1．5．5 出具报告19
1．6 小结19
第2章 技术基础21
2．1 基于网络的证据来源21
2．1．1 物理线缆22
2．1．2 线网络空口22
2．1．3 交换机23
2．1．4 路由器23
2．1．5 DHCP服务器24
2．1．6 域名服务器24
2．1．7 登录认证服务器25
2．1．8 网络入侵检测/防御系统25
2．1．9 防火墙25
2．1．10 Web代理26
2．1．11 应用服务器27
2．1．12 中央日志服务器27
2．2 互联网的工作原理27
2．2．1 协议28
2．2．2 开放系统互连模型29
2．2．3 例子：周游世界……然后再回来30
2．3 互联网协议组32
2．3．1 互联网协议组的早期历史和开发过程33
2．3．2 网际协议34
2．3．3 传输控制协议38
2．3．4 用户数据报协议40
2．4 小结42
第3章 证据获取43
3．1 物理侦听43
3．1．1 线缆44
3．1．2 线电频率48
3．1．3 Hub49
3．1．4 交换机50
3．2 流量抓取软件52
3．2．1 libpcap和WinPcap53
3．2．2 伯克利包过滤（Berkeley Packet Filter，BPF）语言53
3．2．3 tcpdump57
3．2．4 Wireshark61
3．2．5 tshark62
3．2．6 dumpcap62
3．3 主动式获取63
3．3．1 常用接口63
3．3．2 没有权限时咋办68
3．3．3 策略68
3．4 小结69

第二部分 数据流分析
第4章 数据包分析72
4．1 协议分析73
4．1．1 哪里可以得到协议信息73
4．1．2 协议分析工具76
4．1．3 协议分析技巧79
4．2 包分析91
4．2．1 包分析工具91
4．2．2 包分析技术94
4．3 流分析99
4．3．1 流分析工具100
4．3．2 流分析技术103
4．4 分析更高层的传输协议113
4．4．1 一些常用的高层协议114
4．4．2 高层协议分析工具122
4．4．3 高层协议分析技术124
4．5 结论127
4．6 案例研究：Ann的约会127
4．6．1 分析：协议概要128
4．6．2 DHCP通信128
4．6．3 关键词搜索130
4．6．4 SMTP分析――Wireshark133
4．6．5 SMTP分析――TCPFlow136
4．6．6 SMTP 分析――附件提取137
4．6．7 查看附件139
4．6．8 找到Ann的简单方法140
4．6．9 时间线145
4．6．10 案件的理论推导145
4．6．11 挑战赛问题的应答146
4．6．12 下一步148
第5章 流统计分析149
5．1 处理过程概述150
5．2 传感器151
5．2．1 传感器类型151
5．2．2 传感器软件152
5．2．3 传感器位置153
5．2．4 修改环境154
5．3 流记录导出协议155
5．3．1 NetFlow155
5．3．2 IPFIX156
5．3．3 sFlow156
5．4 收集和汇总157
5．4．1 收集器的位置和架构157
5．4．2 数据收集系统158
5．5 分析160
5．5．1 流记录分析技术160
5．5．2 流记录分析工具164
5．6 结论169
5．7 案例研究：奇怪的X先生169
5．7．1 分析：第一步170
5．7．2 外部攻击者和端口22的通信171
5．7．3 DMZ中的受害者――10．30．30．20（也是172．30．1．231）174
5．7．4 内部受害系统――192．30．1．101178
5．7．5 时间线179
5．7．6 案件分析180
5．7．7 回应挑战赛问题180
5．7．8 下一步181
第6章 线：须网线的取证183
6．1 IEEE 第二层协议系列184
6．1．1 为什么那么多第二层协议185
6．1．2 802．11 协议族186
6．1．3 802．1X195
6．2 线接入点（WAP）196
6．2．1 为什么要调查线接入点196
6．2．2 线接入点的类型196
6．2．3 WAP证据200
6．3 线数据捕获及分析201
6．3．1 频谱分析201
6．3．2 线被动证据收集202
6．3．3 有效地分析802．11203
6．4 常见攻击类型205
6．4．1 嗅探205
6．4．2 未授权的线接入点205
6．4．3 邪恶双子208
6．4．4 WEP破解208
6．5 定位线设备209
6．5．1 获取设备描述210
6．5．2 找出附近的线接入点210
6．5．3 信号强度211
6．5．4 商业化企业级工具213
6．5．5 Skyhook214
6．6 总结215
6．7 案例研究：HackMe公司215
6．7．1 调查WAP216
6．7．2 快速粗略的统计221
6．7．3 对于管理帧的深层次观察226
6．7．4 一个可能的“嫌疑犯”228
6．7．5 时间线229
6．7．6 案例总结230
6．7．7 挑战问题的应答231
6．7．8 下一步233
第7章 网络入侵的侦测及分析235
7．1 为什么要调查NIDS/NIPS236
7．2 NIDS/NIPS的典型功能236
7．2．1 嗅探236
7．2．2 高层协议辨识237
7．2．3 可疑字节的报警238
7．3 检测的模式239
7．3．1 基于特征的分析239
7．3．2 协议辨识239
7．3．3 行为分析239
7．4 NIDS/NIPS的种类239
7．4．1 商业化NIDS/NIPS239
7．4．2 自我定制241
7．5 NIDS/NIPS的电子证据采集241
7．5．1 电子证据类型241
7．5．2 NIDS/NIPS界面243
7．6 综合性网络封包日志244
7．7 Snort系统245
7．7．1 基本结构246
7．7．2 配置246
7．7．3 Snort规则语言247
7．7．4 例子249
7．8 总结251
7．9 教学案例：Inter0ptic拯救地球（第一部分）252
7．9．1 分析：Snort 警报253
7．9．2 初步数据包分析254
7．9．3 Snort规则分析255
7．9．4 从Snort抓包数据中提取可疑文件257
7．9．5 “INFO Web Bug”警报257
7．9．6 “Tcp Window Scale Option”警报259
7．9．7 时间线261
7．9．8 案情推测261
7．9．9 下一步262

第三部分 网络设备和服务器
第8章 事件日志的聚合、关联和分析266
8．1 日志来源267
8．1．1 操作系统日志267
8．1．2 应用日志275
8．1．3 物理设备日志277
8．1．4 网络设备日志279
8．2 网络日志的体系结构280
8．2．1 三种类型的日志记录架构280
8．2．2 远程日志：常见问题及应对方法282
8．2．3 日志聚合和分析工具283
8．3 收集和分析证据285
8．3．1 获取信息285
8．3．2 策略制定286
8．3．3 收集证据287
8．3．4 分析289
8．3．5 报告290
8．4 总结290
8．5 案例：L0ne Sh4rk的报复290
8．5．1 初步分析291
8．5．2 可视化失败的登录尝试292
8．5．3 目标账户294
8．5．4 成功登录295
8．5．5 攻陷后的活动296
8．5．6 防火墙日志297
8．5．7 内部被害者――192．30．1．101300
8．5．8 时间线301
8．5．9 案件结论303
8．5．10 对挑战问题的应答303
8．5．11 下一步304
第9章 交换机、路由器和防火墙305
9．1 存储介质305
9．2 交换机306
9．2．1 为什么调查交换机306
9．2．2 内容寻址内存表307
9．2．3 地址解析协议307
9．2．4 交换机类型308
9．2．5 交换机证据309
9．3 路由器310
9．3．1 为什么调查路由器310
9．3．2 路由器类型310
9．3．3 路由器上的证据312
9．4 防火墙313
9．4．1 为什么调查防火墙313
9．4．2 防火墙类型313
9．4．3 防火墙证据315
9．5 接口317
9．5．1 Web接口317
9．5．2 控制台命令行接口（CLI）318
9．5．3 远程控制台319
9．5．4 简单网络管理协议（SNMP）319
9．5．5 私有接口320
9．6 日志320
9．6．1 本地日志321
9．6．2 简单网络管理协议322
9．6．3 syslog322
9．6．4 身份验证、授权和账户日志323
9．7 总结323
9．8 案例研究：Ann的咖啡环323
9．8．1 防火墙诊断命令325
9．8．2 DHCP服务日志326
9．8．3 防火墙访问控制列表327
9．8．4 防火墙日志分析327
9．8．5 时间线331
9．8．6 案例分析332
9．8．7 挑战问题的答复333
9．8．8 下一步334
第10章 Web代理335
10．1 为什么要调查Web代理335
10．2 Web代理的功能337
10．2．1 缓存337
10．2．2 URI过滤339
10．2．3 内容过滤339
10．2．4 分布式缓存339
10．3 证据341
10．3．1 证据的类型341
10．3．2 获取证据342
10．4 Squid342
10．4．1 Squid的配置文件343
10．4．2 Squid的Access日志文件343
10．4．3 Squid缓存344
10．5 Web代理分析346
10．5．1 Web代理日志分析工具347
10．5．2 例子：剖析一个Squid磁盘缓存350
10．6 加密的Web流量357
10．6．1 TLS（传输层安全）358
10．6．2 访问加密的内容360
10．6．3 商用的TLS/SSL拦截工具364
10．7 小结364
10．8 教学案例：Inter0ptic拯救地球（之二）365
10．8．1 分析：pwny．jpg366
10．8．2 Squid缓存的网页的提取368
10．8．3 Squid的Access．log文件371
10．8．4 进一步分析Squid缓存373
10．8．5 时间线377
10．8．6 案情推测379
10．8．7 回答之前提出的问题380
10．8．8 下一步381

第四部分 高级议题
第11章 网络隧道384
11．1 功能型隧道384
11．1．1 背景知识：VLAN链路聚集385
11．1．2 交换机间链路（Inter-Switch Link，ISL）385
11．1．3 通用路由封装（Generic Routing Encapsulation，GRE）386
11．1．4 Teredo：IPv4网上的IPv6386
11．1．5 对调查人员的意义387
11．2 加密型隧道387
11．2．1 IPsec388
11．2．2 TLS和SSL389
11．2．3 对取证人员的影响390
11．3 隐蔽通信型隧道391
11．3．1 策略391
11．3．2 TCP序列号391
11．3．3 DNS隧道392
11．3．4 ICMP隧道393
11．3．5 例子：分析ICMP隧道395
11．3．6 对调查人员的影响398
11．4 小结399
11．5 案例教学：Ann的秘密隧道400
11．5．1 分析：协议统计401
11．5．2 DNS分析402
11．5．3 追查隧道传输的IP包405
11．5．4 对隧道传输的IP包的分析409
11．5．5 对隧道传输的TCP报文段的分析412
11．5．6 时间线414
11．5．7 案情推测414
11．5．8 回答之前提出的问题415
11．5．9 下一步416
第12章 恶意软件取证418
12．1 恶意软件进化的趋势419
12．1．1 僵尸网络419
12．1．2 加密和混淆420
12．1．3 分布式命令和控制系统422
12．1．4 自动自我升级426
12．1．5 变化形态的网络行为428
12．1．6 混在网络活动中434
12．1．7 Fast-Flux DNS436
12．1．8 高级持续威胁（Advanced Persistent Threat，APT）437
12．2 恶意软件的网络行为440
12．2．1 传播441
12．2．2 命令和控制通信443
12．2．3 载荷的行为446
12．3 未来的恶意软件和网络取证446
12．4 教学案例：Ann的“极光行动”447
12．4．1 分析：入侵检测447
12．4．2 TCP会话：10．10．10．10：4444?10．10．10．70：1036449
12．4．3 TCP会话：10．10．10．10：4445455
12．4．4 TCP会话：10．10．10．10：8080?10．10．10．70：1035461
12．4．5 时间线466
12．4．6 案情推测467
12．4．7 回答之前提出的问题468
12．4．8 下一步468
后记470