基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證方法

◆李成哲

基于HTTP協(xié)議報(bào)文分析的計(jì)算機(jī)網(wǎng)絡(luò)取證方法

◆李成哲

（哈爾濱太平國際機(jī)場黑龍江 150001）

科學(xué)技術(shù)水平的不斷提高推動了計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)被人們廣泛應(yīng)用到生產(chǎn)、生活、學(xué)習(xí)、娛樂等各個(gè)方面，對人們的影響日益增加，同時(shí)，不法分子也獲得可乘之機(jī)來實(shí)施網(wǎng)絡(luò)犯罪，人們需要對網(wǎng)絡(luò)犯罪進(jìn)行取證。基于此，本文將從當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)取證概況出發(fā)，對以HTTP協(xié)議報(bào)文分析為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)取證策略進(jìn)行分析與探究，希望為相關(guān)人員提供一些幫助和建議。

網(wǎng)絡(luò)取證；計(jì)算機(jī)；HTTP協(xié)議

0 引言

對于人們來說，計(jì)算機(jī)如同雙刃劍，雖然其推動了社會進(jìn)步與發(fā)展，讓人們生活、工作的方式得以改善，但是不法分子也得到了全新的犯罪空間與犯罪途徑。相關(guān)研究表明，借助計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)實(shí)施的犯罪逐年增加，危害性越來越大。為了對這種計(jì)算機(jī)犯罪進(jìn)行遏制，將法律、社會的功能和作用發(fā)揮出來，就應(yīng)充分利用計(jì)算機(jī)網(wǎng)絡(luò)的取證。因此，研究計(jì)算機(jī)網(wǎng)絡(luò)取證策略具有現(xiàn)實(shí)意義。

1 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)取證概況

所謂網(wǎng)絡(luò)取證，指的是明確、保護(hù)、獲取、歸檔計(jì)算機(jī)有關(guān)網(wǎng)絡(luò)設(shè)備里的說服性強(qiáng)、可靠性高、法庭能夠接受的電子證據(jù)這一過程。網(wǎng)絡(luò)取證內(nèi)容有證據(jù)識別、證據(jù)保存、證據(jù)分析、證據(jù)提交等。其中，證據(jù)識別是對信息獲取方式、信息種類進(jìn)行識別，證據(jù)保存指的是應(yīng)確保和原始數(shù)據(jù)具有一致性且不破壞、不修改原始數(shù)據(jù)，證據(jù)分析是通過可見方式讓結(jié)果呈現(xiàn)出來并具備一定的確定性，證據(jù)提交指的是把證據(jù)提交給法院、律師或管理者。

由于當(dāng)前網(wǎng)絡(luò)取證會對電子證據(jù)有所涉及，因此在這方面網(wǎng)絡(luò)取證具有嚴(yán)格的要求，需要嚴(yán)格按照以下規(guī)則來執(zhí)行。首先，應(yīng)遵循及時(shí)性原則。證據(jù)需要在最短的時(shí)間內(nèi)收集，盡可能確保其未受損壞。其次，應(yīng)遵循連續(xù)性原則。當(dāng)證據(jù)向法庭正式提交之時(shí)，應(yīng)將證據(jù)獲取的原始狀態(tài)到證據(jù)提交狀態(tài)發(fā)生的所有變化進(jìn)行有效說明，最理想的狀態(tài)是從未發(fā)生變化。最后，取證與檢查的整個(gè)過程應(yīng)受相關(guān)人員監(jiān)視。

2 以HTTP協(xié)議報(bào)文分析為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)取證策略

2.1 利用HTTP的工作原理

HTTP即超文本傳輸協(xié)議，該協(xié)議處于萬維網(wǎng)的應(yīng)用層，利用服務(wù)器和客戶端程序來交換信息，兩者運(yùn)行于不同的主機(jī)之中，借助兩者交換HTTP報(bào)文來響應(yīng)網(wǎng)頁發(fā)來的請求，并對服務(wù)器和客戶交換報(bào)文的規(guī)則、報(bào)文結(jié)構(gòu)進(jìn)行了定義。一些不法分子會在網(wǎng)絡(luò)上利用瀏覽器來攻擊Web服務(wù)器，所有產(chǎn)生于HTTP體系中的攻擊都要經(jīng)由HTTP的協(xié)議報(bào)文，因此我們可以利用HTTP協(xié)議報(bào)文得到網(wǎng)絡(luò)犯罪的證據(jù)。

2.2 使用burpsuite軟件

burpsuite是一個(gè)網(wǎng)絡(luò)工具，能夠?qū)τ脩魣?bào)文進(jìn)行截獲與分析，它通常會運(yùn)用到檢測、調(diào)試網(wǎng)絡(luò)程序的集成平臺方面[1]。它的burpproxy代理是一個(gè)HTTP協(xié)議的交互服務(wù)器，可以當(dāng)成網(wǎng)絡(luò)服務(wù)器、瀏覽器中間的橋梁，可以通過查看、攔截傳遞數(shù)據(jù)的報(bào)文，其修改瀏覽器請求的功能可以讓工作人員找到應(yīng)用程序的惡意請求和意外請求，如sql的注入、緩沖區(qū)的溢出、會話劫持等。與此同時(shí)，burpproxy的界面良好、攔截的具體規(guī)則非常全面，可以精準(zhǔn)分析HTTP消息的內(nèi)容與結(jié)構(gòu)，并設(shè)置相應(yīng)截?cái)喙δ埽P(guān)閉狀態(tài)與開啟狀態(tài)，當(dāng)截?cái)喙δ芴幱陂_啟狀態(tài)之時(shí)，可以攔截代理服務(wù)器里存有的數(shù)據(jù)包，且瀏覽器、Web服務(wù)器無法正常進(jìn)行通信，當(dāng)截?cái)喙δ芴幱陉P(guān)閉的狀態(tài)之時(shí)，burpsuite在截取數(shù)據(jù)包后會在本地進(jìn)行存儲，然后將數(shù)據(jù)包放行，此時(shí)瀏覽器、Web服務(wù)器可以彼此通信。將burpsuite設(shè)置于Web應(yīng)用系統(tǒng)之中，并對網(wǎng)絡(luò)出口相應(yīng)的網(wǎng)關(guān)服務(wù)器進(jìn)行設(shè)置，將攔截功能關(guān)閉，這時(shí)，如果有不法分子企圖對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，那么其流量將被保留與攔截。

2.3 報(bào)文與服務(wù)器分析

攻擊者一旦訪問網(wǎng)站，根據(jù)HTTP協(xié)議所具備的特點(diǎn)，其客戶端信息將會被留下，這樣一來，工作人員便會獲得攻擊者的報(bào)文信息，主要包括操作系統(tǒng)（如Win10、Win8、Win7、WinXP等）、瀏覽器（如默認(rèn)瀏覽器、谷歌瀏覽器、uc瀏覽器、火狐瀏覽器等）、語言環(huán)境（如中文、韓文、日文、英文等），以及攻擊者的一些其他信息。經(jīng)過一定的觀察，工作人員能夠獲得攻擊者入棧網(wǎng)頁、使用瀏覽站點(diǎn)路徑、入棧路徑等多種不法行為，以上行為指標(biāo)可以變成輔助指證的有力證據(jù)。

與此同時(shí)，應(yīng)對訪問服務(wù)器進(jìn)行分析。HTTP包含的請求類型多種多樣，常用的請求為get請求與post請求，一般是將url輸入到Web的服務(wù)器里面，借助url可以讓瀏覽器將get請求發(fā)送到服務(wù)器上，讓服務(wù)器明確獲得資源。利用HTTP的協(xié)議報(bào)文請求對不法分子訪問網(wǎng)頁的視頻、圖片、頁面進(jìn)行收集，獲取修改的網(wǎng)頁與發(fā)布的信息，對不法分子修改、刪除、查看、添加數(shù)據(jù)等多種操作進(jìn)行設(shè)置[2]。

2.4 信息的截獲與木馬的獲取

經(jīng)過對攻擊數(shù)據(jù)報(bào)文的全面分析與查找，可以發(fā)現(xiàn)攻擊者訪問、登錄頁面所用的密碼信息、用戶信息等，將其作為依據(jù)便能找到不法分子。身份信息可以說明賬號是不法分子本人擁有的或被他人盜取的，通過實(shí)際使用者便能夠順藤摸瓜發(fā)現(xiàn)賬號的泄露內(nèi)容，從而對犯罪分子進(jìn)行鎖定。由于攻擊者來到網(wǎng)站后臺以后將對訂單信息、會員展開多種操作，因此得到以上數(shù)據(jù)便可以獲得不法分子犯罪的有效證據(jù)。

除此之外，攻擊者來到系統(tǒng)中會把大量木馬病毒傳輸至目標(biāo)服務(wù)器，企圖對服務(wù)器長期掌控，不過HTTP報(bào)文將會記錄上傳的各種操作。前期階段，攻擊者利用漏洞滲透來取得權(quán)限，然后利用病毒在服務(wù)器之中上傳亂碼，并讓木馬和病毒客戶端的程序彼此鏈接，于是便實(shí)現(xiàn)了Web系統(tǒng)權(quán)限的獲取，從而對目標(biāo)服務(wù)器實(shí)施控制[3]。

2.5 結(jié)果的歸檔和提交

通過一系列的計(jì)算機(jī)取證程序獲取的電子證據(jù)通常會在磁盤這類介質(zhì)中存放，存在一定的不可預(yù)見性，在查看時(shí)應(yīng)使用一些輔助程序。如果計(jì)算機(jī)知識不足，那么就不能讓電子證據(jù)發(fā)揮最大化的證明力。要想起訴犯罪嫌疑人時(shí)讓證據(jù)在法庭之上的說服力更強(qiáng)，就要全面整理、歸檔這些提取結(jié)果與分析結(jié)果。整理內(nèi)容、歸檔內(nèi)容主要有評估電子證據(jù)的報(bào)告、分析電子證據(jù)的結(jié)果、軟件許可證、文件種類、評估計(jì)算機(jī)病毒的狀況、操作系統(tǒng)與數(shù)據(jù)的取證完整性、操作系統(tǒng)和當(dāng)前版本、磁盤分區(qū)狀況、網(wǎng)絡(luò)犯罪時(shí)間與日期等。對這些電子證據(jù)進(jìn)行處理的時(shí)候，要想使證據(jù)的說服力與可信度得到保障，就要?dú)w檔網(wǎng)絡(luò)取證的每一個(gè)步驟與環(huán)節(jié)的情況，明確標(biāo)出提取電子證據(jù)的機(jī)器、地點(diǎn)與時(shí)間，并標(biāo)出見證人和提取人，這樣證據(jù)才能夠承受住法庭質(zhì)詢。除此之外，分析的計(jì)算機(jī)系統(tǒng)結(jié)果在打印時(shí)應(yīng)通過文字材料呈現(xiàn)，這樣便于提交到法庭之上。

3 結(jié)語

總而言之，研究以HTTP協(xié)議報(bào)文分析為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)取證策略具有十分重要的意義。相關(guān)人員應(yīng)對當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)取證概況有一個(gè)全面的了解，在網(wǎng)絡(luò)取證之時(shí)利用HTTP的工作原理，使用burpsuite軟件，進(jìn)行報(bào)文與服務(wù)器分析的工作，實(shí)現(xiàn)信息的截獲與木馬的獲取，最后做好結(jié)果的歸檔和提交工作，從而促進(jìn)我國網(wǎng)絡(luò)取證的發(fā)展與完善，不斷健全計(jì)算機(jī)網(wǎng)絡(luò)取證的有關(guān)法律法規(guī)。

[1]車翔玖，胡天岳.基于node2vec神經(jīng)網(wǎng)絡(luò)的信息取證方案研究[J].信息網(wǎng)絡(luò)安全，2018.

[2]彭英杰.總線網(wǎng)絡(luò)取證信息自動檢索風(fēng)險(xiǎn)控制系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)測量與控制，2018.

[3]許學(xué)添，鄒同浩.基于弱關(guān)聯(lián)挖掘的網(wǎng)絡(luò)取證數(shù)據(jù)采集系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)測量與控制，2017.