Cyberforensic IoT安全系列学习Practical

课程链接：http://cyberforensic.net/courses/IncidentResponse/notes.html

本文仅用于记录我自己觉得一些需要记下来的知识点，仅供学习使用。

如果有什么问题，欢迎指出交流。

By umaru

1 课程大纲

本章节主要介绍事件响应技术的相关知识，主要包括以下几部分：

• 网络空间安全攻击以及数据损害事件的基本概念
• 基本的取证分析技术
• 常用工具的使用

2 基本概念

• 计算机安全事件：任何非法、未授权或不可接受的行为
  • 例如：恶意代码，拒绝服务DoS，未授权访问，不恰当的使用

2.1 CIA信息安全准则

• Confidentiality：机密性，仅允许授权用户访问
• Integrity：完整性，不接受未授权更改
• Availability：可用性

2.2 Incident Response

（1）生命周期

事件响应生命周期

（2）方法论

事件响应处理方法

（3）事件的属性：即当一件事件发生时，我们该记录哪些信息

• 当前时间
• 谁报告了该事件
• 事件的性质
• 事件发生的事件
• 涉及到的硬件/软件
• 相关人员的联系方式

（4）Incident Handling Checklist

checklist

3 基本网络准则

3.1 可能的攻击空间

（1）内部攻击

• 攻击者为组织的内部人员

（2）外部攻击

• 从组织外部发起攻击：通过外部受损设备连接到网络（不得将外部设备连接到机密网络上的主要原因）

基于网络：通过互联网；通过组织的无线网络；通过受损的远程VPN系统

3.2 网络基本知识

（1）网络类型
LAN、WAN、VPN

（2）网络协议栈

• 应用层：支持网络应用，例如FTP、SMTP、STTP
• 传输层：host-host的数据传输，TCP、UDP
• 网络层：source-destination的数据帧路由，IP、路由协议
• 链路层：PPP、以太网、WiFi、Bluetooth、Zigbee
• 物理层：电线上的二进制bit传播

Encapsulation

具体的数据包格式略。
TCP、UDP、IP具体协议略。

（3）NAT：网络地址转换
使用路由器上的NAT转换表来进行。

（4）DNS：域名解析
myserver.mydomain.com -> IP address

（5）ARP：地址解析协议
IP -> MAC

（6）ICMP：报文控制协议

• 报告错误：网络/主机/端口/协议不可达
• request/reply
• 网络延时工具：
  • tracert google.com
  • http://tools.pingdom.com/ping/
  • www.traceroute.org
  • http:traceroute.monitis.com/

（7）HTTP

• 错误响应
  • 301：Moved Permanently：请求的对象被移动到新的地址
  • 304：Not Modified
  • 400：Bad Request：请求消息没有被服务器正确理解
  • 404：Not Found

3.3 网络加密

• 对称加密：DES、AES
• 非对称加密（公钥加密）
• 数字签名
• 消息摘要：Hash函数（MD5、SHA1）
• 可信第三方：CA

(未完待续。。)