EXCHANGE OF EXPERIENCE 经验交流
摘要:随着全球经济的发展,网络已经成为不可忽视的生产生活辅助工具,家用路由器的普及给大众一个了解万物并发现社会信息的途径,但是家用路由器也是网络信息泄露的重要方面。在近年来,大众经常会遇到一些http劫持或者网络犯罪的问题,路由器就是跟踪并寻真凶的重要途径。论文分析了路由器的取证方法,旨在捍卫信息安全,保卫信息环境的稳定和纯净。
关键词:家用路由器;网络犯罪取证;方法研究
一、网络犯罪取证原理
床品牌犯罪的过程实际上是物质交换的过程。如果犯罪者与各种物质实体接触和交换,肯定会交换物质并在另一方留下痕迹。这是一条不依赖于人的意志的规则。根据卡德物质交换(Edmond Locard,法国)原理,犯罪始终坚持哲学唯物主义的观点,即“从一般到特殊”的演绎逻辑。当两个特定的对象接触时,犯罪人可以与特定的时间、地点、证据和被害人联系起来,物质交换过程的逆向演绎也可以与特定的行为联系起来。取证是通过技术手段发现证据,形成证据链后进行分析和识别,以解决安全问题。网络罪犯也会留下“指纹”,网络取证是利用多种数据源留下的日志等电子证据来调查和解决网络犯罪。在技术不断发展的推动下,形成了两种方法:传统的计算机模型取证和OSSIM集成分析平台大数据取证[1]。
二、家用路由器取证的可行性
舞者家庭路由器将记录关键的IP信息并识别媒体访问控制地址。路由器工作在网络层,路由器的设计基于IP地址转换。一旦在接口上配置了IP地址和子网掩码,即意味着已经在家用路由器的接口上启动IP协议。如果路由接口处于正常状态,则可以使用此接口进行数据包的转发。IP数据包的转发基础是目的网络地址,路由表中必须有匹配这个目标网络地址的路由条目,才能转发数据包。当将数据包转发到目标网络并成功接收时,家用路由器就将记录要发送的端口和转发的下一跳地址。普通路由器无法查看对方的互联网记录,但是,在第三方软件的帮助下,它可以监控局域网中任何计算机的互联网行为,包括访问了哪些网站以及是否使用了无线设备。在路由器中,某个IP地址与计算机绑定,以确保计算机(或手机)每次都能从路由器获得相同的IP地址。通过这种方式,可以跟踪和追踪连接到互联网设备的MAC控制地址,从而实现网络取证。
三、家用路由器的取证方法
家用路由器是用于网络互连的计算机专用设备,其工作于OIS层,并具有非常重要的网络取证价值。
(一) 家用路由器的取证对象
win8.1如何升级win10家用路由器的取证包括终端、设备和数据等三方面,其基本的取证工作对象、内容和设备见表1。
表1 无线网络取证
取证对象取证内容具体设备
无线网路
终端
无线网络的连接记录、
无线网络的配置内容、
Hacking工具使用
笔记本、智能手机、
台式机、PDA等
无线网络
设备
登录日志、无线配置
项目
无线网络节点设备、
八十年代歌曲网络管理设备。如:
无线AP、无线路由器、
无线AC
无线网络
数据
无线数据包、无线注
入攻击报文、无线
DOS报文
/
(二)无线数字取证基本流程
家用路由器取证过程中一般都需要经过以下流程:
1. 数据收集。例行收集物证的警察可能会在不知情的情况下改变关键证据,由于电子证据具有特殊性,病毒、删除和覆盖等都会导致电子数据发生变化和造成数据的丢失。因此需要专业取证人员必须在现场,并为取证提供指导和协助。
(1)动态取证。动态取证就是在家庭路由器不脱离正常运行的状态下,对路由器本身和路由器内部的数据进行取证的过程,动态取证中远程操作取证是重点,另外还有物理接触取证,但是后者的取证方式更像是静态取证,因此暂不进行分析,以动态远程取证为例,动态远程取证是一种较为复杂的取证方式,其基本流程如下:
家用路由器取证方法研究
朱 拓 徐志超
◆
100最好的网上购物网站
EXCHANGE OF EXPERIENCE 经验交流
分析路由器连接的网络环境,如果通过公网访问就可以直接连接IP,如果是通过局域网连接则需要破解密码后再操作,一般密码破解的方式为WIFi或者是Aircrack-ng。通常,在windows系统下,可以在命令行上使用ipconfig命令,查看家用路由器的网关IP地址。局域网中家庭路由器的公共IP地址为192.168.1.1,通过扫描可以获得端口开放信息、系统信息等关键信息。例如,Routerscan可以获取有价值的信息,如开放端口、无线连接密码、无线信号名称(SSID)、内联网IP等。使用其他大型扫描仪(如nessus和AWV)扫描甚至发现路由器的漏洞。
(2)静态取证。静态取证就是对家用路由器进行直接的信息提取,静态取证需要收集的信息为:第一,家用路由器的型号。利用这些信息,我们可以通过搜索引擎或制造商的用户手册直接获得路由器web配置页面的运行模式和引导模式。通过专门的网站,可以查询各类路由器的硬件信息和物理连接方式。第二,家用路由器的热点名称。一般是通过距离路由器的信号强弱进行区分判定。第三,获取路由器的密码。无线网络经过万能WiFi钥匙处理,在WiFi名称后带有钥匙符号,说明可以直接连接。连接成功后,可以访问/data/misc/wifi/直接在手机上查看密码,但是前提是所使用的设备已经root。在WiFi密码共享软件中共享WiFi时,应特别注意路由器中是否存在“蹭网”的问题。如果是电脑连接可以通过键入netsh wlan show profiles命令,就能获取计算机连接的无线的密码。
2.数据获取。数据采集是从有形的无线路由器设备中获取无形的电子证据,并将其存储在不同的位置。在数据采集中,需要引入“镜像”和“写保护”两个概念,以证明在转储过程中没有数据被更改。此外还需要保证不会改变原始设备上的原始数据,从而保证电子证据具有法律效力。一般情况下路由器的数据获取途径有以下四种:
(1)厂商web界面处理。web管理端登录后,可以获取大部分的信息,登录地址以厂商提供的为准。(2)shell固件和日志的提取。连接远程登录或SSH 服务,使用安全的阴极射线管和其他软件进行串口通信。成功连接后,可以获得路由器的shell并执行shell 命令:首先,进入busybox,然后可以使用ftpput命令获取文件。其次,配置一个文件传输协议服务器。最后,提取路由器闪存芯片的内容,到mtdblock0等文件,这是路由器的镜像。使用FTP put命令将mtdblock0上载到本地服务器的FTP目录。(3)BootLoader,提取。进入恢复控制台时,使用第三方引导加载程序BootLoader,引导期间按电源按钮5秒,系统将自动进入引导加载程序(需要根据情况分析不同的路由器)。Bootloader的命令行界面只能访问部分内存区域,flash固件可以在固件备份选
项卡中进行备份。(4)物理提取,用热风将闪存芯片
取出,用xtw100编程器读取并保存闪存芯片的内容,用xtw100软件读取芯片,读取闪存芯片非常方便,但是需
要人员对技术进行有效的控制,避免芯片的损坏。
3. 数据分析。分析是到犯罪证据的关键。从各种
信息数据中发现犯罪嫌疑人与犯罪事实之间联系,数据
分析中的技术要点是取证的重中之重。其中涉及更多专
业技术和证据收集工具,并需要取证人员的专业素质打底。一般情况下需要对固件的环境配置进行分析,并对
路由器的固件进行解压处理,最后在/etc/shadow中搜索
关键文件,并对固件的漏洞进行追踪,以跟踪嫌疑人的
动态,这需要分析人员具有一定的二进制程序工作经验。
四、结语
总而言之,随着经济社会和科学技术的进步,家用
路由器迅速进入了千家万户,极大的便利了公众的日常
生活,但由于一些漏洞的存在使得路由器成为了不法分
子偷盗用户个人信息的常见地点。鉴于此,相关人员必
须要重视对家用路由器取证过程及取证方法的研究,不
押韵的网名断提高安全防御能力,在更方便取证的同时,更有效地
保护公众的信息安全。
参考文献
[1]赵建华. 家用无线路由器密码的破解及安全防御[J]. 长春
师范大学学报,2018(12):54-59.
(作者单位:牡丹江市公安局网络安全保卫支队)
101
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论