NO.59 | 2019.09.30
banner
title有備而來 友善列印>>
網路資安封包分析認證課程心得分享_資通安全組 賴冠宇助理工程師

  網路安全封包分析認證課程(Network Security of Packet Analysis Course) 是我踏入職場後的第一門外訓課程。為求謹慎,我於課前複習了網路基本概念及網路協定,包括:藉由網域名稱系統(Domain Name System, DNS)將機器讀取、以數字顯示的IP位址轉為人們可識讀的網域名稱;透過位址解析協定(Address Resolution Protocol, ARP)確定IP位址與MAC位址的對應關係及http、https、ssh…等協定,而非腦袋一片空白地去上課。

  只是好比學習英文一樣,ABCD單獨念很簡單,但是合起來後,各自又代表著甚麼意義呢?大量的封包內容繁瑣得如同一大篇密密麻麻的羅馬文或佛學心經一般,辛苦的資安分析人員需要極有耐心地拆分這些封包,並進一步地解釋它們的行為。

  第一堂課,授課老師即先聲明「封包分析」與封包的「行為分析」兩者不盡相同。一般而言,封包分析是解析整個封包每一欄位所代表的意思,header與payload該如何呼應才能完整還原成一串資料;封包分析簡單來說,就是了解每個協定的封包結構。而封包的行為分析,是研究使用者所做出的行動,是否有涵蓋於該行為所對應之封包內容中。 舉例來說,開啟瀏覽器查看google新聞,故「開啟瀏覽器查看新聞」整個動作在封包裡應該就要看到。首先,由DNS索取網域名稱,接著由http或https獲取網站資料,此為瀏覽網頁的正常封包行為。如果DNS太過頻繁地出現,或在查詢其他網域,很有可能是有其他程式正在運作中。若發現在極短時間內有大量空封包被傳送,就有受蠕蟲感染而發出異常封包的可能性。所有超出預期的行為,資安分析人員都需將其視之為異常。這些異常均為細碎的線索,依循線索追查下去,資安分析人員就能像卡通裡的柯南一樣,拼接所有疑點以找出問題發生的原因。

  這門課程還包含了常見的ARP、DNS、FTP、HTTP、SMTP、POP3、RDP網路服務,應用程式、資料庫的行為分析,以及病毒與駭客攻擊行為分析。課程中學習到的分析技巧,對自己現階段的工作相當有幫助;平常工作常需要錄製終端設備的封包,亦需要確認這些設備是否有異常行為,如何判斷異常行為,需考量多種因素包含時間、地點、使用者、使用系統、使用環境等等;情景不同,所錄製到的封包一定不同,但是大原則肯定不會改變,因為任何的網路協定都會有固定的行為模式。

  這門課程讓我更了解封包的相關特性,可更為精確地分析正常與為異常行為,遇有奇怪特徵的行為,也將挑選出來進一步討論分析是否為異常。網路安全封包分析認證課程是一門重要的基本功,讓資安分析人員更進一步了解從滲透攻擊面向或防禦面向不同的觀點來分析封包,會產生不同的結果及想法。