基于HTTP協議報文分析的計算機網絡取證方法

◆李成哲

基于HTTP協議報文分析的計算機網絡取證方法

◆李成哲

（哈爾濱太平國際機場黑龍江 150001）

科學技術水平的不斷提高推動了計算機技術的不斷發展，計算機被人們廣泛應用到生產、生活、學習、娛樂等各個方面，對人們的影響日益增加，同時，不法分子也獲得可乘之機來實施網絡犯罪，人們需要對網絡犯罪進行取證。基于此，本文將從當前計算機網絡取證概況出發，對以HTTP協議報文分析為基礎的計算機網絡取證策略進行分析與探究，希望為相關人員提供一些幫助和建議。

網絡取證；計算機；HTTP協議

0 引言

對于人們來說，計算機如同雙刃劍，雖然其推動了社會進步與發展，讓人們生活、工作的方式得以改善，但是不法分子也得到了全新的犯罪空間與犯罪途徑。相關研究表明，借助計算機技術與網絡技術實施的犯罪逐年增加，危害性越來越大。為了對這種計算機犯罪進行遏制，將法律、社會的功能和作用發揮出來，就應充分利用計算機網絡的取證。因此，研究計算機網絡取證策略具有現實意義。

1 當前計算機網絡取證概況

所謂網絡取證，指的是明確、保護、獲取、歸檔計算機有關網絡設備里的說服性強、可靠性高、法庭能夠接受的電子證據這一過程。網絡取證內容有證據識別、證據保存、證據分析、證據提交等。其中，證據識別是對信息獲取方式、信息種類進行識別，證據保存指的是應確保和原始數據具有一致性且不破壞、不修改原始數據，證據分析是通過可見方式讓結果呈現出來并具備一定的確定性，證據提交指的是把證據提交給法院、律師或管理者。

由于當前網絡取證會對電子證據有所涉及，因此在這方面網絡取證具有嚴格的要求，需要嚴格按照以下規則來執行。首先，應遵循及時性原則。證據需要在最短的時間內收集，盡可能確保其未受損壞。其次，應遵循連續性原則。當證據向法庭正式提交之時，應將證據獲取的原始狀態到證據提交狀態發生的所有變化進行有效說明，最理想的狀態是從未發生變化。最后，取證與檢查的整個過程應受相關人員監視。

2 以HTTP協議報文分析為基礎的計算機網絡取證策略

2.1 利用HTTP的工作原理

HTTP即超文本傳輸協議，該協議處于萬維網的應用層，利用服務器和客戶端程序來交換信息，兩者運行于不同的主機之中，借助兩者交換HTTP報文來響應網頁發來的請求，并對服務器和客戶交換報文的規則、報文結構進行了定義。一些不法分子會在網絡上利用瀏覽器來攻擊Web服務器，所有產生于HTTP體系中的攻擊都要經由HTTP的協議報文，因此我們可以利用HTTP協議報文得到網絡犯罪的證據。

2.2 使用burpsuite軟件

burpsuite是一個網絡工具，能夠對用戶報文進行截獲與分析，它通常會運用到檢測、調試網絡程序的集成平臺方面[1]。它的burpproxy代理是一個HTTP協議的交互服務器，可以當成網絡服務器、瀏覽器中間的橋梁，可以通過查看、攔截傳遞數據的報文，其修改瀏覽器請求的功能可以讓工作人員找到應用程序的惡意請求和意外請求，如sql的注入、緩沖區的溢出、會話劫持等。與此同時，burpproxy的界面良好、攔截的具體規則非常全面，可以精準分析HTTP消息的內容與結構，并設置相應截斷功能，包括關閉狀態與開啟狀態，當截斷功能處于開啟狀態之時，可以攔截代理服務器里存有的數據包，且瀏覽器、Web服務器無法正常進行通信，當截斷功能處于關閉的狀態之時，burpsuite在截取數據包后會在本地進行存儲，然后將數據包放行，此時瀏覽器、Web服務器可以彼此通信。將burpsuite設置于Web應用系統之中，并對網絡出口相應的網關服務器進行設置，將攔截功能關閉，這時，如果有不法分子企圖對網絡系統進行攻擊，那么其流量將被保留與攔截。

2.3 報文與服務器分析

攻擊者一旦訪問網站，根據HTTP協議所具備的特點，其客戶端信息將會被留下，這樣一來，工作人員便會獲得攻擊者的報文信息，主要包括操作系統（如Win10、Win8、Win7、WinXP等）、瀏覽器（如默認瀏覽器、谷歌瀏覽器、uc瀏覽器、火狐瀏覽器等）、語言環境（如中文、韓文、日文、英文等），以及攻擊者的一些其他信息。經過一定的觀察，工作人員能夠獲得攻擊者入棧網頁、使用瀏覽站點路徑、入棧路徑等多種不法行為，以上行為指標可以變成輔助指證的有力證據。

與此同時，應對訪問服務器進行分析。HTTP包含的請求類型多種多樣，常用的請求為get請求與post請求，一般是將url輸入到Web的服務器里面，借助url可以讓瀏覽器將get請求發送到服務器上，讓服務器明確獲得資源。利用HTTP的協議報文請求對不法分子訪問網頁的視頻、圖片、頁面進行收集，獲取修改的網頁與發布的信息，對不法分子修改、刪除、查看、添加數據等多種操作進行設置[2]。

2.4 信息的截獲與木馬的獲取

經過對攻擊數據報文的全面分析與查找，可以發現攻擊者訪問、登錄頁面所用的密碼信息、用戶信息等，將其作為依據便能找到不法分子。身份信息可以說明賬號是不法分子本人擁有的或被他人盜取的，通過實際使用者便能夠順藤摸瓜發現賬號的泄露內容，從而對犯罪分子進行鎖定。由于攻擊者來到網站后臺以后將對訂單信息、會員展開多種操作，因此得到以上數據便可以獲得不法分子犯罪的有效證據。

除此之外，攻擊者來到系統中會把大量木馬病毒傳輸至目標服務器，企圖對服務器長期掌控，不過HTTP報文將會記錄上傳的各種操作。前期階段，攻擊者利用漏洞滲透來取得權限，然后利用病毒在服務器之中上傳亂碼，并讓木馬和病毒客戶端的程序彼此鏈接，于是便實現了Web系統權限的獲取，從而對目標服務器實施控制[3]。

2.5 結果的歸檔和提交

通過一系列的計算機取證程序獲取的電子證據通常會在磁盤這類介質中存放，存在一定的不可預見性，在查看時應使用一些輔助程序。如果計算機知識不足，那么就不能讓電子證據發揮最大化的證明力。要想起訴犯罪嫌疑人時讓證據在法庭之上的說服力更強，就要全面整理、歸檔這些提取結果與分析結果。整理內容、歸檔內容主要有評估電子證據的報告、分析電子證據的結果、軟件許可證、文件種類、評估計算機病毒的狀況、操作系統與數據的取證完整性、操作系統和當前版本、磁盤分區狀況、網絡犯罪時間與日期等。對這些電子證據進行處理的時候，要想使證據的說服力與可信度得到保障，就要歸檔網絡取證的每一個步驟與環節的情況，明確標出提取電子證據的機器、地點與時間，并標出見證人和提取人，這樣證據才能夠承受住法庭質詢。除此之外，分析的計算機系統結果在打印時應通過文字材料呈現，這樣便于提交到法庭之上。

3 結語

總而言之，研究以HTTP協議報文分析為基礎的計算機網絡取證策略具有十分重要的意義。相關人員應對當前計算機網絡取證概況有一個全面的了解，在網絡取證之時利用HTTP的工作原理，使用burpsuite軟件，進行報文與服務器分析的工作，實現信息的截獲與木馬的獲取，最后做好結果的歸檔和提交工作，從而促進我國網絡取證的發展與完善，不斷健全計算機網絡取證的有關法律法規。

[1]車翔玖，胡天岳.基于node2vec神經網絡的信息取證方案研究[J].信息網絡安全，2018.

[2]彭英杰.總線網絡取證信息自動檢索風險控制系統設計[J].計算機測量與控制，2018.

[3]許學添，鄒同浩.基于弱關聯挖掘的網絡取證數據采集系統設計與實現[J].計算機測量與控制，2017.