来，带你深入了解下攻防演练中的溯源取证

在网络安全的攻防对抗中，攻击方似乎具备了某些天然优势，能够全天候发动侵扰，并且当红队大佬们发现了某RCE 0day就在群里开始“滴滴”。防守方纵使有千般武艺，也难免在疲于奔命中偶尔被“打穿”。

随着安全检测能力越来越丰富，来源于边界、主机、应用侧的告警数量愈发庞大，除了有效告警外，也包含了误报、漏报或不相关信息等类型的无用噪声信息。安全运营方进行响应时，往往缺乏快速有效的手段进行过滤和验证告警的真实性，也难以进行关联分析。

不论是防火墙、入侵检测等静态安全检测手段，还是APT、安全感知平台等动态监测手段，面对攻击者留下的分散痕迹，在事后调查的过程中，都可能存在信息遗漏，不容易还原出攻击的全貌，就像单凭各类仪表的数据回查，也难以还原飞机的飞行过程。

面对0day、Nday漏洞，在安全设备上通过打补丁、升级特征库等方式执行紧急预案后，可以确保暂时安全，但对于预案之前是否已经被漏洞利用缺乏行之有效的回溯手段，如果攻击方潜伏在内网进行隐蔽攻击，将难以发现。

绿盟科技新推出的全流量溯源取证分析系统产品（UTS-TFA：UTS-Traffic Forensics and Analysis）是网络环境中的“全时全景行车记录仪”，旁路部署在出口边界、核心交换、服务器区等关键位置，具备针对网络全流量的采集、存储、检索、内容解析、质量分析、定向外发等全面能力，是一款针对企业级网络流量的分析、回溯、取证运维工具，通过原始流量数据的调取，实现安全业务的“兜底”。

全流量溯源取证核心能力

强大的数据库稳定性，高性能全量数据写入不压缩，在保证分析业务的同时，确保数据稳定长周期留存。

网络协议字段全面覆盖，关键协议的请求、响应、Payload等信息一应俱全，支持各类精细化检索工具，高性能秒级回溯助力关键信息溯源场景。

在攻击全流程中，截取和留存攻击过程关键流量数据，可回放至各类检测设备实现攻击复核，解决新型漏洞背景下的误报漏报问题。

结合威胁情报，提供加密威胁、恶意文件、僵木蠕、入侵行为、Web攻击、挖矿跳板等检测能力，具备基于流量元数据的异常行为、基线波动以及行为模型匹配等告警能力，从细微处感知异常，变被动为主动。

支持上百种协议元数据的提取和上千种应用的内容解析，文件还原和协议解密，从而还原攻击过程，进而通过攻击者画像实现反溯。

全流量溯源取证方案价值

《某关键民生业务系统攻击分析案例》

某关键民生业务与群众日常生活密切相关，承载海量访问且实时性要求较高，某日系统出现卡顿超过1小时，引发反响较大，需紧急定位问题。

1、初步分析，故障发生时没有有效定位到明显的攻击告警行为，但短时间内存在流量突增的情况，相关设备与应用系统负载瞬时增大，导致业务受到影响，怀疑存在DDoS攻击情况。

2、在全流量溯源取证分析设备上回溯调取业务故障时间段的原始流量数据，与业务正常时间段的数据进行比对发现，业务正常时的访问行为多来自省内，且以大包流量为主，而故障时整个系统突然接收了大量64字节以内的小包HTTP访问，且有大量境外IP进行访问，符合DDoS攻击的特征，至此基本确认问题方向，但是后续恢复后还是有卡顿现象，怀疑还存在深层次的攻击。

3、进一步将全流量溯源取证分析设备上的关键流量进行不断回放和分析，不仅仅发现了境外组织的DDoS攻击，还发现了该组织发的某新变种木马，但是由于该样本经过改造，成功“骗”过了所有安全设备。后续经过绿盟科技专家组的努力，成功提取了样本文件数据包并还原出样本文件。

4、最后将全流量溯源取证分析设备上的原始流量数据、访问记录、境外IP列表、以及成功提取到的木马样本文件等关键信息导出，作为关键证据，输出分析报告并提交有关部门，帮助客户实现问题闭环，并为安全防护体系的未来建设提供建议。

绿盟科技提供回溯取证的核心价值，是防守方的“最后一张牌”。水过留痕，无论攻击再先进，总会在流量层面留下证据，当存储了关键流量数据之后，不仅能在事后进行二次复核和取证，还对潜伏隐蔽型攻击的发现提供便利，在攻防演练场景中有明确的价值体现。