在某些现场勘验和涉及到服务器远程勘验的案件里,往往会遇到较为复杂的网络拓扑。而在这些网络拓扑中,经常会出现一个“节点”,嫌疑人通过它,能够操控某些远程设备,起到了一个“中转设备”作用,我们俗称它为“跳板机”。
本文,笔者将与大家分享:面对案件中出现的“跳板机”,我们应该如何分析,进一步获取涉案线索。
实战分析
“跳板机”是一个网络术语,通常用来代指在网络安全领域中的一个中继点,一般情况下是一台Linux主机或Windows主机,上面拥有各种运维类软件环境、远程连接和远程桌面软件等等。
对于违法犯罪行为来说,它是一台被嫌疑人控制的计算机,嫌疑人通过这台计算机来发起攻击,访问或控制其他的计算机网络资源。使用跳板机可以帮助嫌疑人隐藏自己的真实身份和位置。
某科技公司网络拓扑结构(IP地址均为虚拟,与案件无关)
跳板机的使用不仅限于非法活动。例如,他们可能通过一系列安全配置的服务器来远程访问网络资源,这样做既可以保护访问者的隐私,也可以加强对敏感系统的保护。
直接访问受限
这里以“对某涉案公司案件为例”,尝试登录涉案网站后台发现,该网站采取了访问限制措施,通过远程勘验发现同样无法连接到服务器,办案人员通过常规取证方式无法直接对其取证。
后经过现场勘验、问询等,发现涉案运维人员在维护过程中首先要统一登录到跳板机服务器,然后再通过跳板机登录到目标设备进行维护和操作。
考虑到跳板机可以通过SSH连接涉案集群,于是我们便可以在该涉案跳板机上建立一个代理通道,此时,取证电脑就能够以“跳板机的内外网IP”对涉案服务器进行取证。
在跳板机上安装Python环境,使用pip命令安装pproxy程序(pproxy是一个简易与快捷的代理通道构建程序)。
安装完成后,输入pproxy命令便可在跳板机打开默认的8080端口用作取证的代理端口。
使用-l参数后,可以自定义各种功能,如图。
后面格式是:{协议}://[{加密算法}@]{网络地址}/[@{本地绑定}][,{插件}][?{规则}][#{设定连接源用户名密码}]
例如:需要使用跳板机上任意IP地址的789端口作为取证端口,使用http协议作为代理,用户名为pinghang,密码为PINGHANG,输入命令如图:
至此,针对目标在跳板机上的取证准备工作就完成了。接下来通过平航服务器远程勘验系列产品即可对目标涉案服务器进行远程勘验。
当前,平航服务器远程勘验系列产品均支持各类涉案服务器远程勘验需求,支持服务器多种连接方式,包括手动连接、自动连接、直接连接、代理连接、自定义部署代理,代理协议支持SOCKS4、SOCKS5、HTTP等。
如果大家在实战过程中也有类似问题或需求,也可以联系平航官方获取更多、更高效的专业技术支持!
产品试用请联系平航区域业务人员或拨打4008-390-960
扫描下方二维码,获得不同权益!
1. 关注平航科技官方微信公众号,掌握第一手产品、技术、热点资讯!
2.添加平航科技远程技术中心企业微信,实战技术难题、产品使用问题、产品建议意见反馈,通道畅通无阻!
3. 扫码填写信息,订阅平航科技取证技术简报,每个季度的新兴技术、实战经验等,与您共享!
平航科技
官方微信公众号
平航科技
远程技术中心
平航科技
技术简报订阅
*平航取证技术简报限【公检法用户】订阅,请务必提供您的任职单位信息~ 不符合要求的订阅申请,暂不受理。
杭州平航科技有限公司
全国技术热线 : 4008-390-960
杭州总部地址:
杭州市 滨江区滨安路650号A座16层
北京办事处地址:
北京市 西城区莲花池甲5号1号楼2单元507室
广东办事处地址:
广州市 越秀区环市东路370-372号2616室
江苏办事处地址:
南京市 玄武区珠江路88号A座2110室
原文始发于微信公众号(平航科技):【技术分享】巧用代理通道连接受限服务器取证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论