Windows Network Monitor 3.4

Microsoft Network Monitor 3.4

Brief Description
Tool to allow capturing and protocol analysis of network traffic.
Quick Details
Version:3.4 2350
Knowledge Base (KB) Articles:KB933741
Date Published:6/24/2010
Download Size:6.1 MB - 21.0 MB*

*Download size depends on selected download components.


Windows Network Monitor For Windows Server 2008

Review of the Windows 2008 Network Monitor (Netmon.exe)

The Microsoft Network Monitor v3.2 is a tool which captures TCP/IP packets and reveals their source and destination addresses along with detailed information stored in the datagram header.  All that is required to collect and display data is a computer with a network card, you don't need a router as you do with proprietary NetFlow traffic analyzers.

Server 2008 Network Monitor v 3.2

Topics for Windows 2008 Network Monitor 3.2

Intro to Microsoft Network Monitor 3.2
Typical Tasks for Microsoft Network Monitor
What's new in Network Monitor 3.2
Using Capture Filters
Enable Network Conversations
7 Tips for Windows Network Monitor
NetFlow Traffic Analyzer

Introduction to Microsoft Network Monitor 3.2

Reports of Windows Network Monitor's demise have been exaggerated.  Version 3.2 is thriving; furthermore Netmon is ready to capture network frames on a Windows Server 2008 computer.

What has caused the confusion is that in Windows Server 2008 you cannot add the Network Monitor as a 'Feature'; instead you must download the utility from Microsoft's site, and then install it from the Win32 Cabinet Self-Extractor.  In the old days with Windows 2000/3 you could install version 1, or 2 from the Add/Remove Programs, Windows Components.

Network Monitor 3.2 not only works on all modern Windows operating systems, such as Server 2008, Vista, Windows Server 2003 and XP, but it is also is supported by Microsoft.

Typical Tasks for Microsoft Network Monitor

Whilst it is easy to understanding the twin principles of capturing network traffic and displaying information, getting this tool to work can be frustrating for a beginner.  It reminds me of learning to windsurf, at first it seems impossible that I could stand up on that board, never mind manoeuvre the sails.

Most of the problems learning to use Network Monitor stem from being swamped by the volume of data that this utility collects.  The best way to start your voyage is to focus on the filters.  What really helps is if you have a clear purpose for each journey with Netmon, that way you don't get side-tracked by irrelevant menus.  Moreover, each successive journey will be easier because you can navigate by familiar landmarks.

Troubleshooting connectivity problems. 
Let us imagine that DNS is not working.  If you capture the appropriate frames with the Network Monitor, you may discover from the destination address that your machine is trying to connect to a non-existent DNS server.

Calculating server response times. 
Each packet has date / time information, thus you can measure response times for conversations between your computer and various servers.  If necessary you could instigate a conversation with ping.

TCP re-transmissions.

  P-mode Promiscuous mode capture for network monitor.

A significant number of re-transmissions could indicate an intermittent connection problem.

Identify broadcast traffic.
Broadcast traffic is an old enemy of network managers.  You could use seeking broadcast or multicast traffic as an opportunity learn more about Network Monitor, while you check for a well-known network problem.

Your first task is to find, and then research the P-Mode button.  The 'P' stands for promiscuous capture.

Guy Recommends:  A Free Trial of the Orion Network Performance Monitor (NPM) v10

Solarwinds' Orion performance monitor will help you discover what's happening on your network.  Also this utility will guide you through troubleshooting; the dashboard will indicate whether the root cause is a broken link, faulty equipment or resource overload.  Because it produces network-centric views, the NPM is intuitive to navigate, and you can export the results to Microsoft Visio.

Perhaps Orion's best feature is the way it suggests solutions.  Moreover, if problems arise out of the blue, then you can configure Orion NPM v10 to notify members of your team what's changed and how to fix it.

If you are interested in troubleshooting, and creating network maps, then I recommend that you take advantage of Solarwinds' offer and download a free trial of Orion's Network Performance Monitor.

Network Monitor History

Version 3.2 is the latest version of Network Monitor for use with Windows Server 2008.  Previous versions, namely 2.0, 1.1, and 1.2, were for Windows Server 2003 and 2000.

What's new in Network Monitor 3.2

Find Network Conversations:  This new feature works by segregating related frames.
Process tracking:  Check for rogue processes.  Learn about 'good' processes.  It works by categorizing packets based on the ID of the process.
Better GUI for the Server 2008 monitor.  Easier to drag and resize the various windows.
Support for parser upgrades. 
Tip: Check the version number in Control Panel.  Go to Programs and Features, right click on the Columns, choose 'More' and add the 'Version' tab.  Scroll down to Microsoft Network Monitor: Parsers.

The Capture

To capture frame data, you must install both the Network Monitor and its driver on the local computer. The Network Monitor driver (also called the Network Monitor agent) enables the Netmon executable to receive and display frames from a NIC (network interface card).

Once netmon.exe has captured the packets from the network card, its parsers can convert raw data into information that you can analyze in the GUI.  As a result you (or anyone else) can read the rich seam of information carried within the packets, including unencrypted passwords and other sensitive information.

Using Capture Filters

The efficiency of Network Monitor's collection coupled with the parsers' detailed analysis results in an embarrassment of riches.  The key to getting the most from Network Monitor is to master the filters.  Actually, the capture and display filters use the same syntax.

Network Monitor Options

Before you start proper work, it's a good idea to set the Server 2008 monitor 'Options'.

Tools Menu --> Options --> Capture

Temporary capture file (Buffer Size)
Folder Location
Capture only first x bytes of a frame - useful if you want to conserver buffer space and you are only interested in the frame's header.

As fast as the driver or agent receives network packets so they are stored temporarily in a capture buffer.

Next the Network Monitor 3.2 compares the frames in the buffer with the capture filter. All the frames that match the capture filter are displayed in the GUI.  Frames which don't match are discarded.

Begin with Standard Filters

Begin by clicking on the Filter menu, Capture (or Display) Filter --> Load Filter - Standard Filters.  Now make your selection, for instance HttpWebpageSearch.

You will soon get the idea of how the filter works, but does take a while to achieve just the results that you want.  Just 'playing' can result in confusion, what helps is a clear goal, for example you just want to capture http traffic.

Master typing in the Filter dialog box


Once you have used some of the Standard Filters, the learning progression involves selecting data by harnessing the IntelliSense of the Capture (or Display) Filter box.  Begin by typing a period (.) also called the full stop.  Now you should see the top level names.  Type 'p' and IntelliSense kicks in again and displays Protocol.

You could repeat the method and thus append HTTP.  The result should look like: .Protocol.HTTP. 

Alternative Filter Method

Another way of creating filters is to reverse engineer a frame capture.  Start with the Frame Summary screen, then right click an interesting entry.  Next select: 'Add Source to Display Filter' from the drop-down menu.  The knack is to select the 'Source' column for your click, rather than the 'Time Offset'.

Save Your Captures

You can save a capture file by clicking Save As on the toolbar.  A good option when you save is to select only those frames which match your filter criteria.   Naturally you can load previous captured files by using the Open Capture dialog box.

Copy Frames

At first the idea of copying frames did not seem to offer much benefit.  But then I realized that you could copy a bunch of frames into Excel and then unleash the spreadsheet's maths on the numeric fields.  For example, calculating average response times.

On another occasion I pasted the data into an email and thus made the point forcibly to the party who was hogging the network.

Quick Capture Statistics

During a capture, Network Monitor 3.2 displays statistics in the status bar at the bottom of the window:

Displayed: The number of displayed frames in the Frame Summary window.
Dropped: The number of dropped frames.
Captured: The total number of frames captured for the active tab.

Network Monitor Conversations

Guy Recommends: SolarWinds Engineer's Toolset v10

The Engineer's Toolset v10 provides a comprehensive console of utilities for troubleshooting computer problems.  Guy says it helps me monitor what's occurring on the network, and the tools teach me more about how the system itself operates.

There are so many good gadgets, it's like having free rein of a sweetshop. Thankfully the utilities are displayed logically: monitoring, discovery, diagnostic, and Cisco tools.  Download your copy of the Engineer's Toolset v 10

Enable Network Conversations

Isolating conversations is a useful technique for grouping captures, and seeing more clearly what is occurring.  Displaying Network Conversations in a new feature of Netmon v 3.2, and the key point is to select the conversation from the tree on the left of the Network Monitor GUI.

You can take this troubleshooting technique one stage further by selecting 'Show Processes' (see Options screenshot above).

Using this technique you could research unknown processes; one day you may discover a rogue program that has infiltrated your network.

Network Monitoring with Virtual Machines and Windows Server 2008's Hyper-V

In a nutshell, network monitoring between Windows Server 2008 Virtual Machines is difficult.  A Network Monitor on the Server 2008 host computer cannot see traffic between VMs because this traffic never reaches the capturing agent or driver on the host.  The only traffic you can see on the host is traffic from the VMs to an external computer.  Remember that the Network Monitor on a VM can capture only traffic directed to or from that VM.

Advanced Topic - How Network Monitor Parses

All network traffic monitors rely on two processes, firstly, capturing your network's packets, frames or datagrams (call them what you like).  Secondly, a parsing engine which makes sense of the raw bits, bytes or data (call it what you like).

Once you have mastered the basics of capturing and filtering the network traffic, you may wish to investigate a whole new world of parsers.  On the one hand parsers teach you how packet collection works 'under the covers', on the other hand, parsers are the gateway to a new level of controlling the way raw data is displayed in the monitor.

Getting Started
Click the 'Parsers' tab next to the Start Page.

Begin with an overview of all the available parsers.  As you gain in confidence and experience, you could try modifying and saving the new Parsers.  However, to my mind being an expert at creating parsers is a different and higher level skill from troubleshooting data.

The built-in parsers are written in the Network Parsing Language (NPL), this is means that there is a whole industry who use a common standard when developing parsers.

7 Tips for Windows Network Monitor

Consider 'Frame Truncation' to conserve your buffer size improve collection performance (Tools Menu, Options).
Lookout for, and be aware of, context sensitive menu variations.
Copy and paste portions of your capture into Excel, then calculate totals or chart data.
Consider creating an Alias for IP addresses.
Check out the Filters --> Color Filters.
Get out of jail 'Restore'
View menu --> 'Window' --> 'Restore Default Layout'.
It's worth checking the version number of the Network Monitor in the Server 2008 Control Panel. Go to Programs and Features, right click on the Columns, choose 'More' and add the 'Version' tab.

Real-time Network Traffic Analyzer - An Alternative to Windows Network Monitor

Many network managers give up on Network Monitor.  This is because they find collecting network traffic tedious.  Even if they manage to capture network conversations they find it difficult to make sense of the data.

If you find the Server 2008 monitor frustrating, then try an alternative that takes the pain out of network traffic analysis.  One advantage of this NetFlow Analyzer is that you can view server availability instantly.  Download your copy of the SolarWinds free Real-time NetFlow Analyzer.

There is Also a Command-line Tool Called Nmcap.exe

For those who love the command-line, they can control the Network Monitor with the Nmcap executable.

You can use the same filters at the command line as seen in the Capture Filter GUI.   Once you have perfected filters in the GUI you could copy and paste them into the Nmcap command-line.  The syntax is /Frame <Your Filter>.


Web Security 網站安全基礎

Written by Allen Own    Friday, 21 May 2010


網路安全一直都是相當重要的議題,網站就是所有使用者的入口,提供各種服務的網站也有著各式各樣的風險,因此網站一直以來都是駭客攻擊的首要目標。 一個網站的安全與否取決於很多因素,作業系統的版本、網站應用程式的撰寫、架構的設計、使用者的設定等等。只要任何一個環節出問題,都會導致整個網站暴露 於風險之中。技術層面來看,管理者必須要時時跟隨系統應用程式的腳步,注意最新的消息、技術和攻擊手法,因應進行修補及防護,才能確保系統處於安全的狀態。


人們在探討資訊安全的時候,往往會有一個想法,就是什麼系統是不安全的,什麼軟體是不安全的,甚至什麼公司出產的軟體都是有問題的。但是其實大家必 須要有一個觀念,多數的情況,不安全的其實是人,而不是系統。一個再安全的系統,只要管理者做出了錯誤的設定,攻擊者就可以因此直接進入到我們的系統。在 我們遇到的案例中,多數的弱點都是由管理者的疏忽所發生的。

為什麼資訊安全的重要性越來越高?主要是因為網路為主的應用大量增加,開發技術也越來越簡易,使用攻擊程式進行攻擊的門檻也日漸降低。因此只要有心 人士找到相對應版本的攻擊程式,就可以輕易的對我們的主機進行攻擊。

Google Hacking!

攻擊的門檻到底有多低呢?利用 Google Hacking 這樣的手法,就可以對一個網站進行攻擊。Google Hacking 是一個無技術門檻的攻擊手段,藉由網站管理者錯誤的設定及疏失,以及 Google 搜尋 Index 的能力,搜索可攻擊的網址。攻擊者可以因此取得網站資訊、攻擊標的和暴露的弱點等等。

Google Hacking 到底有多危險呢?以下圖為例,我們只要在網路上搜尋一些字串,就可以取得一些令人驚訝的資訊。例如說我們搜尋「密碼表 ext:xls」,就會找到以下的資訊。有心人士就可以因此利用以下的資訊進行進一步的攻擊。還有其他攻擊手法,可以找到其他系統資訊,我們在這邊就不多 做介紹。如果想要知道更多 Google Hacking 的語法,可參考以前的 「Google Hacking Database」,可 以找到一些相關的範例。



在了解系統該怎麼防護之前,一定要先了解駭客的思維,因為駭客想的跟你不一樣!一般來說,駭客攻擊的流程可以分為五個步驟:偵查、掃描、取得權限、 維持權限、清除足跡。

偵查 (Reconnaissance)


掃描 (Scanning)


取得權限 (Gaining Access)


維持權限 (Maintaining Access)


清除足跡 (Clearing Tracks)




駭客鎖定了一個受害者網站,從 Google 上搜尋此網站所有的相關資訊。並利用 Google Hacking 技術找到所有網站暴露的目錄及檔案。

接著,經由網站找到的弱點,嘗試進行攻擊。並且植入 Web Shell 後門,透過網頁連入操控主機。例如:

連入主機後發現帳號權限不足,因此從主機內尋找可用的資訊。例如從 /etc/passwd 找尋可用帳號,利用 /var/log 查詢系統可用資訊,或者搜尋有無 setuid 檔案可供利用。

下個步驟,駭客發現主機 Kernel 版本過舊,有可提權的弱點。因此撰寫或搜尋 Exploit 進行攻擊,取得 root 管理者權限。

得到權限後,為了方便連入主機,放置後門供日後使用。常用的手法例如建立主機帳號、/etc/rc.d 放置後門,代換 sshd 系統服務等。





就如同前面所講,網站是一個窗口,使用者經由網站取得資訊,攻擊者也經由網站進行攻擊。因此網站的防護就是第一道防線。如果第一道防線都沒有做好, 那攻擊者就可以長驅直入。那我們到底要怎麼去確保網站安全呢?目前網路上 OWASP 組織有提供各種防護方法以及弱點介紹,讓網站管理者依循維護及修改。

我們會在下面繼續有關 OWASP 的詳細介紹。

接下來我們要介紹身為開發者的我們,要如何去確保自己的網站應用程式是安全無虞的。透過網路上 OWASP 組織提供的防護方法以及弱點介紹,我們可以很快的檢視自己的網站是否有安全弱點。以下我們會介紹 OWASP Top 10 十大網站安全弱點,以十項最常見的弱點來介紹網站的安全問題。

Open Web Application Security Project  開放網站應用程式安全計畫

OWASP 是一個開放社群的非營利組織,致力於改善網站應用程式的安全性。OWASP Top 10 揭露常見的網站應用程式弱點,以供軟體開發安全參考。 OWASP Top 10

通常我們會針對 OWASP Top 10 來進行基本的網站安全風險說明。目前 OWASP Top 10 釋出 2010 年版。十大風險如下:

A1 – Injection(注入攻擊)
A2 – Cross Site Scripting (XSS)(跨站腳本攻擊)
A3 – Broken Authentication and Session Management(身分驗證功能缺失)
A4 – Insecure Direct Object References(不安全的物件參考)
A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)
A6 – Security Misconfiguration(安全性設定疏失)
A7 – Failure to Restrict URL Access(限制 URL 存取失敗)
A8 – Unvalidated Redirects and Forwards(未驗證的導向)
A9 – Insecure Cryptographic Storage(未加密的儲存設備)
A10 – Insufficient Transport Layer Protection(傳輸層保護不足)


A1 – Injection(注入攻擊)

網站應用程式執行來自外部包括資料庫在內的惡意指令,SQL Injection 與 Command Injection 等攻擊包括在內。 因為駭客必須猜測管理者所撰寫的方式,因此又稱「駭客的填空遊戲」。

舉例來說, 原本管理者設計的登入頁面資料庫語法如下:

$str = "SELECT * FROM Users WHERE Username='“.$user."' and Password=‘”.$pass."'“;

如果說 $user 以及 $pass 變數沒有做保護,駭客只要輸入「’ or ‘‘=’」字串,就會變成以下:

$str = “SELECT * FROM Users WHERE Username='' or ''='' and Password= '' or ‘’=‘’”;

如此一 來,這個 SQL 語法就會規避驗證手續,直接顯示資料。

1. 找出未保護變數,作為注入點
2. 猜測完整 Command 並嘗試插入
3. 推測欄位數、Table 名稱、SQL 版本等資訊
4. 完整插入完成攻擊程序

防 護建議:
● 使用 Prepared Statements,例如 Java PreparedStatement(),.NET SqlCommand(), OleDbCommand(),PHP PDO bindParam()
● 使用 Stored Procedures
● 嚴密的檢查所有輸入值
● 使用過濾字串函數過濾非法的字元,例如 mysql_real_escape_string、addslashes
● 控管錯誤訊息只有管理者可以閱讀
● 控管資料庫及網站使用者帳號權限為何

A2 – Cross Site Scripting ( XSS )(跨站腳本攻擊)

網 站應用程式直接將來自使用者的執行請求送回瀏覽器執行,使得攻擊者可擷取使用者的 Cookie 或 Session 資料而能假冒直接登入為合法使用者。

此為目前受災最廣的攻擊。簡稱 XSS 攻擊。攻擊流程如下圖:

1. 受害者登入一個網站
2. 從 Server 端取得 Cookie
3. 但是 Server 端上有著 XSS 攻擊,使受害者將 Cookie 回傳至 Bad Server
4. 攻擊者從自己架設的 Bad Server 上取得受害者 Cookie
5. 攻擊者取得控制使用受害者的身分

● 檢查頁面輸入數值
● 輸出頁面做 Encoding 檢查
● 使用白名單機制過濾,而不單只是黑名單
● PHP 使用 htmlentities 過濾字串
● .NET 使用 Microsoft Anti-XSS Library
OWASP Cross Site Scripting Prevention Cheat Sheet
各種 XSS 攻擊的 Pattern 參考

A3 – Broken Authentication and Session Management(身分驗證功能缺失)

網站應用程式中自行撰寫的身分驗證相關功能有缺陷。例如,登入時無加密、 SESSION 無控管、Cookie 未保護、密碼強度過弱等等。


應用程式 SESSION Timeout 沒有設定。使用者在使用公用電腦登入後卻沒有登出,只是關閉視窗。攻擊者在經過一段時間之後使用同一台電腦,卻可以直接登入。

網站並沒 有使用 SSL / TLS 加密,使用者在使用一般網路或者無線網路時,被攻擊者使用 Sniffer 竊聽取得 User ID、密碼、SESSION ID 等,進一步登入該帳號。


● 所有的密碼、 Session ID 、以及其他資訊都有透過加密傳輸嗎?
● 憑證都有經過加密或 hash 保護嗎?
● 驗證資訊能被猜測到或被其他弱點修改嗎
● Session ID 是否在 URL 中暴露出來?
● Session ID 是否有 Timeout 機制?

● 使用完善的 COOKIE / SESSION 保護機制
● 不允許外部 SESSION
● 登入及修改資訊頁面使用 SSL 加密
● 設定完善的 Timeout 機制
● 驗證密碼強度及密碼更換機制

A4 – Insecure Direct Object References(不安全的物件參考)

攻擊者利用網站應用程式本身的 檔案讀取功能任意存取檔案或重要資料。進一步利用這個弱點分析網站原始碼、系統帳號密碼檔等資訊,進而控制整台主機。

例 如:http://example/read.php?file=../../../../../../../c:\boot.ini。

防 護建議:
● 避免將私密物件直接暴露給使用者
● 驗證所有物件是否為正確物件
● 使用 Index / Hash 等方法,而非直接讀取檔案

A5 – Cross Site Request Forgery (CSRF)(跨站冒名請求)

已 登入網站應用程式的合法使用者執行到惡意的 HTTP 指令,但網站卻當成合法需求處理,使得惡意指令被正常執行。

舉例來說,攻擊者在網 站內放置了 <img src=””> ,受害者讀取到此頁面之後,就會去 主機執行 send.asp 惡意行為。

例如 Web 2.0 時代的社交網站等等,都是 CSRF 攻擊的天堂。

● 確保網站內沒有任何可供 XSS 攻擊的弱點
● 在 Input 欄位加上亂數產生的驗證編碼
● 在能使用高權限的頁面,重新驗證使用者
● 禁止使用 GET 參數傳遞防止快速散佈
● 使用 Captcha 等技術驗證是否為人為操作

或者參考  OWASP 所提供的 CSRF Solution
OWASP CSRFTester Project
OWASP CSRFGuard Project
OWASP CSRF Prevention Cheat Sheet

A6 – Security Misconfiguration(安全性設定疏失)

系統的安全性取決於應用程式、伺服器、平台的設定。因此 所有設定值必須確保安全,避免預設帳號、密碼、路徑等。甚至被 Google Hacking 直接取得攻擊弱點。

● 軟體、作業系統是否都有更新到最新版本?是否都有上最新 Patch?
● 不需要的帳號、頁面、服務、連接埠是否都有關閉?
● 預設密碼是否都有更改?
● 安全設定是否都完備?
● 伺服器是否都有經過防火牆等設備保護?

各種設備、系統的預設密碼, 都可以在網路上找到一些整理資料。

A7 – Failure to Restrict URL Access(限制 URL 存取失敗)

網頁因為沒有權限控制,使得攻 擊者可透過網址直接存取能夠擁有權限或進階資訊的頁面。例如管理介面、修改資料頁面、個人機敏資訊頁面洩漏等等。

這 些都是常見的路徑及檔案。攻擊者只要猜測到,就可以操弄主機。

● HTTP Service 直接限制來源 IP
● 使用防火牆阻擋
● 密碼授權加密頁面
● 網站架構最佳化

A8 – Unvalidated Redirects and Forwards(未驗證的導向)

網頁應用程式經常將使用者 Forward 或 Redirect 至其他頁面或網站,沒有驗證的機制。攻擊者可將受害者導向至釣魚網站或惡意網站,甚至存取受限制的資源。


防 護建議:
● 非必要時避免使用 Redirect 及 Forward
● 驗證導向位置及存取資源是合法的

A9 – Insecure Cryptographic Storage(未加密的儲存設備)

網站應用程式沒有對敏感性資料使用加 密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。加密演算法是安全防護的最後一道防線,當駭客取得了帳號密碼,可以簡單的使用一些破解軟體甚至線 上服務進行破解。例如 Cain & Abel,MD5 Reverse Lookup 等。

● 使用現有公認安全的加密演算法
● 減少使用已有弱點的演算法,例如 MD5 / SHA-1,甚至更簡單的加密法
● 安全的保存私鑰

A10 – Insufficient Transport Layer Protection(傳輸層保護不足)

網頁應用程式未在傳 輸機敏資訊時提供加密功能,或者是使用過期、無效的憑證,使加密不可信賴。

例如:攻擊者竊聽無線網路,偷取使用者cookie;網站憑證 無效,使用者誤入釣魚網站。

● 盡可能的使用加密連線
● Cookie 使用 Secure Flag
● 確認加密憑證是有效並符合 domain 的
● 後端連線也使用加密通道傳輸

Cookie Secure Flag 設定:
● PHP setcookie ("TestCookie", "", time() - 3600, “/", "", 1);
● JSP cookie.setSecure(true);
● ASP.NET cookie.Secure = True;

小 結

以上 OWASP Top 10 包含了大部分常見的網站安全弱點,但並不是只有這些。管理者必須時時注意最新的資安消息,並且對自己的主機定時進行更新,檢查系統記錄檔,絕不可有僥倖之 心。如此一來,才能確保主機處於安全的狀態。


以下附上常見的弱點資料庫 以及網站淪陷資料庫,管理者可以定期瀏覽最新的資訊安全消息,並且檢查自己的網站有沒有在淪陷資料庫榜上有名。

CVE - Common Vulnerabilities and Exposures (CVE)
National Vulnerability Database 
VUPEN Security

TW 網站淪陷資料庫

◎ 作者簡介

翁浩正 ( Allen Own )

網駭科技技術顧問,資安團隊 NISRA 創辦人,多年網路管理、資訊安全、駭客攻防技術經驗,自覺什麼都沒有,只有滿腔熱血。



Partition Wizard Home Edition

Partition Wizard是 一個功能類似Partition Magic的軟體,可以用來分割合併硬碟磁區,不過其實它也可以用來清除硬碟資料,甚至比起官方工具更加專業,還提供了美國國防部等級的資料刪除方式,這麼強大的功能,卻是完全免費的 喔!

Partition Wizard Home Edition軟體小檔案
》檔案 大小:7.52MB
》作業系統:Windows XP/2003/Vista/7

安裝並開啟Partition Wizard以後,在想要清除資料的硬碟上按一下滑鼠右鍵,選擇【Wipe Partition】。

接著會跳出「Wiping Disk or Partition」對話盒,可依照需求選擇清除的方式,基本上愈底下的選項愈安全,但也愈慢,選擇完成以後按下〔OK〕。
★NOTE: 底下最兩項以「DoD」開頭的選項,是與美國國防部等級相同的資料刪除方式,機密資料刪除的更完全喔!

確 認之後並不會馬上就清除硬碟資料,還必須按下左下角的〔Apply〕才會真正開始。

此時會跳出確認是否要繼續動作的對話盒,按下 〔Yes〕即可。

由於筆者選擇的是「DoD 5200.28-STD」清除方式,需要重複清除7次,因此需要較久的清除時間,80GB硬碟約需3個小時左右才能清除完畢。

清除完畢以後,會跳出「Apply all the pending changes successfully」訊息,就可以按下〔OK〕離開了。


Wireshark 簡單介紹

資訊安全是近幾年相當熱門的話題,在一個封閉的網路環境中,才有可能實現一個絕對安全的網路環境,在網際網路中是不太可能存在這樣的條件。目前,網路環境 中大多建置了各式各樣的網路安全設備,如防火牆(Firewall)、入侵偵測防禦系統(IPS)、內容閘道器(Content Gateway)等,這些設備大多只能夠針對已知的特徵進行過濾和阻擋惡意行為,對於新型態或無法明確定義特徵的行為,則幾乎都達不到防護的要求。

網路封包的解析是目前經常用來解決現有設備不足的最佳方案。分析網路封包,除了能夠找出異常的行為和網路流量之外,也可以用來學習各種不同通訊協定,是網 路管理人員不可或缺的技能。網路提供使用環境,人類是網路的使用者,許多在真實社會發生的事件,仍然會在網路上重演,但是更為隱匿,這也是發展資訊安全技 術的重點所在。


網路封包是目前網路用來傳送資料的最小單位。封包因為不同的應用服務或通訊協定,而有各種不同的大小。一個封包由標頭(Header)和資料(Data) 所組成,封包的屬性被詳細地定義在標頭中,包括所使用的通訊協定、來源的IP位址、來源的通訊埠、目的地的IP位址、目的地的通訊埠等欄位,不過並非所有 的通訊協定都有相同的欄位資料,由於採用不同的通訊協定,網路封包的結構都有些許的差異。

在網路上傳送網路封包,路由器(Router)主要是依據封包標頭所記載的目的地IP位址進行路由的交換,以確定依據目前的路由表(Routing Table)能夠將封包送到目的地。因此,在網路架構中的適當位置擷取網路封包,就可以取得相關的資訊進行行為分析。目前常見的網路封包分析工具有 Tcpdump、Sniffer、NetXRay、Wireshark(Ethereal)等,其中Wireshark雖然屬於Open Source軟體,但是所具備的功能卻足可媲美許多商業軟體。在GNU GPL通用授權的保障之下,使用者可以免費取得軟體及其程式碼,並擁有修改原始碼與客製化的權利。

一般而言,之所以想要解析網路封包,大致上有以下幾種原因:瞭解電腦網路目前進行的動作、監聽側錄另一台電腦網路連線、瞭解網路程式如何運行以及學習網路 通訊協定。透過網路封包的工具,使用者可以掌握目前網路上的通訊和使用者行為模式。準備擷取網路封包時,必須配合Hub、Y-TAP或Switch進行網 路介面的對應,這是因應Switch本身設備的特性而必須進行的設定。大多數中高階的交換器都會提供Port Mirror或Port Mapping功能,這樣才能夠確保安裝網路封包分析工具的設備能夠正確地擷取到網路封包。

網路封包分析工具(Network Packet Analyzer)並不是入侵偵測(防禦)系統,既不會對擷取到的網路封包提出警告,當然也不可能針對任何網路封包進行阻擋的動作。網路封包分析工具主要 是解析網路封包,透過軟體的介面解析網路封包,以呈現使用者真實的網路行為。

因應不同的網路服務,目前網路使用相當多不同類型的通訊協定,這些通訊協定可以視為「溝通」的語言,讓資訊透過相同的語言在網路上進行交流,以下列舉出在 網路層、傳輸層與應用層常見的通訊協定。

TCP/IP 的架構通訊協定
連結層Ethernet、 Wi-Fi、MPLS等

目前網路上有許多不安全的通訊協定,這些通訊協定大多採用明碼的方式傳送,經常造成資訊外洩,如HTTP、TELNET、POP、SMTP等。這些通訊協 定也都應用在常見的網路服務,包括網頁瀏覽、電子郵件接收與傳送,以及遠端管理連線等。傳統的網路服務程序,因為在網路上用明文傳送數據、用戶帳號和用戶 密碼,很容易受到中間人(Man-in-the-middle)方式的攻擊。

TCP是目前網路上最常見的通訊協定,屬於TCP/IP模型中的Application Layer(應用層),能夠確保資料正確可靠地傳送到目的地,TCP連接包含連線建立、資料傳送和連線終止三個狀態。必須完成三向交握,才能夠建立連線。

Client→Server 發送 SYN
Server→Client  發送 SYN/ACK
Client→Server  發送 ACK
HTTP(HyperText Transfer Protocol)是一種網際網路上應用相當廣泛的網路協定,使用者端和伺服端之間可以透過HTTP來傳輸資料,因為在瀏覽大多數的網站時,都會採用網域 名稱的方式,因此在整個建立連線的過程,會先查詢DNS。使用UDP 53埠向系統設定的DNS伺服器進行查詢,待取得解析後的IP位址後,才會進行TCP三向交握的處理,以建立使用者端與伺服器端的連線。


Telnet協議是TCP/IP協議族中的一員,是Internet遠端登入服務的標準協議和主要方式,傳統Telnet連線通訊所傳輸的資 料並未加密, 這代表所輸入及顯示的資料,包括帳號名稱和密碼等隱密資料,可能會遭其他人竊聽,因此目前大多數設備都已經使用安全遠端登入的通訊協定SSH來取代 Telnet。由於SSH採用了加密的機制來保護所傳送的資料,因此透過Wireshark就可以很容易地發現SSH所傳送的網路封包,其內容都經過加密 處理,不像Telnet使用明文的方式來傳送資料。


Wireshark的前身就是大名鼎鼎的Ethereal,目前最新的版本是1.0.2版,各位可以直接到Wireshark的官方網站 (下載,在網站上提供了許多不同作業系 統的版本,可以安裝在各種常見的作業系統中,在資訊安全領域 中,Wireshark被廣泛應用在網路封包的解析,目前已經能夠解析超過七百種的通訊協定,所以對於目前網路上所使用的通訊協定,幾乎都能夠辨識與解 析。此外,Wireshark也結合了強大功能的過濾器,讓使用者可以針對特定的目標分析網路封包,有助於通訊協定的行為研究與異常行為的偵測。



libpcap, tcpdump and various other tools using  tcpdump's capture format
Sun snoop and atmsnoop
Shomiti/Finisar Surveyor captures
Novell LANalyzer captures
Microsoft Network Monitor captures
AIX's iptrace captures
Cinco Networks NetXray captures
Network Associates Windows-based Sniffer and  Sniffer Pro captures
Network General/Network Associates DOS-based  Sniffer (compressed or uncompressed) captures
AG Group/WildPackets EtherPeek/TokenPeek/ AiroPeek/EtherHelp/PacketGrabber captures
RADCOM's WAN/LAN Analyzer captures Network Instruments Observer version 9 captures
Lucent/Ascend router debug output
HP-UX's nettl
Toshiba's ISDN routers dump output
ISDN4BSD i4btrace utility
traces from the EyeSDN USB S0
IPLog format from the Cisco Secure Intrusion
Detection System
pppd logs (pppdump format)
the output from VMS's TCPIPtrace/TCPtrace/ UCX$TRACE utilities
the text output from the DBS Etherwatch VMS utility
Visual Networks' Visual UpTime traffic capture
the output from CoSine L2 debug
the output from Accellent's 5Views LAN agents
Endace Measurement Systems' ERF format captures
Linux Bluez Bluetooth stack hcidump -w traces
Catapult DCT2000 .out files

如果之前使用過上述的軟體擷取好檔案,就能夠直接透過Wireshark開啟並且運作所提供的各種過濾器與統計分析的功能進行處理,解決原工具可能無友善 使用者介面的問題,例如純文字模式的tcpdump就無法提供像Wireshark一樣強大的過濾器與圖形介面。將tcpdump的檔案載入到 Wireshark中,就能夠快速針對封包的內容與網路封包所隱藏的行為進行分析,使用上相當的方便。


Wireshark雖然不是商業軟體,但是所提供軟體介面相當優秀,具備完整的過濾器和統計分析的功能。其操作介面分成幾個主要的部份,包括最上方的功能 表和各種工具列、網路封包的清單、封包的標頭和封包的內容,並且以不同的顏色來代表各種不同的通訊協定或是過濾條件。這樣的設計讓使用者在擷取網路封包的 過程中,就能夠即時瞭解目前網路上所傳送的網路封包類型。由於Wireshark可以解析超過七百種的通訊協定,因此幾乎所有協定都能夠解碼,就算將來有 新的通訊協定推出,也會因為其採用開放原始碼的授權方式,而能夠快速地發展解析新通訊協定所需要的程式,這對於適應未來網路的發展相當重要。

另外,在網路封包清單中,可以針對不同的網路通訊協定或過濾規則指定顏色,這種設計方式可以協助使用者快速辨識各種不同通訊協定,或是過濾規則符合目前網 路流量的情況,能夠更直覺地進行後續處理。


啟動Wireshark程式之後,將會自動載入通訊協定的解碼以及偵測目前系統上的網路介面。以目前Wireshark的版本而言,能夠辨識相當多的網路 介面裝置,除了實體的網路介面卡之外,虛擬機器(Virtual Machine)所使用的虛擬網卡大多也能夠辨識,因此從系統上同時針對虛擬機器中的作業系統來分析網路通訊協定相當容易。在網路介面卡清單中,可以瀏覽 即時的網路狀態,例如目前進入該網路介面的封包數和每秒的封包量。Wireshark另外也提供了三個控制按鈕,可以針對後續的處理程序進行控制,如果想 要進一步的瞭解網路介面卡的細部資訊,按下〔Details〕按鈕即可查看。如果在準備擷取網路封包之前,想要設定擷取網路封包時的處理機制或是套用的過 濾條件,可以按下〔Options〕按鈕進行修改。


在選項設定畫面中可以選擇準備擷取的網路介面卡,透過下拉式選單就能夠輕易地找到想要擷取的網路介面卡。在預設的情況下,Wireshark會將擷取到的 網路封包儲存在記憶體中,不過這樣的方式不適用在長時間的網路封包收集上,因此如果想要進行長時間的網路封包收集,可以指定儲存的檔案名稱,以及是否要分 割成多個檔案,並且可以指定分割檔案的規則等。另外,針對擷取網路封包時的畫面處理方式,建議在此勾選自動捲動(Automatic scrolling in live capture)功能,如此一來在主畫面上就能夠自動地捲動網路封包清單的捲軸,可以直接觀察到最新的網路封包資料。最後,在名稱的反解上,可以選擇是否 啟動MAC Name、Network Name和Transport Name的解析,這個項目依據實際的需求來決定即可。


此外,針對網路封包所使用的通訊協定, Wireshark在預設的情況下會啟用所有能夠辨識的通訊協定,不過使用者仍然可以自行選擇想要比對的通訊協定種類。
如果確定某些通訊協定並不存在於收集網路封包的環境中,則可以停用這些通訊協定,這在較繁忙的網路環境中將能降低比對的協定種類與數量,也可以避免因為硬 體效能的問題而遺失原本打算擷取的網路封包。通訊協定清單中提供詳細的描述,可以做為是否啟用這些通訊協定的參考。


以Wireshark的操作介面配合滑鼠右鍵的快速功能表選單,就能夠輕易地過濾或追蹤所指定網路封包或特定的通訊協定,這對使用者而言是相當方便的設 計。

Wireshark提供了圖形化的操作介面和功能完整的過濾器,提供使用者相當友善的操作方式,能夠快速地找到想要分析的網路封包。透過其內建的通訊協定 解析功能,使用者可以掌握每一個網路封包的詳細資訊,除了能夠瞭解封包所傳送的內容之外,也可以學習各種通訊協定的行為模式。


前面介紹了HTTP建立連線的過程,在輸入想要開啟的網址時,必須先透過DNS伺服器進行名稱的解析。藉由Wireshark所擷取到的網路封包,很容易 觀察到這個現象,以驗證整個行為的模式是否符合預期。


Wireshark具備功能十分完整的過濾器(Filter),使用者可以輸入關鍵字或條件,協助鎖定分析目標。在條件輸入的欄位內,如果使用的語法正 確,底色將會變成綠色,反之,則會出現紅色底色,提醒使用者必須確認所輸入的過濾條件以及語法是否有誤。


ARP是區域網路中常見的通訊協定,主要是用來查詢網路介面卡的實體位址。在區域網路中擷取封包時,若配合「arp」當作過濾的條件,將會發現如下圖的畫 面,在這裡可以發現許多廣播封包正詢問區域網路中是否存在這些電腦。
在正常情況下,如果在區域網路內收到這類型的網路封包已連上網路的主機將會進行回應,因為經常會看到一些閘道器(Gateway)或路由器 (Router)發送出來的詢問封包,而這些封包正在找尋該網段中電腦或設備所使用的MAC位址。若配合過濾器,則必須輸入「arp」以作為過濾的條件, 這樣可以很容易地將焦點聚集在ARP這個通訊協定上。


當發現有興趣進一步分析的網路封包,在點選該網路封包後,就可以透過滑鼠右鍵的功能表選單,直接指定交談時的過濾器,這樣就能夠很快地產生過濾條件,並且 自動填入過濾規則的欄位中。


Wireshark針對通訊協定提供了完整的Follow TCP/UDP Stream功能,能夠依序追蹤網路封包所傳送的內容,此種方式可以將有關聯性的網路封包一起呈現,如此在進行網路行為或通訊協定的行為分析時,將更為清 楚易讀。

▲Follow TCP Stream功能

針對已收集到的網路封包,可以進一步針對來源和目的地位址進行交談行為的分析,透過清單的方式,很快地就會知道那些IP之間的通訊,以及所使用的通訊協定 為何,在這個統計的分析中,仍然可以得知封包的數量、每秒的封包量以及封包的大小等等。


在統計分析的畫面,同樣可以快速地製作出過濾的規則。在指定的項目上,透過滑鼠右鍵的功能表選單,直接指定【Apply as Filter】,並且選擇想要分析的流量。指定時必須仔細思考要觀察與不需要觀察的項目有那些,如此過濾規則時,可成為參考的依據。


當完成過濾規則之後,將會自動將產生好的過濾條件,直接填入過濾器的欄位中,不論是正在收集或是單純想要分析以往收集的資料,都能夠透過這樣的方式分析網 路封包。


Endpoint的統計畫面會統計目前收集到的封包,主要分成「Ethernet」、「Fiber Channel」、「FDDI」、「IPv4」、「IPX」、「JXTA」、「NCP」、「RSVP」、「SCTP」、「TCP」、「Token Ring」、「UDP」、「USB」和「WLAN」進行統計與分析。每一個項目都將終端的主機詳列成清單,並且統計各個主機所傳送的網路封包數量與大小。


統計的資料可以事後分析,也可以即時分析,因此想要瞭解目前網路上的使用情況,透過統計分析的功能,就能夠更清楚掌握網路的現況。對於所收集到的網路封 包,可以針對主機或是通訊協定進行分析,也可以選擇特定主機流入或流出的網路封包進行分析。當然,也可以依據通訊的雙方進行分析,不同的條件都可以在 Wireshark中統計與分析,以提供不同的資訊給使用者。

Wireshark提供完的網路協定分析功能,透過各種統計分析能夠掌握目前網路的狀態,目前支援相當多種不同層級的統計與分析方式,可以統計每一種通訊 協定在整個收集網路封包的過程中,佔有多少的比例、封包的總量、封包大小的總和,以及每一秒送了多少Mbit的資料等,這些數據讓使用者能夠輕易地掌握目 前網路的現況。


Wireshark還提供了一項相當貼心的設計,針對目前所收集到網路封包,可以任意指定一個想要納入防火牆管理的網路封包,直接產生出不同平台使用的安 全規則,這對於管理防火牆的工程師而言是相當好用的工具,因為能夠依據所產生好的安全規則直接組態設定到設備上,縮短相當多的處理時效。先指定好設備的廠 牌後,就可以依據Filter的內容,配合所指定的處理方式,轉換成設備組態所需要的安全規則,使用上相當方便。


如果想要在網路封包中找尋特定的字串,可以利用Wireshark所提供的搜尋封包功能,開啟「Edit/Find Packet」功能之後,可以發現這裡提供了三種不同的模式:「Display filter」、「Hex value」以及在找尋字串時所要使用「String」模式。接著,輸入想要找尋的字串即可,例如username或pass等,這些必須是明文的字串才 行,一般而言可以針對所傳送的參數進行搜尋。


一些不安全的通訊協定(如POP),在使用者端的郵件軟體向郵件伺服器進行收信的動作時,會將使用者帳號與密碼以明文的方式進行傳送,此時如果透過 Wireshark進行分析時,將會發現使用者的帳號與密碼資料,因而造成機敏資料外洩的問題。
在網路攻擊或異常流量的偵測上,以DDoS攻擊對於網路流量的影響最大。在極短的時間內會收集到相當多的封包,進而影響到網路的頻寬和伺服器本身的效能, 例如遭受到大量的UDP網路封包攻擊時,透過網路封包的分析,就能夠得知許多假冒來源IP位址的網路封包正針對特定的目標傳送大量的UDP網路封包。


如果攻擊的方式是使用TCP進行,則可以看到三向交握的第一個SYN網路封包,這樣的攻擊模式會造成受到攻擊的主機必須耗費相當多的系統資源,等待遠端的 電腦回應SYN/ACK的網路封包。當資源耗盡時,受攻擊的主機就無法再提供網路服務。這樣的攻擊行為同樣可以透過Wireshark所擷取到的網路封包 進行分析,進而掌握攻擊者的攻擊方式。


Wireshark面對大量的攻擊封包時,有可能會因為系統效能不彰而影響到所收集到的網路封包,此時增加記憶體的容量、使用Gigabit以上的網路介 面卡或是更高速的中央處理器,就能夠改善這個問題。



HTCIA Asia Pacific Annual Training Conference 2010

December 8 – 10, 2010

HTCIA 高科技犯罪調查協會亞太區培訓年會,每年12月上旬在香港舉辦。該會議將國際最新技術和產品引入亞太區,吸引了亞洲地區國家專業人士參與及交流。2010 年度年會將於12月8-10日在中國香港舉辦。2010年為第四屆年會。

International High Technology Crime Investigation Association 2010

September 20 – 22, 2010
Atlanta, Georgia.

HTCIA 國際高科技犯罪調查協會培訓年會及展會,每年於8-10月在美國舉辦。每屆會議均吸引了國際各國的專業人士參與及交流。世界知名的專家、學者被邀進行主體 演講和培訓。世界主流廠商參與展覽。2010年度將於9月20-22日在美國亞特蘭大舉行。

China Computer Forensics Conference & Exhibition (CCFC 2010)

June 28 – July 2, 2010
Beijing, China.

中國計算法證技術峰會是在國內舉辦的專業性最強的法證會議,內容涉及計算機、電子證據、手機取證、網絡取證和密碼破解的法 證會議。會議使您有機會與國際知名學者交流,瞭解掌握國內外最新計算機法證技術及發展趨勢,以獲取新技術,掌握技能為特色的會議。會議每年六月舉 辦,2010年為第六屆年會。

Techno Security 2010

June 6 - 9, 2010
Myrtle Beach, SC.

Techno 安全會議每年6月在Myrtle Beach 舉行。2010年是第20屆年會。會議擁有行業頂級專家。
同時,每年8-10月還將舉辦Techno Forensics 年會。兩個會議中都包含很多計算機法證的專業題目。

Computer and Enterprise Investigations Conference 2010

May 24 – 27, 2010
Summerlin, Nevada.

CEIC 是一個國際知名的、為所有涉及調查取證人士舉辦的專業的會議。為參會者提供了由國際知名的電腦法證、電子證據揭示、企業調查和網絡安全專家進行的不同層次 的培訓課程。同時也為參會者提供了瞭解國際最新產品、技術交流和拓寬網絡的機會。每年5月左右美國舉辦。

Paraben's Forensic Innovations Conference 2010

Noverber 7 – 10, 2010



Research Conferences and Workshops
Research conferences that are related to digital investigation and forensics.

American Academy of Forensic Science
Australian Digital Forensics Conference
BlackHat Japan Briefings & Training
BlackHat Federal Briefings & Training
Computer Security Institute NetSec
Conference on Digital Forensics, Security and Law
CyberCrime Summit
Department of Defense CyberCrime Conference
Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA)
E-Crime and Computer Evidence (NOTE - Can't find any since 2006)
FIRST Conference
French-Speaking Days on Digital Investigations - Journées Francophones de l'Investigation Numérique
IFIP International Information Security Conference
IFIP WG 11.9 International Conference on Digital Forensics
International Conference on Availability, Reliability and Security
International Conference on IT-Incident Management & IT-Forensics
International Symposium on Recent Advances in Intrusion Detection
Mobile Forensics World
Open Source Software for Computer and Network Forensics
Open Web Application Security Project
PacSec Conference
SANS WhatWorks Summit in Forensics and Incident Response
Security OPUS Information Security Conference
Systematic Approaches to Digital Forensic Engineering (SADFE)
USENIX Annual Technical Conference
USENIX Security Symposium
Virus Bulletin Conference

Training Conferences
ChicagoCon - White Hats Come Together in Defense of the Digital Frontier
Computer and Enterprise Investigations Conference (CEIC)
HTCIA International Training Conference and Expo
IACIS Computer Forensic Training Event
Mobile Forensics World Training
Regional Computer Forensics Group Conference (RCFG)
SANS Computer Forensics, Investigation, and Response
Techno Forensics Conference
Techno-Security Conference