基于HTTP协议报文分析的计算机网络取证方法

◆李成哲

基于HTTP协议报文分析的计算机网络取证方法

◆李成哲

（哈尔滨太平国际机场黑龙江 150001）

科学技术水平的不断提高推动了计算机技术的不断发展，计算机被人们广泛应用到生产、生活、学习、娱乐等各个方面，对人们的影响日益增加，同时，不法分子也获得可乘之机来实施网络犯罪，人们需要对网络犯罪进行取证。基于此，本文将从当前计算机网络取证概况出发，对以HTTP协议报文分析为基础的计算机网络取证策略进行分析与探究，希望为相关人员提供一些帮助和建议。

网络取证；计算机；HTTP协议

0 引言

对于人们来说，计算机如同双刃剑，虽然其推动了社会进步与发展，让人们生活、工作的方式得以改善，但是不法分子也得到了全新的犯罪空间与犯罪途径。相关研究表明，借助计算机技术与网络技术实施的犯罪逐年增加，危害性越来越大。为了对这种计算机犯罪进行遏制，将法律、社会的功能和作用发挥出来，就应充分利用计算机网络的取证。因此，研究计算机网络取证策略具有现实意义。

1 当前计算机网络取证概况

所谓网络取证，指的是明确、保护、获取、归档计算机有关网络设备里的说服性强、可靠性高、法庭能够接受的电子证据这一过程。网络取证内容有证据识别、证据保存、证据分析、证据提交等。其中，证据识别是对信息获取方式、信息种类进行识别，证据保存指的是应确保和原始数据具有一致性且不破坏、不修改原始数据，证据分析是通过可见方式让结果呈现出来并具备一定的确定性，证据提交指的是把证据提交给法院、律师或管理者。

由于当前网络取证会对电子证据有所涉及，因此在这方面网络取证具有严格的要求，需要严格按照以下规则来执行。首先，应遵循及时性原则。证据需要在最短的时间内收集，尽可能确保其未受损坏。其次，应遵循连续性原则。当证据向法庭正式提交之时，应将证据获取的原始状态到证据提交状态发生的所有变化进行有效说明，最理想的状态是从未发生变化。最后，取证与检查的整个过程应受相关人员监视。

2 以HTTP协议报文分析为基础的计算机网络取证策略

2.1 利用HTTP的工作原理

HTTP即超文本传输协议，该协议处于万维网的应用层，利用服务器和客户端程序来交换信息，两者运行于不同的主机之中，借助两者交换HTTP报文来响应网页发来的请求，并对服务器和客户交换报文的规则、报文结构进行了定义。一些不法分子会在网络上利用浏览器来攻击Web服务器，所有产生于HTTP体系中的攻击都要经由HTTP的协议报文，因此我们可以利用HTTP协议报文得到网络犯罪的证据。

2.2 使用burpsuite软件

burpsuite是一个网络工具，能够对用户报文进行截获与分析，它通常会运用到检测、调试网络程序的集成平台方面[1]。它的burpproxy代理是一个HTTP协议的交互服务器，可以当成网络服务器、浏览器中间的桥梁，可以通过查看、拦截传递数据的报文，其修改浏览器请求的功能可以让工作人员找到应用程序的恶意请求和意外请求，如sql的注入、缓冲区的溢出、会话劫持等。与此同时，burpproxy的界面良好、拦截的具体规则非常全面，可以精准分析HTTP消息的内容与结构，并设置相应截断功能，包括关闭状态与开启状态，当截断功能处于开启状态之时，可以拦截代理服务器里存有的数据包，且浏览器、Web服务器无法正常进行通信，当截断功能处于关闭的状态之时，burpsuite在截取数据包后会在本地进行存储，然后将数据包放行，此时浏览器、Web服务器可以彼此通信。将burpsuite设置于Web应用系统之中，并对网络出口相应的网关服务器进行设置，将拦截功能关闭，这时，如果有不法分子企图对网络系统进行攻击，那么其流量将被保留与拦截。

2.3 报文与服务器分析

攻击者一旦访问网站，根据HTTP协议所具备的特点，其客户端信息将会被留下，这样一来，工作人员便会获得攻击者的报文信息，主要包括操作系统（如Win10、Win8、Win7、WinXP等）、浏览器（如默认浏览器、谷歌浏览器、uc浏览器、火狐浏览器等）、语言环境（如中文、韩文、日文、英文等），以及攻击者的一些其他信息。经过一定的观察，工作人员能够获得攻击者入栈网页、使用浏览站点路径、入栈路径等多种不法行为，以上行为指标可以变成辅助指证的有力证据。

与此同时，应对访问服务器进行分析。HTTP包含的请求类型多种多样，常用的请求为get请求与post请求，一般是将url输入到Web的服务器里面，借助url可以让浏览器将get请求发送到服务器上，让服务器明确获得资源。利用HTTP的协议报文请求对不法分子访问网页的视频、图片、页面进行收集，获取修改的网页与发布的信息，对不法分子修改、删除、查看、添加数据等多种操作进行设置[2]。

2.4 信息的截获与木马的获取

经过对攻击数据报文的全面分析与查找，可以发现攻击者访问、登录页面所用的密码信息、用户信息等，将其作为依据便能找到不法分子。身份信息可以说明账号是不法分子本人拥有的或被他人盗取的，通过实际使用者便能够顺藤摸瓜发现账号的泄露内容，从而对犯罪分子进行锁定。由于攻击者来到网站后台以后将对订单信息、会员展开多种操作，因此得到以上数据便可以获得不法分子犯罪的有效证据。

除此之外，攻击者来到系统中会把大量木马病毒传输至目标服务器，企图对服务器长期掌控，不过HTTP报文将会记录上传的各种操作。前期阶段，攻击者利用漏洞渗透来取得权限，然后利用病毒在服务器之中上传乱码，并让木马和病毒客户端的程序彼此链接，于是便实现了Web系统权限的获取，从而对目标服务器实施控制[3]。

2.5 结果的归档和提交

通过一系列的计算机取证程序获取的电子证据通常会在磁盘这类介质中存放，存在一定的不可预见性，在查看时应使用一些辅助程序。如果计算机知识不足，那么就不能让电子证据发挥最大化的证明力。要想起诉犯罪嫌疑人时让证据在法庭之上的说服力更强，就要全面整理、归档这些提取结果与分析结果。整理内容、归档内容主要有评估电子证据的报告、分析电子证据的结果、软件许可证、文件种类、评估计算机病毒的状况、操作系统与数据的取证完整性、操作系统和当前版本、磁盘分区状况、网络犯罪时间与日期等。对这些电子证据进行处理的时候，要想使证据的说服力与可信度得到保障，就要归档网络取证的每一个步骤与环节的情况，明确标出提取电子证据的机器、地点与时间，并标出见证人和提取人，这样证据才能够承受住法庭质询。除此之外，分析的计算机系统结果在打印时应通过文字材料呈现，这样便于提交到法庭之上。

3 结语

总而言之，研究以HTTP协议报文分析为基础的计算机网络取证策略具有十分重要的意义。相关人员应对当前计算机网络取证概况有一个全面的了解，在网络取证之时利用HTTP的工作原理，使用burpsuite软件，进行报文与服务器分析的工作，实现信息的截获与木马的获取，最后做好结果的归档和提交工作，从而促进我国网络取证的发展与完善，不断健全计算机网络取证的有关法律法规。

[1]车翔玖，胡天岳.基于node2vec神经网络的信息取证方案研究[J].信息网络安全，2018.

[2]彭英杰.总线网络取证信息自动检索风险控制系统设计[J].计算机测量与控制，2018.

[3]许学添，邹同浩.基于弱关联挖掘的网络取证数据采集系统设计与实现[J].计算机测量与控制，2017.