臺灣博碩士論文加值系統

行動裝置、個人電腦、穿戴式裝置等等現代科技產品已十分融入現代人之生活中，其中也歸因於無線網路設備之廣佈，使得網路服務成為現代人無法割捨的工具。也因此雲端化的計算服務、雲端化的儲存服務等等雲端技術成為近年資訊科技之主流趨勢，列舉雲端儲存服務品牌如Google Drive、Dropbox、iCloud等以雲端儲存為目的，讓使用者可透過各種移動式終端裝置如個人電腦、筆記型電腦、手持式通訊裝置等即可隨時隨地連線取用文書資料、影音資料甚至共享資料等；雲端計算服務如線上即時影音串流編輯服務、即時文件編輯服務，透過雲端系統架構，不消耗大量個人裝置之資源，而是透過雲端中多台分散式機器快速便利地完成編輯功能，配合網路的特性，達成資料共享共用，多人共編且可快速轉發給工作夥伴、親朋好友等。

在經由網路連線，使用雲端服務的當下，除了大部分正常使用者之外，亦存在希望從雲端系統中取得他人隱私資料、發佈網路攻擊之惡意使用者，因此即使是便利的雲端化系統，在使用上，接受服務的當下，一般使用者皆須注意可能遭受未知的資訊安全問題；相對的提供雲端服務的伺服器系統亦有被攻擊之可能性，所以如何偵測防禦，甚至事發後如何進行數位鑑識亦為一大問題。

本研究透過VMware架設一個雲端環境，模擬網路上常見之攻擊活動，透過VMware 快照、虛擬系統檔案結構、記憶體分析功能、網路封包監測等技術對雲端伺服器以及攻擊者機器進行鑑識分析，透過兩方的對照，我們可以看出攻擊活動的全貌，其結果可找出可能遺留之數位跡證為何，用以提供數位鑑識人員進行犯罪偵察活動時之目標建議等等。

Modern technology products such as mobile devices, personal computers, wearable devices have been integrated into the lives of modern people. Also due to the wide spread of wireless network devices, the services of Internet have become more and more important that modern people cannot live without. Cloud storage services and cloud computing services have become the main trend of information technology in recent years. Such as Google Drive, Dropbox, iCloud etc. provide the cloud storage services which allow people to use the services on any end-device connected to internet and share one data on the same time. Cloud computing services like real-time video editing service, real-time document editing service cost small amount of personal device resources but the resources of the machine in the cloud and could forward the edited data to the co-worker, family by internet as soon as possible.

However, through the network under the cloud environment, it is difficult to figure out the true intention of users which they could use the cloud services normally or steal others' personal information, attack other users' personal devices, even the servers under the cloud environment. How to detect and protect our personal things from the malicious behaviors even recovery from the malicious attack are the big issue of network security.

This paper performs the cyber attack which is often seen in the network attacking issues, and does the digital forensics under the circumstances constructed by VMware vSphere Hypervisor. Finally, with VMware snapshot files, memory forensics tools, and network packet analyzer tools, the findings of this paper could help to collect the digital evidences when subject to malicious behavior.

摘要 I
Abstract II
目錄 III
圖目錄 IV
表目錄 VIII
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機與目的 2
1.3 章節架構 9
第二章 文獻探討 10
2.1 雲端鑑識相關 11
2.2 虛擬環境鑑識相關 12
2.3 惡意攻擊相關 14
2.4 小結 16
第三章 實驗設計 17
3.1 研究方法 17
3.2 實驗設計 19
3.2.1 實驗工具 19
3.2.2 雲端環境 24
3.2.3 實驗架構 25
3.2.4 實驗流程說明 27
第四章 實驗結果分析 67
4.1 分散式阻斷服務攻擊鑑識分析 67
4.1.1伺服器端之鑑識結果 68
4.1.2攻擊者端之鑑識結果 75
4.1.3綜合分析說明 91
4.2 欺騙攻擊鑑識分析 101
4.2.1伺服器端之鑑識結果 102
4.2.2一般使用者之鑑識結果 112
4.2.3攻擊者端之鑑識結果 125
4.2.4綜合分析說明 135
4.3 與他篇論文鑑識結果之比較 155
第五章 結論 157
5.1 研究成果 157
5.2 研究貢獻 157
5.3 未來研究 159
參考文獻 160

[1]Mell P. and Grance T., The NIST Definition of Cloud Computing, 2011, NIST Special Publication 800–145.
[2]McLellan C. （2017年11月01日），XaaS: Why 'everything' is now a service，線上檢索日期：2018年10月29日，網址：https://www.zdnet.com/article/xaas-why-everything-is-now-a-service/。
[3]魏伊伶（2017年12月21日），雲端服務需求下之資料安全技術發展趨勢，電腦與通訊期刊，172 期。
[4]行政院國家資通安全會報技術服務中心（2018年06月21日），資安威脅趨勢與案例分享，107 第1次政府資通安全防護巡迴研討會，線上檢索日期：2018年10月29日，網址：https://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1272。
[5]行政院國家資通安全會報技術服務中心（2017年05月18日），資安趨勢與案例宣導V2.1，106 第1次政府資通安全防護巡迴研討會，線上檢索日期：2018年10月29日，網址：https://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1267。
[6]行政院國家資通安全會報技術服務中心（2016年08月16日），攻擊趨勢與常見攻擊手法，105年網路攻防演練技術研討會議，線上檢索日期：2018年10月29日，網址：https://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1256。
[7]Sam K.（2017年03月09日），February 28th DDoS Incident Report，Github Engineering，線上檢索日期：2019年2月26日，網址：https://githubengineering.com/ddos-incident-report/。
[8]Pichan A., Lazarescu M., Soh S.T., Cloud forensics Technical challenges,solutions and comparative analysis, Digital Investigation,Volume 13, 2015, pp. 38–57.
[9]Edington Alex M. and Kishore R.,Forensics framework for computing cloud, Computers and Electrical Engineering, Volume 60, 2017, pp. 193–205.
[10]Kent K., Chevalier S., Grance T., Dang H.,Guide to integrating forensic techniques into incident response, 2006, NIST Special Publication 800–86.
[11]Irfan M., Abbas H., Sun Y., Sajid A. and Pasha M., A framework for cloud forensics evidence collection and analysis using security information and event management, Security and Communication Networks, Volume 9, Issue 16, 2016 , pp. 3790–3807.
[12]Manoj S.K.A. and Bhaskari D. L., Cloud Forensics-A Framework for Investigating Cyber Attacks in Cloud Environment , Procedia Computer Science, Volume85, 2016, pp. 149–154.
[13]Holt L. A. and Hammoudeh M., Cloud Forensics a Technical Approach to Virtual Machine Acquisition, 2013 European Intelligence and Security Informatics Conference, 2013, pp. 227–227.
[14]Meera V. , Issac M. M., Balan C., Forensic acquisition and analysis of VMware virtual machine artifacts, 2013 International Multi-Conference on Automation, Computing, Communication, Control and Compressed Sensing (iMac4s), 2013, pp. 255–259.
[15]Liu G., Wang L., Zhang S., Xu S. and Zhang L., Memory Dump and Forensic Analysis Based on Virtual Machine, Proceedings of 2014 IEEE International Conference on Mechatronics and Automation, 2014, pp. 1773–1777.
[16]Almulla S., Iraqi Y. and Jones A., Digital Forensic of a Cloud Based Snapshot, The Sixth International Conference on Innovative Computing Technology(INTECH 2016), 2016, pp. 724–729.
[17]Rani D. R. and Kumari G. G., A framework for detecting anti-forensics in cloud environment, 2016 International Conference onComputing, Communication and Automation (ICCCA), 2016, pp. 1277–1280.
[18]Tien C. W., Liao J. W., Chang S. C. and Kuo S. Y., Memory Forensics Using Virtual Machine Introspection for Malware Analysis, 2017 IEEE Conference on Dependable and Secure Computing, 2017, pp. 518–519.
[19]Riaz H. and Tahir M. A., Analysis of VMware virtual machine in forensics and anti-forensics paradigm, 2018 6th International Symposium on Digital Forensic and Security (ISDFS), 2018, pp. 1–6.
[20]Anu P. and Vimala S., A survey on sniffing attacks on computer networks, 2017 International Conference on Intelligent Computing and Control (I2C2), 2017, pp. 1–5.
[21]Mangut H. A., Al-Nemrat A., Benza¨ıd C., Tawil A. H., ARP Cache Poisoning Mitigation and Forensics Investigation, Proceedings of the 2015 IEEE Trustcom/BigDataSE/ISPA, Volume 1, 2015, pp. 1392–1397.
[22]Osanaiye O. A., Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing, 2015 18th International Conference on Intelligence in Next Generation Networks, 2015, pp. 139–141.
[23]Zulkifli M. A., Riadi I. and Prayudi Y., Live Forensics Method for Analysis Denial of Service (DOS) Attack on Routerboard, 2018 International Journal of Computer Applications, Volume 180, Number 35, 2018, pp. 23–30.
[24]Wireshark, Wireshark‧Go Deep, 線上檢索日期：2019年2月26日，網址： https://www.wireshark.org.
[25]Volatility, Volatility 2.6 Release, The Volatility Foundation - Open Source Memory Forensics|Releases, 線上檢索日期：2019年2月26日，網址：https://www.volatilityfoundation.org/releases.
[26]Redline, Redline | Free Security Software | FireEye, 線上檢索日期：2019年2月26日，網址：https://www.fireeye.com/services/freeware/redline.html.
[27]Winhex, Winhex 18.9 Download(Free trial), 線上檢索日期：2019年3月3日，網址：https://winhex.software.informer.com/18.9/
[28]LiME, GitHub - 504ensicsLabs/LiME: LiME (formerly DMD), 線上檢索日期：2019年4月20日，網址：https://github.com/504ensicsLabs/LiME
[29]LOIC, Low Orbit Ion Cannon, 線上檢索日期：2019年2月26日，網址：https://sourceforge.net/projects/loic
[30]Ettercap, Downloads « Ettercap, 線上檢索日期：2019年4月20日，網址：https://www.ettercap-project.org/downloads.html
[31]VMware player, VMware Workstation Player | VMware, 線上檢索日期：2019年3月3日，網址：https://www.vmware.com/products/workstation-player.html
[32]FreeNAS, FreeNAS Storage Operating System | Open Source - FreeNAS , 線上檢索日期：2019年2月26日，網址：https://freenas.org/