BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ************* BÀI TẬP LỚN MƠN: PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH TÊN ĐỀ TÀI: THU NHẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ SWITCH Sinh viên thực hiện: Nguyễn Tuấn Đạt – AT140209 Nguyễn Thành Đạt – AT140406 Đào Nhật Linh – AT140424 Nguyễn Chí Thanh – AT140441 Đặng Thanh Tùng – AT130756 Giảng viên: Thầy Nguyễn Mạnh Thắng Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG : TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU NHẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử 1.2 Đặc điểm liệu điện tử 1.3 Các thuộc tính chứng điện tử 1.4 Các bước thực điều tra tội phạm máy tính 1.4.1 Thu nhập phân tích chứng từ mạng 10 CHƯƠNG 2: PHƯƠNG PHÁP DIỀU TRA TỘI PHẠM MÁY TÍNH .12 2.1 Tìm hiều Switch 12 2.1.1.Giới thiệu Switch 12 2.1.2 Phân loại 12 2.1.3 Vai trò Switch 13 2.1.4 Đặc điểm Switch 13 2.1.5 Nguyễn lý hoạt động switch .13 2.2 Kiến trúc switch 15 2.2.1 Kiến trúc tầng truyền thống 15 2.2.2 Kiến trúc full mesh 16 2.2.3 Kiến trúc fat tree .16 2.2.4 Kiến trúc tập trung 17 2.2.5 Kiến trúc inter connected-mesh 18 2.2.6.Kiến trúc virtal-switch .18 2.3 Các loại công switch 19 2.3.1 DHCP spoofing 19 2.3.2 VLAN hopping .19 2.3.3 VLAN double tagging 20 2.3.4 ARP spoofing 21 2.3.5 MAC flooding attack 22 CHƯƠNG 3: THỰC NGHIỆM TẤN CÔNG ĐỊA CHỈ MAC 24 3.1 Chuẩn bị 24 3.2 Configure Port Security .25 DANH MỤC HÌNH ẢNH Hình 2.1 Kiến trúc tầng truyền thống Hình 2.2 Kiến trúc full mesh Hình 2.3 Kiến trúc fat tree Hình 2.4 Kiến trúc tập trung Hình 2.5 Kiến trúc inter connected-mesh Hình 2.6 Kiến trúc virtal-switch Hình 2.7 Mơ tả cơng theo dạng DHCP spoofing Hình 2.8 Mơ tả cơng dạng VLAN hopping sử dụng DTP Hình 2.9 Mơ tả cơng dạng VLAN hopping sử dụng VLAN doub tagging Hình 2.10 Mơ tả cơng theo dạng ARP spoofing Hình 2.11 Mơ tả cơng theo dạng MAC flooding Hình 3.1 Mơ hình kết nối Hình 3.2 Cấu hình port sercurity Hình 3.3 Học địa MAC Hình 3.4 Học địa MAC Hình 3.5 Học địa MAC Hình 3.6 Cấu hình kiểu thơng báo Hình 3.7 Khóa cổng khơng dùng Hình 3.8 Khóa cổng khơng dùng Hình 3.9 Ping máy lưu địa MAC Hình 3.10 Ping máy Attack khơng lưu địa MAC 15 16 16 18 19 19 20 20 21 22 23 24 25 25 26 26 27 27 28 28 29 BẢNG PHÂN CHIA CÔNG VIỆC Thành viên Nguyễn Tuấn Đạt Nguyễn Thành Đạt Đào Nhật Linh Đặng Thanh Tùng Nguyễn Chí Thanh Cơng việc thực Word – Chương PowerPoint – Chương Word – Chương Tổng hợp thuyết trình PowerPoint – Chương LỜI NÓI ĐẦU Hiện Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn, phá hoại đồn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực công nghệ thông tin, viễn thông thường khó khăn phức tạp đối tượng khơng sử dụng công nghệ vào việc cơng, gây án, mà cịn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp liệu, tải liệu, mã hóa liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa liệu, để lưu trữ, giấu liệu Khi nghi ngờ bị điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, liệu có liên quan, chí format thiết bị lưu trữ liệu Switch thiết bị chuyển mạch tối quan trọng mạng, dùng để kết nối đoạn mạng với theo mơ hình hình (Star) Trong mơ hình này, switch đóng vai trị trung tâm tất thiết bị vệ tinh khác kể máy tính kết nối đây, từ định tuyến tạo đường nối tạm trung chuyển liệu Ngồi ra, Switch hỡ trợ cơng nghệ Full Duplex dùng để mở rộng băng thông đường truyền, điều mà thiết bị khác không làm Với mục đích tìm hiểu switch điều tra chứng cứ, nhóm em chọn đề tài “ Thu thập phân tích chứng từ Switch“ giúp hiểu switch điều tra cơng switch Đề tài nhóm em gồm chương: Chương : Tìm hiểu liệu điện tử thu nhập, phân tích chứng cừ từ mạng Chương : Phương pháp điều tra tội phạm máy tính CHƯƠNG : TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU NHẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử - Điều 4, Luật Giao dịch điện tử 2005 quy định “dữ liệu điện tử” “thông tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự” - Điểm c, Khoản 1, Điều 87, Bộ luật TTHS 2015 bổ sung “dữ liệu điện tử” vào hệ thống nguồn chứng Đây điểm vô quan trọng Bộ luật Điều 99 Bộ luật quy định chi tiết Dữ liệu điện tử - Việc ghi nhận “dữ liệu điện tử” nguồn chứng pháp lý, đáp ứng yêu cầu đặt từ thực tiễn đấu tranh phòng chống TPSDCNC Loại chứng ngày phổ biến, xuất hầu hết loại tội phạm, chí nhiều vụ án thu liệu điện tử làm chứng Nếu loại chứng không bổ sung vào BLTTHS(Bộ luật tố tụng hình sự) hành nhiều vụ án điều tra, truy tố xét xử thành công Việc bổ sung “dữ liệu điện tử” nguồn chứng hoàn toàn phù hợp với luật pháp quốc tế luật pháp Việt Nam có khoa học, cơng nghệ Tuy nhiên điều đòi hỏi quan tiến hành tố tụng ĐTV(điều tra viên Kiểm sát viên (KSV) Thẩm phán (TP) phải nhận thức đầy đủ liệu chứng điện tử Đồng thời phải xây dựng quy trình thống thu giữ, bảo quản, phục hồi liệu điện tử chuyển hóa thành chứng chứng minh tội phạm 1.2 Đặc điểm liệu điện tử Khai thác địa IP, e-mail logs, web server logs, "cookies", "URL", website, thơng tin truy cập tài khoản máy tính tự động tạo ra, cách hữu hiệu để chứng minh nguồn gốc truy cập trái phép, địa công, hành vi cơng mạng… - Hình thành tự động dạng tín hiệu số thời gian tồn có giới hạn, phụ thuộc vào thiết bị phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ bảo quản); - Dễ bị tác động, bị xóa thay đổi q trình lưu trữ, truyền tải, chép , tác nhân virus, dung lượng nhớ, lệnh lưu trữ phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải mạng, lưu, cố ý vô ý sửa đổi, xóa *Về giá trị pháp lý liệu điện tử làm chứng cứ: liệu điện tử phục hồi, phân tích, tìm liệu, kể bị xóa, bị ghi đè, dạng ẩn, mã hóa làm cho đọc được, nhìn thấy được, ghi lại, sử dụng làm chứng Những liệu có giá trị chứng minh hành vi phạm tội, sử dụng cơngnghệ thủ tục pháp lý để sử dụng làm chứng Tuy nhiên, liệu điện tử có đặc điểm dễ bị xóa, bị sửa, bị thay đổi mở, kiểm tra, lưu không cách, bị nhiễm virus, mã hóa truyền qua mạng, nên Luật Giao dịch điện tử có qui định điều kiện để thơng điệp liệu có giá trị pháp lý (Học viên đọc thêm luật Giao dịch điện tử) 1.3 Các thuộc tính chứng điện tử - Điều 86, Bộ luật TTHS 2015 quy định: “Chứng có thật, thu thập theo trình tự, thủ tục Bộ luật quy định, dùng làm cứđể xác định có hay khơng có hành vi phạm tội, người thực hành vi phạm tội tình tiết khác có ý nghĩa việc giải vụ án” - Điều 99, Bộ luật TTHS 2015 quy định liệu điện tử:  Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử  Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễnthông, đường truyền nguồn điện tử khác  Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo,lưu trữ truyền gửi liệu điện tử; cách thức bảo đảm trì tính tồn vẹn liệu điện tử; cách thức xác định người khởi tạo yếu tố phù hợp khác Như vậy, để “dữ liệu điện tử” trở thành chứng chứng minh thật vụ án TPSDCNC, đòi hỏi liệu phải đảm bảo thuộc tính chứng pháp lý Gồm: (i) tính “khách quan” - (có thật, tồn khách quan); (ii) tính “liên quan” - (có mối quan hệ với vụ án) (iii) tính “hợp pháp” – (được thu thập theo thủ tục, trình tự Bộ luật TTHS quy định) Cụ thể: - Tính khách quan: Dữ liệu có thật, tồn khách quan, có nguồn gốc rõ ràng, không bị làm cho sai lệnh, biến dạng, tìm thấy lưu máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang, email, website, điện toán đám mây, account, nickname đối tượng, server nhà cung cấp dịch vụ internet - Tính liên quan : Dữ liệu thu có liên quan đến hành vi phạm tội, sử dụng để xác định tình tiết vụ án Tính liên quan thể nguyên lý, cơng nghệ hình thành dấu vết điện tử, thơng tin khơng gian, thời gian hình thành liệu (logfile, IP, siêu liệu, hàm hash), địa lưu trữ, nội dung liệu chứa thông tin đối tượng, hành vi phạm tội, nơi hoạt động đối tượng, cookies truy cập, nguồn gốc nội dung email, chat, tin nhắn, cơng nghệ tốn thẻ, nạn nhân, thiệt hại - Tính hợp pháp: Chứng phải thu thập luật, trình khám xét, thu giữ vật chứng, sử dụng công nghệ (thiết bị phần cứng phần mềm) quan pháp luật công nhận, để lưu liệu, bảo quản, phục hồi, phân tích, tìm kiếm giám định liệu làm chứng Cơ quan điều tra phải thu thập theo thủ tục tố tụng hình sự: Máy tính, máy điện thoại, email, USB, đĩa CD/DVD, liệu thu từ máy chủ, chặn thu đường truyền phải ghi vào biên bản, niêm phong theo qui định, không bị tác động làm thay đổi liệu kể từ thu giữ hợp pháp can thiệp để thay đổi Chuyên gia phục hồi liệu sử dụng công nghệ phần mềm phục hồi liệu, thiết bị chống ghi (Read Only- đọc) chép liệu sử dụng để phục hồi, phân tích, tìm kiếm liệu, chuyển thành dạng đọc được, nghe được, nhìn thấy Ngồi ra: Vì “dữ liệu điện tử” lưu giữ máy tính thiết bị số, nên để trở thành chứng pháp lý, cịn phải thỏa mãn đặc điểm mang tính chất đặc thù khác, gồm: + Tính “khách quan”: nghĩa chứng minh liệu sản phẩm tất yếu, máy tính hay thiết bị số sản sinh lưu giữ cách tự động, sản phẩm đối tượng tạo q trình đối tượng thực tội phạm + Tính “nguyên trạng”: nghĩa chứng minh khơng có can thiệp từ bên vào nội dung liệu để thay đổi xóa bỏ + Tính “kiểm chứng được” : nghĩa cần thiết lặp lại trình khai thác, phục hồi, giám định, chuyển hóa “dữ liệu điện tử” lưu thiết bị thành chứng cứ, đến kết tương tự trình bày phiên tịa Nếu Tịa u cầu, giao cho quan giám định khác thực việc phục hồi, tìm “chứng điện tử” lưu tang vật để đến kết luận tương tự Những đặc điểm (đặc thù) quan trọng chúng định giá trị chứng trước tòa Để “dữ liệu điện tử” bảo đảm thuộc tính này, có u cầu bắt buộc, gồm:  Một là, việc thu thập “dữ liệu điện tử” tuyệt đối không làm thay đổi thông tin lưu giữ máy tính thiết bị kỹ thuật số  Hai là, có chuyên gia IT (công nghệ) đào tạo bản, phép tiếp cận với thông tin gốc lưu trữ máy tính, thiết bị kỹ thuật số, để thu thập phục hồi liệu  Ba là, việc chép, ghi lại liệu (copy) phải thực thiết bị chống ghi “Read only”- (chỉ đọc) để đảm bảo tính ngun trạng tồn vẹn “dữ liệu điện tử” lưu tang vật Đồng thời, phải sử dụng thiết bị phần mềm giới cơng nhận kiểm chứng  Bốn là, trước tòa án cần thiết, phải diễn giải thao tác để chứng minh q trình khơi phục liệu tìm thấy “chứng điện tử”, chứng minh liệu thu thập tồn khách quan đảm bảo nguyên trạng, không bị can thiệp thay đổi trình thu thập chứng 1.4 Các bước thực điều tra tội phạm máy tính Bao gồm bước: Quan sát, bảo vệ trường vụ án Ghi lập tài liệu trường Bảo quản chứng Tiến hành điều tra Lập báo cáo điều tra Bước 1: Quan sát, bảo vệ trường Hiện trường vụ án thường máy tính thực tế, định tuyến, máy chủ có liên quan đến tội phạm Để đảm bảo trường vụ án: tắt thiết bị hoạt động, ngăn không cho truy cập  Xác định khu vực phạm tội  Hạn chế số lượng người tiếp cận với trường tất tài liệu tương tác với trường vụ án: số trường hợp, hệ thống liên quan cần thiết cho hoạt động nạn nhân cần theo dõi Ví dụ máy chủ CSDL công ty bị hack liệu bị đánh cắp, họ cần máy chủ để tiếp tục hoạt động kinh doanh: triển khai máy chủ tạm thời, chép liệu tới ổ đĩa mới, gắn ổ đĩa lên máy chủ tạm thời tiếp tục cho hoạt động Bước 2: Ghi lập tài liệu trường  Không chạm vào bát bắt đầu thu thập chứng  Ghi lại chứng thu thập được:  Quay video:  Ghi lại toàn khung cảnh trường  Phải nêu đầu video người làm đoạn băng chắn thời gian xác  Nếu có tình tiết bật phải có nhận xét nó: cách thức kết nối gắn vào máy tính hay thiết bị khác, mơ tả phịng  Cẩn thận với lời nói video  Chụp ảnh:  Trình bày cách rõ nét chi tiết: ngày tháng chụp, thời gian chụp, địa điểm chụp => đảm bảo thiết lập  Với số loại máy ảnh (máy ảnh số máy film 35mm) cần sử dụng tài liệu để ghi lại thông tin  Theo “Crime Scene and Evidence Photographer’s Guide”:  Xây dựng quy trình hoạt động chuẩn  Bảo vệ hình ảnh kỹ thuật số ban đầu: nên thực thử nghiệm với sao; không để tập tin ban đầu  Bảo tồn ảnh định dạng ban đầu  Các dây cáp gắn vào máy tính cần phải tô màu để tránh nhầm lẫn:  Ghi lại thiết bị gắn vào dây cáp  Khi hoàn tất, ngắt kết nối thiết bị với  Các thông tin cần ghi lại thành bảng kiện – tài liệu trường:  Mô tả thời gian, ngày tháng  Các hành vi phạm tội  Các vật chứng bị tịch thu  Người xác nhận => Ngăn chặn mát, thiệt hại vật chất, tiêu hủy chứng Bước 3: Bảo vệ chứng  Tại trường: - Đặt hạng mục thu vào túi chứng cứ, đánh dấu - Đeo găng tay chống tĩnh thu thập đưa vào túi chứng 10 2.2.2 Kiến trúc full mesh Hình 2.2 Kiến trúc full mesh Với kiến trúc full mesh, tất switch kết nối chéo với Vì switch thường không sử dụng khu vực thiết bị (EDA) mơ hình top of rack(TPO), kiến trúc full mesh ứng dụng trung tâm dư liệu nhỏ mạng metropolitan 2.2.3 Kiến trúc fat tree Hình 2.3 Kiến trúc fat tree 17 Kiến trúc fat-tree, hay gọi kiến trúc nhánh cây, kiến trúc thay cho kiến trúc truyền thống Kiến trúc fattree thực kết nối switch interconnection (switch trục) switch access (switch lá) để hỡ trợ hệ thống máy tính cluster hiệu suất cao Để tạo mơ hình mạng phẳng dễ dàng mở rộng lớp 2, kiến trúc fat-tree sử dụng cấu trúc non-blocking, độ trễ thấp Kiểu kiến trúc thường triển khai trung tâm liệu lớn Trong hình minh họa, switch interconnection kết nối trực tiếp với switch access thông qua dây trunk MTP 12/24 sợi quang module chuyển đổi (24 sợi quang) adapter MTP (12 sợi quang) So với mơ hình ba lớp truyền thống, kiến trúc fat-tree sử dụng switch aggregation đường dự phịng để hỡ trợ 40GBase-SR switch access interconnection, nhờ giảm độ trễ tiêu tốn điện Các kiến trúc full-mesh, interconnected-mesh, switch tập trung switch ảo kiến trúc hỗ trợ cho tiêu chuẩn ANSI/TIA942-A-1 Cũng fattree, kiến trúc switch giảm độ trễ tốt cung cấp băng thông cao so với mơ hình truyền thống, kể cổng non-blocking 2.2.4 Kiến trúc tập trung Hình 2.4 Kiến trúc tập trung Trong kiến trúc tập trung, server kết nối với tất switch dễ dàng quản lý từ server Dù vậy, số lượng cổng hạn chế cản trở việc mở rộng kiến trúc Do đó, kiến trúc tập trung áp dụng trung tâm liệu nhỏ, tương tự full-mesh 18 2.2.5 Kiến trúc inter connected-mesh Hình 2.5 Kiến trúc inter connected-mesh Tương tự kiến trúc full-mesh, kiến trúc interconnection-mesh có tính mở rộng cao hơn, giúp giảm chi phí dễ dàng triển khai cho doanh nghiệp phát triển Interconnection-mesh thường có từ đến switch interconnection (HDA EDA) nonblocking mỗi nhóm 2.2.6.Kiến trúc virtal-switch Hình 2.6 Kiến trúc virtal-switch Kiến trúc virtual-switch xuất phát từ nguyên lý kiến trúc tập trung, sử dụng nhiều switch kết nối với tạo thành switch ảo Mỗi server kết nối vào nhiều switch tạo đường dự phòng, tạo độ trễ Kiến trúc 19 virtual-switch không hỗ trợ khả mở rộng tốt dù switch ảo triển khai kiến trúc fat-tree full-mesh 2.3 Các loại cơng switch 2.3.1 DHCP spoofing Hình 2.7 Mơ tả công theo dạng DHCP spoofing DHCP spoofing kỹ thuật công theo phương thức giả mạo bảng tin DHCP response DHCP server Bằng cách theo dõi chu kỳ gửi/ nhận bảng tin DHCP từ client server, attacker phát bảng tin DHCP response giả mạo trước bảng tin DHCP response thật từ DHCP server đến client Nội dung bảng tin DHCP response chứa thông tin địa IP bảng tin thông thường địa IP default gateway thay thành IP attacker Khi nội dung trao đổi client với máy tính khác chuyển tiếp qua máy tính attacker theo dạng Man in the middle (Người đàn ông đứng giữa) Triển khai giải pháp ngăn chặn DHCP spoofing switch access: Để ngăn chặn công theo dạng DHCP spoofing, switch access cấu hình port kết nối theo dang trusted untrusted Khi có port kết nối với DHCP server cấu hình trusted, port cịn lại kết nối với máy tính người dùng cấu hình untrusted khơng thể gửi bảng tin DHCP response Trường hợp máy tính mạng cố tình giả mạo DHCP server, gửi bảng tin DHCP response bị shutdown port kết nối tương ứng switch 20 2.3.2 VLAN hopping Hình 2.8 Mơ tả công dạng VLAN hopping sử dụng DTP Kỹ thuật cơng diễn giải theo mơ hình sau: Máy tính attacker sau kết nối với unauthorized switch, thực gửi tin DTP để tạo kết nối trunking với company switch Khi kết nối trunking có VLAN máy tính attacker nhận liệu trao đổi từ nhiêu VLAN qua kết nối trunking DTP giao thức sử dụng để tự động hình thành kết nối trunking hai thiết bị, để chủ động ngăn chặn công theo dạng này, khuyến nghị switch disable tính DTP Việc tạo kết nối trunking hai switch lớp nên thực theo phương pháp manual 2.3.3 VLAN double tagging Hình 2.9 Mơ tả công dạng VLAN hopping sử dụng VLAN double tagging Đối với kỹ thuật này, tag 802.1q chèn vào gói tin gửi Tag (gán nhãn VLAN ID 10) dùng cho kết nối trunking Switch A Switch B Tag thứ hai (gán nhãn VLAN ID 20) chèn có chủ đích để gửi liệu đến máy nạn nhân (thuộc VLAN 20) Để thực kỹ thuật này, máy tính attacker phải thuộc 01 VLAN permit kết nối trunking switch A switch B Để ngăn chặn hình thức công này, giải pháp áp dụng cho switch access cấu hình vlan access-list thiết bị private vlan 21 2.3.4 ARP spoofing Hình 2.10 Mơ tả công theo dạng ARP spoofing ARP giao thức sử dụng môi trường lớp cho mục đích mapping địa MAC địa IP v4 Tuy nhiên, thân giao thức ARP chưa có chế bảo mật đủ mạnh, dễ dàng bị thỏa hiệp trường hợp công theo dạng ARP spoofing Quá trình thực kỹ thuật ARP spoofing diễn sau: Máy tính attacker kết nối vào mạng LAN đơn vị thực scan để tìm IP dãi Sau xác định IP máy tính cần cơng, attacker gửi 01 ARP response giả mạo đến Switch, với thông tin địa IP máy nạn nhân địa MAC máy tính attacker Switch sau nhận ARP response từ attacker cập nhật IP MAC vào bảng CAM Khi đó, thay gửi liệu đến máy tính nạn nhân, Switch gửi liệu đến attacker Để ngăn chặn hình thức cơng này, khuyến nghị cấu hình tính dynamic ARP inspection (DAI) Switch access lớp 22 2.3.5 MAC flooding attack Hình 2.11 Mơ tả cơng theo dạng MAC flooding Về bản, mục đích kỹ thuật công làm tràn nhớ thiết bị Switch thông qua overload bảng CAM (CAM table) Attacker kết nối đến Switch, thực flood bảng tin ARP (gửi bảng tin với IP MAC thay đổi liên tục để Switch cập nhật thông tin vào bảng CAM) Khi không gian lưu trữ địa MAC bị vượt quá, switch rơi vào trạng thái failopen Lúc gói tin gửi đến từ cổng kết nối switch bị gửi đến tất cổng cịn lại, thay chuyển tiếp gói tin đến port dựa theo sở liệu MAC address – IP CAM table ban đầu (switch lúc hoạt động hub) Vì gói tin trao đổi switch, máy tính attacker nhận Bằng cách sử dụng cơng cụ packet sniffer, attacker dễ dàng phân tích liệu trao đổi máy tính kết nối switch với Để ngặn chặn hình thức cơng này, khuyến nghị cấu hình tính port security switch để giới hạn số lượng địa MAC cho phép cổng kết nối Trường hợp attacker gửi tin với nhiều địa MAC khác nhau, port kết nối bị disable Hiện hình thức cơng mạng LAN đa dạng tinh vi Bài viết trình bày lại loại hình cơng để người bắt đầu bước lĩnh vực an toàn thơng tin có đầu tư nghiên cứu, vận hành hệ thống Network cần có cân nhắc, triển khai giải pháp phù hợp nhằm đảm bảo an tồn thơng tin đáp ứng u cầu performance cho hệ thống 23 CHƯƠNG 3: THỰC NGHIỆM TẤN CƠNG ĐỊA CHỈ MAC 3.1 Chuẩn bị Hình 3.1 Mơ hình kết nối DEVICE S1 PC0 PC1 Rogue Laptop INTERFACE Vlan NIC NIC NIC 24 IP ADDRESS 10.10.10.2 10.10.10.10 10.10.10.11 10.10.10.12 3.2 Configure Port Security Hình 3.2 Cấu hình port sercurity - Lưu địa MAC cho SWITCH Hình 3.3 Học địa MAC 25 Hình 3.4 Học địa MAC Hình 3.5 Học địa MAC 26 Hình 3.6 Cấu hình kiểu thơng báo Hình 3.7 Khóa cổng khơng dùng 27 Hình 3.8 Khóa cổng khơng dùng Chạy Test Ping Pc0 to PC1 : Thành công Hình 3.9 Ping máy lưu địa MAC 28 Ping ATTACK to Pc1: Đã bị chặn Hình 3.10 Ping máy Attack không lưu địa MAC KẾT LUẬN Ba chương tập lớn thể mục tiêu đặt thực tập lớn sau: 29 Chương đưa khái niệm liệu điện tử, đặc điểm liệu thuộc tính chứng điện tử Chương nói phương pháp điều tra tội phạm máy tính switch Qua biết thêm kiến thức switch vai trò, đặc điểm, kiến trúc kiểu công switch Chương thực nghiệm công địa MAC 30 TÀI LIỆU THAM KHẢO Website [1] Cisco Router and Switch Forensics | ScienceDirect [2] Forensic Bridge DIP Switch Configuration Guide (opentext.com) [3] SANS Digital Forensics and Incident Response Blog | Cisco Router Forensics | SANS Institute Tài liệu [1] Cisco Router and Switch Forensics (Investigating and Analyzing Malicious Network Activity) [2] Forensic Bridge DIP Switch Configuration Guide [3] Cisco Switching Black Book 31 ... chứng 1.4 Các bước thực điều tra tội phạm máy tính Bao gồm bước: Quan sát, bảo vệ trường vụ án Ghi lập tài liệu trường Bảo quản chứng Tiến hành điều tra Lập báo cáo điều tra Bước 1: Quan sát, bảo... từ mạng Chương : Phương pháp điều tra tội phạm máy tính CHƯƠNG : TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU NHẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử - Điều 4, Luật Giao dịch điện tử... thiết bị mạng…  Nhiệm vụ: tìm chứng phạm tội hành vi phạm tội, để từ quy trách nhiệm trước tòa án Bước : Lập báo cáo điều tra  Mơ tả tồn bước tiến hành điều tra từ lúc bắt đầu kết thúc  Là hồ