Đang tải... (xem toàn văn)
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN THU THẬP VÀ PHÂN TÍCH CHỨNG TỪ ROUTER Ngành An toàn thông tin Người hướng dẫn ThS Nguyễn Mạnh Thắng Khoa Công nghệ th.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN THU THẬP VÀ PHÂN TÍCH CHỨNG TỪ ROUTER Ngành: An tồn thơng tin Người hướng dẫn: ThS Nguyễn Mạnh Thắng Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã LỜI CẢM ƠN Trong trình thực đề tài này, chúng em nhận giúp đỡ tận tình cán hướng dẫn ThS Nguyễn Mạnh Thắng– Khoa Công nghệ thông tin Học viện Kỹ thuật Mật mã Xin cảm ơn tất người tạo điều kiện tốt để chúng em hoàn thành đề tài này! I Mục Lục LỜI CẢM ƠN I Mục Lục II Danh mục hình vẽ III Danh mục từ viết tắt IV LỜI NÓI ĐẦU V CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ ROUTER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm 1.1.2 Đặc điểm chứng điện tử 1.1.3 Các thuộc tính chứng điện tử 1.2 Tổng quan Router 1.2.1 Giới thiệu Router 1.2.2 Chức vai trò Router 1.2.2.1 Chức 1.2.2.2 Vai trò 1.2.3 Bảng định tuyến 1.2.3.1 Khái niệm 1.2.3.2 Các thành phần bảng định tuyến 1.2.4 Giao thức định tuyến Router 1.2.4.1 RIP 1.2.4.2 OSPF CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER 2.1 Thu thập phân tích chứng từ mạng 2.1.1 Phân tích gói tin 2.1.2 Phân tích thống kê lưu lượng 2.2 Các loại công Router 2.2.1 Lỗ hổng Router 2.2.2 Các loại công Router 2.2.2.1 Tấn công từ chối dịch vụ (DoS) 2.2.2.2 Routing Table Poisoning 11 2.2.2.3 Tấn công Hit-and-Run 11 2.2.2.4 Tấn công dai dẳng 11 2.3 Các bước điều tra công Router 11 2.3.1 Điều tra công Router 11 2.3.1.1 Thu giữ Bộ định tuyến trì chuỗi hành trình sản phẩm 12 II 2.3.1.2 Thực ứng phó cố ghi phiên 13 2.3.1.3 Truy cập Bộ định tuyến 14 2.3.1.4 Thu thập chứng dễ bị 15 2.3.1.5 Xác định cấu hình định tuyến 16 2.3.1.6 Kiểm tra phân tích 16 2.3.1.7 Tạo báo cáo 18 2.4 Công cụ NetFlow collector Cisco ASA 18 2.4.1 Netflow 18 2.4.2 NetFlow collector Cisco ASA 19 CHƯƠNG 3: THỰC NGHIỆM 21 3.1 Mô tả thực nghiệm 21 3.2 Tiến hành thực nghiệm 21 KẾT LUẬN 28 TÀI LIỆU THAM KHẢO 29 Bảng phân công 29 Danh mục hình vẽ Hình 1.1: Chức Router Hình 1.2: Vị trí Router mơ hình OSI Hình 1.3: Dữ liệu hiển thị bảng định tuyến Hình 3.1: Mơ hình mạng hệ thống 21 Hình 3.2: Kiểm tra lưu lượng trước thực 23 Hình 3.3: Telnet từ R1 - R3 24 Hình 3.4: PC0 truy cập vào Server 24 Hình 3.5: Ping R3 đến R1 25 Hình 3.6: Kiểm tra lưu lượng sau thực 25 Hình 3.7: Show version 25 Hình 3.8: Show running-config 26 Hình 3.9: Show flash 26 Hình 3.10: Show interface 26 Hình 3.11: Show ip route 27 Hình 3.12: Show ip route 27 Hình 3.13: Show clock 27 III Danh mục từ viết tắt STT Từ viết tắt USB IP DHCP OSI LAN OSPF AD HTTP 10 NTP 11 SNMP 12 ICMP 13 TCP 14 UDP 15 Dos 16 DDos 17 TFTP Tên đầy đủ Universal Serial Bus Internet Protocol Dynamic Host Configuration Protocol Open Systems Interconnection Reference Model Local Area Network Open Shortest Path First Administrative Distance Dịch Tiếng Việt Giao thức Internet giao thức cấu hình động máy chủ Mơ hình tham chiếu kết nối hệ thống mở Mạng nội Giao thức Truyền tải Siêu Văn Bản Giao thức đồng thời Network Time Protocol gian mạng Simple Network Monitoring Giao thức giám sát Protocol mạng đơn giản Internet Control Message Giao thức điều khiển Protocol truyền tin mạng Transmission Control Giao thức điều khiển Protocol truyền nhận Giao thức liệu người User Datagram Protocol dùng Tấn công từ chối dịch Denial Of Service vụ Tấn công từ chối dịch Distributed Denial Of Service vụ phân tán Giao thức truyền file Trivial File Transfer Protocol đơn giản Hypertext Transfer Protocol IV LỜI NÓI ĐẦU Hiện Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực công nghệ thông tin, viễn thơng thường khó khăn phức tạp đối tượng khơng sử dụng cơng nghệ vào việc công, gây án, mà cịn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp liệu, tải liệu, mã hóa liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa liệu, để lưu trữ, giấu liệu Khi nghi ngờ bị điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, liệu có liên quan, chí format thiết bị lưu trữ liệu Router thiết bị thiết yếu hệ thống mạng (Hộ gia đình, Cơng ty…v v) Chức router điều chế giải điều chế tín hiệu, hay nói cách dễ hiểu thiết bị giúp chuyển đổi tín hiệu truyền đường dây điện thoại, cáp quang thành tín hiệu số mà máy tính hiểu ngược lại Vậy nên cánh cổng người dùng internet tiềm ẩn nguy an ninh mà người dùng khơng ngờ đến Với mục đích tìm hiểu router điều tra chứng điện tử, nhóm em chọn đề tài “ Thu thập phân tích chứng từ Router “ giúp hiểu router điều tra công router Bài báo cáo gồm phần: Chương 1: Tổng quan chứng điện tử Router Chương 2: Thu thập phân tích chứng từ Router Chương 3: Thực nghiệm V CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ ROUTER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm “Chứng điện tử” chứng thu từ liệu có tạo thiết bị mà chức phụ thuộc vào chương trình phần mềm từ liệu lưu trữ truyền tải qua hệ thống máy tính mạng truyền thơng Từ quan điểm Chứng điện tử, khái quát “Chứng điện tử” tất thông tin, liệu thu thập từ thiết bị điện tử máy tính thiết bị lưu trữ thông tin, liệu hay thông tin, liệu từ mạng máy tính, điện thoại di động, máy ảnh kỹ thuật số từ Internet 1.1.2 Đặc điểm chứng điện tử Khai thác địa IP, email logs, web server logs, "cookies", "URL", website, thông tin truy cập tài khoản máy tính tự động tạo ra, cách hữu hiệu để chứng minh nguồn gốc truy cập trái phép, địa cơng, hành vi cơng mạng… Hình thành tự động dạng tín hiệu số thời gian tồn có giới hạn, phụ thuộc vào thiết bị phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ bảo quản) Dễ bị tác động, bị xóa thay đổi q trình lưu trữ, truyền tải, chép , tác nhân virus, dung lượng nhớ, lệnh lưu trữ phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải mạng, lưu, cố ý vô ý sửa đổi, xóa… Về giá trị pháp lý liệu điện tử làm chứng cứ: chứng điện tử phục hồi, phân tích, tìm liệu, kể bị xóa, bị ghi đè, dạng ẩn, mã hóa làm cho đọc được, nhìn thấy được, ghi lại, sử dụng làm chứng 1.1.3 Các thuộc tính chứng điện tử Tính khách quan: Dữ liệu có thật, tồn khách quan, có nguồn gốc rõ ràng, khơng bị làm cho sai lệnh, biến dạng, tìm thấy lưu máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang, email, website, điện toán đám mây, account, nickname đối tượng, server nhà cung cấp dịch vụ internet Tính liên quan: Dữ liệu thu có liên quan đến hành vi phạm tội, sử dụng để xác định tình tiết vụ án Tính liên quan thể ngun lý, cơng nghệ hình thành dấu vết điện tử, thơng tin khơng gian, thời gian hình thành liệu (logfile, IP, siêu liệu, hàm hash), địa lưu trữ, nội dung liệu chứa thông tin đối tượng, hành vi phạm tội, nơi hoạt động đối tượng, cookies truy cập, nguồn gốc nội dung email, chat, tin nhắn, cơng nghệ tốn thẻ, nạn nhân, thiệt hại Tính hợp pháp: Chứng phải thu thập luật, trình khám xét, thu giữ vật chứng, sử dụng cơng nghệ (thiết bị phần cứng phần mềm) quan pháp luật công nhận, để lưu liệu, bảo quản, phục hồi, phân tích, tìm kiếm giám định liệu làm chứng Cơ quan điều tra phải thu thập theo thủ tục tố tụng hình sự: Máy tính, máy điện thoại, email, USB, đĩa CD/DVD, liệu thu từ máy chủ, chặn thư đường truyền phải ghi vào biên bản, niêm phong theo quy định, không bị tác động làm thay đổi liệu kể từ thu giữ hợp pháp can thiệp để thay đổi Chuyên gia phục hồi liệu sử dụng công nghệ phần mềm phục hồi liệu, thiết bị chống ghi (Read Only- đọc) chép liệu sử dụng để phục hồi, phân tích, tìm kiếm liệu, chuyển thành dạng đọc được, nghe được, nhìn thấy 1.2 Tổng quan Router 1.2.1 Giới thiệu Router Router (Bộ định tuyến) thiết bị mạng chuyển tiếp gói liệu mạng máy tính Router thực chức đạo hướng Internet Dữ liệu gửi qua internet, chẳng hạn trang web email, dạng gói liệu Một gói liệu thường chuyển tiếp từ Router sang Router khác thông qua mạng tạo thành mạng nội (ví dụ: Internet) đến đích Một định tuyến kết nối với hai nhiều dòng liệu từ mạng IP khác Khi gói liệu xuất hiện, định tuyến đọc thông tin địa mạng tiêu đề gói để xác định đích cuối Sau đó, cách sử dụng thơng tin bảng định tuyến sách định tuyến, hướng gói tin đến mạng hành trình 1.2.2 Chức vai trò Router 1.2.2.1 Chức Một số chức Router: − Để tạo phân đoạn: Bộ định tuyến đóng vai trị để phân đoạn mạng internet hình thành mạng nội khu vực cư trú doanh nghiệp Bộ định tuyến di chuyển đến tất gói từ mạng nội đến Internet Chức định tuyến lưu lượng truy cập web dành riêng cho internet bên vào mạng internet mối quan tâm an tồn Nó giúp bỏ qua thiệt hại liệu từ gói liệu chuyển đến mạng sai − Để gán địa IP: IP (Internet Protocol) yếu tố cần thiết cho hệ thống máy tính địa IP có nghĩa địa gán cho máy tính qua mạng Với trợ giúp IP, tất gói truyền thơng gửi nhận qua mạng Giao thức cấu hình máy chủ động (DHCP) cho phép chuyển địa IP đến máy tính liên kết với mạng Hầu hết định tuyến kích hoạt với giao thức DHCP qua internet sử dụng cho loại mạng nhỏ gia đình văn phịng − Như Tường lửa: Tường lửa giúp cung cấp khả bảo vệ khỏi kẻ xâm nhập người dùng độc hại qua mạng nội Tường lửa cho phép chặn lưu lượng truy cập trái phép không mong muốn Tường lửa phần mềm cài đặt máy tính qua mạng, định tuyến xác định qua internet với phần mềm phần mềm tường lửa − Chia sẻ tài nguyên: Bộ định tuyến giúp nhiều người dùng chia sẻ tài nguyên fax, máy quét, máy in thư mục tệp ổ đĩa đặt từ xa Không cần phải cài đặt máy in cho người dùng qua mạng, giúp tiết kiệm thêm tiền khơng gian cho việc đặt máy in Tất tệp thư mục lưu trữ ổ cứng người dùng chia sẻ tồn mạng mà khơng cần in chép Hình 1.1: Chức Router 1.2.2.2 Vai trò Router thiết bị hoạt động lớp mạng mơ hình OSI, có chức định tuyến liệu mạng/ LAN Nó chứa bảng định tuyến dựa giao thức định tuyến tĩnh/ động Gói tin mà định tuyến nhận kiểm tra địa IP đích nó, dựa gói tin chuyển tiếp đến mạng đích sau kiểm tra chéo bảng định tuyến Hình 1.2: Vị trí Router mơ hình OSI − Thông tin dễ bay phải ưu tiên liệu liên tục, thơng tin dễ bay tạm thời tự nhiên bị phá hủy dễ dàng 2.3.1.4 Thu thập chứng dễ bị Bằng chứng dễ bị chứng dễ dàng bị q trình điều tra bình thường Nó phải đưa ưu tiên truy cập định tuyến cho mục đích điều tra Nó tạm thời tự nhiên bị lúc Do đó, điều tra viên nên thực bước để thu thập hội sớm Một số chứng điện tử coi chứng dễ bị mất: − Cấu hình − Danh sách truy cập − Thời gian − Đăng nhập tập tin Bằng chứng dễ bị thu thập theo hai cách sau: − Truy cập trực tiếp − Truy cập gián tiếp Truy cập trực tiếp: Truy cập trực tiếp thực lệnh show Các định tuyến truy cập trực tiếp thông qua bảng điều khiển định tuyến Một số lệnh show (cùng với đầu kèm cho số) sau: − show clock detail − show version − show running-config − show startup-config − show ip route − show ip arp − show users − show logging − show ip interface − show ip sockets − show ip cache flow Truy cập gián tiếp: Chỉ thực truy cập gián tiếp kẻ cơng có quyền truy cập gián tiếp Truy cập gián tiếp thực kẻ cơng thay đổi mật Nó thực cách quét cổng IP định tuyến 15 Ví dụ: định tuyến có tên X, cú pháp để thực quét cổng sau: ed mật Nó thực cách quét cổng IP định tuyến Ví dụ: định tuyến có tên X, cú pháp để thực quét cổng sau đây: nmap -v -sS -P0 -p 1- X nmap -v -sU -P0 -p 1- X nmap -v -sR -P0 -p 1- X Truy cập gián tiếp thực cách quét SNMP IP định tuyến Ví dụ: định tuyến có tên X, cú pháp sau: snmpwalk –v1 Router.domain.com public snmpwalk –v1 Router.domain.com private 2.3.1.5 Xác định cấu hình định tuyến Có hai cấu hình định tuyến: − Cấu hình lưu trữ: Đây cấu hình không biến đổi lưu trữ RAM không biến đổi (NVRAM) − Cấu hình tại: Đây cấu hình dễ bay giữ RAM Sau bước mà điều tra viên phải thực để có cấu hình định tuyến: Bước 1: Thiết lập kết nối với định tuyến để truy xuất RAM NVRAM Bước 2: Sử dụng vỏ bảo mật giao thức mã hóa để truy cập từ xa vào định tuyến kết nối trực tiếp khơng thể Bước 3: Đăng nhập tồn phiên với HyperTerminal Bước 4: Nắm bắt lưu cấu hình định tuyến dễ bay khơng dễ bị cho mục đích tài liệu 2.3.1.6 Kiểm tra phân tích Khi chứng dễ bị bảo mật thu cấu hình, điều tra viên bắt đầu để phân tích thơng tin lấy Các thành phần định tuyến sau cần kiểm tra phân tích giai đoạn này: − − − − Cấu hình định tuyến Bảng định tuyến Danh sách điều khiển truy cập Nhật ký định tuyến 16 Cấu hình định tuyến so sánh cấu hình khởi động với cấu hình chạy định tuyến Sau lệnh sử dụng cho mục đích này: − Hiển thị cấu hình khởi động − Hiển thị cấu hình chạy Bảng định tuyến: Bảng định tuyến chứa thông tin liên quan đến cách định tuyến chuyển tiếp gói Bảng định tuyến hiển thị cách sử dụng lệnh show ip route Điều tra viên nên tìm kiếm kênh chuyển đổi chuyển hướng gói cách sử dụng đường dẫn trái phép Danh sách điều khiển truy cập: Danh sách điều khiển truy cập hiển thị cách sử dụng danh sách truy cập hiển thị lệnh Điều tra viên nên kiểm tra danh sách kiểm soát truy cập định tuyến để cố gắng xác định kẻ cơng Kẻ cơng có nhập mạng từ địa mạng đáng tin cậy Nhật ký định tuyến: Nhật ký định tuyến cung cấp thông tin hoạt động định tuyến Họ hiển thị thông tin chi tiết người mạng họ làm mạng Nhật ký định tuyến giúp điều tra theo cách sau: − Cung cấp thông tin chi tiết xảy định tuyến − Cho phép điều tra viên tìm liệu đến từ đâu xác định xem có phải mối đe dọa mạng − Hiển thị chi tiết địa IP người gửi người nhận gói Vì nhật ký định tuyến hiển thị địa IP người gửi người nhận, nên lệnh ping nslookup sử dụng từ dòng lệnh để xác định tên máy chủ lưu trữ Các loại nhật ký định tuyến sau có chức quan trọng khác nhau: − Nhật ký nhật ký hệ thống: Tin nhắn nhật ký nhận lưu trữ máy chủ nhật ký hệ thống Điều tra viên phải kiểm tra syslog máy chủ cho thơng điệp tường trình − Bộ đệm nhật ký: Bộ đệm nhật ký định tuyến lưu trữ thơng điệp tường trình Những thơng điệp tường trình phải xác định điều tra viên Lệnh kiểm tra thơng điệp tường trình đệm nhật ký hiển thị ghi nhật ký Lệnh tiết lộ nội dung đệm nhật ký định tuyến 17 − Nhật ký bảng điều khiển: Các phiên bảng điều khiển ghi lại loại nhật ký Nhật ký tiết lộ đăng nhập vào giao diện điều khiển khoảng thời gian cụ thể − Nhật ký đầu cuối: Nhật ký hoàn toàn ngược lại với ghi nhật ký bàn điều khiển Tất phiên nonconsole ghi lại, điều tra viên xem thông điệp nhật ký không vô thức − Nhật ký SNMP: Loại nhật ký chấp nhận tất bẫy SNMP ghi lại chúng − Nhật ký vi phạm ACL: Danh sách kiểm soát truy cập đóng vai trị quan trọng việc điều tra định tuyến Chúng cấu hình để ghi nhật ký gói phù hợp với quy tắc chúng đệm log Router máy chủ syslog nhận lưu trữ thông điệp tường trình loại hình đăng nhập 2.3.1.7 Tạo báo cáo Các bước sau phải thực tạo báo cáo thu thập phân tích chứng cho định tuyến: Bước 1: Lưu ý tên điều tra viên Bước 2: Liệt kê chứng định tuyến Bước 3: Tài liệu chứng mặt hàng hỗ trợ khác Bước 4: Cung cấp danh sách công cụ sử dụng để điều tra Bước 5: Liệt kê thiết bị thiết lập sử dụng kỳ thi Bước 6: Đưa mô tả ngắn gọn bước kiểm tra Bước 7: Cung cấp chi tiết sau phát hiện: a Thông tin tập tin b Bằng chứng liên quan đến Internet c Phân tích liệu hình ảnh Bước 8: Đưa kết luận cho điều tra 2.4 Công cụ NetFlow collector Cisco ASA 2.4.1 Netflow Để đáp ứng lại nhu cầu trình hoạt động mạng quan trọng NetFlow công cụ nhúng phần mềm IOS Cisco để phân tích hoạt động mạng giúp giải vấn đề Nó cho phép người quản trị mạng có đầy đủ cơng cụ để biết thời gian, địa điểm,đối tượng cách thức lưu thông lưu lượng mạng Netflow giúp người quản trị chuyên nghiệp nhận biết giải vấn đề: 18 − Chất lượng dịch vụ(QoS) − Nhận biết dấu hiệu hay nguy công từ chối dịch vụ (DoS), Việc phát tán virus − Phân tích ứng dụng ảnh hưởng chúng lên hệ thống mạng: nhận dạng ứng dụng mạng VoIP chẳng hạn… − Giảm tải lưu lượng WAN − Xử lý cố nhận biết điểm yếu hệ thống mạng − Phát lưu lượng WAN trái phép − Bảo mật hệ thống mạng, phát cố bất thường − Phân chia băng thông hợp lý cho loại dịch vụ mạng khác Bắt đầu từ Asa version 8.2(1) hỗ trợ NetFlow SecureEvent Logging (NSEL) Version NetFlow version 2.4.2 NetFlow collector Cisco ASA NetFlow collector có nhiệm vụ thu thập thông tin luồng tổng hợp chúng lại để tạo report Không giống SNMP, NetFlow thường xuyên gửi thông tin cách định kỳ tới NetFlow reporting collector NetFlow cache liên tục cập nhập ghi từ Router, SW tìm cache luồng kết thúc luồng gửi NetFlow collector server Luồng kết thúc giao tiếp mạng kết thúc Lượng liệu gửi tới collector chiếm 1.5% lưu lượng chuyển mạch router Những ghi nhận chi tiết NetFlow packet cung cấp nhìn đầy đủ chi tiết toàn lưu lượng mạng chuyển qua router switch Sau bước để thực report NetFlow: − NetFlow cấu hình để bắt luồng vào NetFlow cache − NetFlow export cấu hình để để gửi luồng tới Collector − NetFlow cache tìm kiếm luồng kết thúc gửi thơng tin luồng tới NetFlow collector server − Có khoảng từ 30-50 luồng đóng gói gửi dạng UDP tới NetFlow collector server − Phần mềm NetFlow collector tạo real-time historical report từ liệu Cách thức Router Switch định luồng gửi tới NetFlow Collector: Một luồng sẵn sàng export ko hoạt động khoảng thời gian định luồng tồn tại(hoạt động) vượt thời gian hoạt động cho phép 19 Có đếm thời gian định luồng ko hoạt động hay tồn lâu thời gian mặc định cho luồng ko hoạt động 15s,còn thời gian mặc định giới hạn cho hoạt động luồng 30 phút Collector kết hợp luồng đưa tổng hợp lưu lượng mạng Vị trí NetFlow mạng: NetFlow thường sử dụng site trung tâm tất lưu lượng mạng từ site remote khác phân tích giám sát NetFlow Vị trí triển khai NetFlow phụ thuộc vào cấu trúc mạng Nếu reporting collection server đặt vị trí trung tâm vị trí tối ưu để cài đặt NetFlow chình gấn server Định dạng liệu gửi NetFlow: liệu NetFlow gửi tới collector bao gồm header ghi Phần header chứa thông tin số thứ tự,số ghi thời gian hệ thống Các ghi luồng chứa thơng tin luồng, ví dụ như: Địa IP, Port, thông tin định tuyến 20 CHƯƠNG 3: THỰC NGHIỆM 3.1 Mô tả thực nghiệm Các bước để thực thực nghiệm: − − − − − Xây dựng hệ thống mạng, định tuyến với OSPF Cài đặt Netflow router R2 Thực ping router truy cập vào web server Từ R2 lấy thông tin Thực nối cổng console R2 với PC lấy thơng tin router Hình 3.1: Mơ hình mạng hệ thống 3.2 Tiến hành thực nghiệm Cấu hình Cấu hình R1: R1 (config)# interface g0/0 R1 (config-if )# ip address 192.168.1.1 255.255.255.0 R1 (config-if )# no shut R1 (config-if )# exit R1 (config)# interface s0/1/0 R1 (config-if )# ip address 192.168.12.1 255.255.255.252 R1 (config-if )# clock rate 128000 R1 (config-if )# no shut R1 (config-if )#exit 21 Cấu hình R2: R2 (config)# interface g0/0 R2 (config-if )# ip address 192.168.2.1 255.255.255.0 R2 (config-if )# no shut R2 (config-if )# exit 29 R2 (config)# interface s0/1/0 R2 (config-if )# ip address 192.168.12.2 255.255.255.252 R2 (config-if )# no shut R2 (config-if )#exit R2 (config)# interface s0/1/1 R2 (config-if )# ip address 192.168.23.1 255.255.255.252 R2 (config-if )# clock rate 128000 R2 (config-if )# no shut R2 (config-if )#exit Cấu hình R3: R3 (config)# interface g0/0 R3 (config-if )# ip address 192.168.3.1 255.255.255.0 R3 (config-if )# no shut R3 (config-if )# exit R3 (config)# interface s0/1/0 R3 (config-if )# ip address 192.168.23.2 255.255.255.252 R3 (config-if )# no shut R3 (config-if )#exit R3 (config-if )# no shut R3 (config-if )#exit Cấu hình định tuyến động OSPF Cấu hình R1 R1 (config)# router ospf R1 (config)# network 192.168.1.0 0.0.0.255 area R1 (config)# network 192.168.12.0 0.0.0.3 area R1 (config)# passive-interface g0/0 R1 (config)# end Cấu hình R2 R2 (config)# router ospf R2 (config)# network 192.168.2.0 0.0.0.255 area R2 (config)# network 192.168.12.0 0.0.0.3 area R2 (config)# network 192.168.22.0 0.0.0.3 area R2 (config)# passive-interface g0/0 R2 (config)# end 22 Cấu hình R3 R3 (config)# router ospf R3 (config)# network 192.168.3.0 0.0.0.255 area R3 (config)# network 192.168.22.0 0.0.0.3 area R3 (config)# passive-interface g0/0 R3 (config)# end Trên R3 cấu hình telnet R3 (config)# enable secret abc R3 (config)#line vty R3(config-line)#password abc R3(config-line)#login Trên R2 cấu hình netflow R2 (config)# interface s0/1/0 R2 (config-if )# ip flow ingress R2 (config-if )# ip flow egress R2 (config-if )# interface s0/1/1 R2 (config-if )# ip flow ingress R2 (config-if )# ip flow ingress R2 (config)#ip flow-export destination 192.168.2.3 9996 R2 (config)#ip flow-export version Lưu lượng trước thực thao tác đường truyền Hình 3.2: Kiểm tra lưu lượng trước thực 23 Thực telnet từ R1 đến R3 Hình 3.3: Telnet từ R1 - R3 Từ PC0 truy cập vào web server Hình 3.4: PC0 truy cập vào Server 24 Thực ping từ R3 đến R1 Hình 3.5: Ping R3 đến R1 Lưu lượng sau thực thao tác Hình 3.6: Kiểm tra lưu lượng sau thực Show version Hình 3.7: Show version 25 Show running-config: câu lệnh kiểm tra cấu hình/ xem file chương trình chạy RAM Hình 3.8: Show running-config Show startup-config: Show cấu hình lưu lại NVRAM Show flash: Show nhớ Flash Hình 3.9: Show flash Show interface: Có thể kiểm tra trạng thái giao diện thiết bị chuyển mạch Cisco Hình 3.10: Show interface 26 Show ip route :Lệnh show ip route hiển thị bảng định tuyến sử dụng định tuyến Điều giúp xác định xem kẻ cơng có Thơng tin định tuyến tiêm Hình 3.11: Show ip route Show ip route Hình 3.12: Show ip route Show clock : Show ngày Hình 3.13: Show clock 27 KẾT LUẬN Bài tập lớn thể mục tiêu đặt thực tìm hiểu đạt Cụ thể: Chương 1: Đã tìm hiểu đặc điểm thuộc tính liệu điện tử Chương bước để thực điều tra tội phạm máy tính cụ thể thu thập phân tích chứng từ mạng Chương 2: Đã giới thiệu lại kiến trúc, cách hoạt động chức router Router thực chức đạo hướng Internet Dữ liệu gửi qua internet, chẳng hạn trang web email, dạng gói liệu Một gói liệu thường chuyển tiếp từ Router sang Router khác thông qua mạng tạo thành mạng nội đến đích Từ lỗ hổng phổ biến có khả đường để thực nhiều công khác mạng Sau đó, thiết lập bước điều tra cụ thể trình điều tra công router Chương 3: Xây dựng hệ thống mạng định tuyến với OSPF, thực mô lấy thơng tin router để phân tích liệu lấy Dù vậy, thời gian kiến thức có hạn, làm cịn chưa đầy đủ việc xây dựng phân tích liệu Router, chưa sử dụng công cụ phù hợp để phân tích rõ ràng đầy đủ Mong thầy góp ý để làm hoàn thiện 28 TÀI LIỆU THAM KHẢO Tiếng Việt “Thu thập phân tích chứng từ router”, Học Viện kỹ thuật mật mã, Hà Nội 2019 Tiếng Anh Trang web http://scitechconnect.elsevier.com/wp-content/uploads/2013/09Router-Forensics.pdf Investigating Network Intrusions and Cybercrime https://www.sciencedirect.com/topics/computer-science/router-architecture Bảng phân công Sinh viên Công việc Vũ Minh Quang – AT140838 Thuyết trình, demo Nguyễn Thế Tùng – AT140650 Demo, làm slide Hoàng Thị Lan – AT140220 Làm word, tìm tài liệu Nguyễn Thị Ninh – AT140229 Làm word, tìm tài liệu Phạm Thị Lưu Ly – AT140222 Làm word, tìm tài liệu 29 ... dựa vào để xây dựng nên bảng định tuyến CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER 2.1 Thu thập phân tích chứng từ mạng Có phương pháp để thu thập phân tích chứng từ mạng là: − Phân tích. .. tuyến Router 1.2.4.1 RIP 1.2.4.2 OSPF CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER 2.1 Thu thập phân tích chứng từ mạng 2.1.1 Phân tích. .. Chương 2: Thu thập phân tích chứng từ Router Chương 3: Thực nghiệm V CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ ROUTER 1.1 Tìm hiểu chứng điện tử 1.1.1 Khái niệm ? ?Chứng điện tử” chứng thu từ liệu