Điều tra lưu lượng mạng máy tính

Các thông tin lưu lượng pháp chứng • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn vàđích, cổng nguồn và đích nếu có, giao thức, ngày,giờ và số lượng dữ liệu truyền đi trong mỗi dòng..

PHÁP CHỨNG KỸ THUẬT SỐ

Bài 6: Điều tra lưu lượng trên Mạng máy tính

Điều tra lưu lượng Mạng

• Phân tích thông kê lưu lượng ngày càng trở nên

quan trọng trong phân tích pháp chứng

• Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu,

sẽ cho phép điều tra dựa trên các quá trình hành

động có tương quan với lưu lượng gói tin được ghi lại

• Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong

pháp chứng

Tấn công từ chối dịch vụ

Ghi nhận tấn công Mạng của NORSE

Điều tra lưu lượng mạng

• Định danh và phân loại những loại tấn công như

Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng

Phân tích lưu lượng Mạng

Phân tích lưu lượng tấn công DDoS

Các thông tin lưu lượng pháp chứng

• Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn vàđích, cổng nguồn và đích (nếu có), giao thức, ngày,giờ và số lượng dữ liệu truyền đi trong mỗi dòng

• Bản ghi lưu lượng là một tập hợp thông tin về mộtdòng lưu lượng

• Hệ thống xử lý

bản ghi lưu lượng Hệ thống

xử lý bản ghi lưu lượng

Cảm biến

Thu thập

Tổng Phân

thích

Thống kê bản ghi lưu lượng

Cảm biến (sensor)

• Ghi bằng thiết bị trên mạng: Một số thiết bị như

CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng

• Cài đặt thiết bị độc lập: Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng

• Giao thức trao đổi thông tin lưu lượng: NetFlow,

IPFIX, sFlow

Phần mềm cảm biến

• ARGUS (Audit Record Generation and Utilization System)

• Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt

từ file Các công cụ người dùng: sử dụng để thu thập, phân phối,

xử lí và phân tích dữ liệu Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP.

• YAF (Yet Another Flowmeter):

• Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng

dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu

lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng

TLS.

• Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow.

Các yếu tố cần xem xét khi đặt cảm biến

• Nếu thời gian trên một cảm biến không chính xác, rất khó

để tương quan lưu lượng được xuất bởi thiết

bị này với các thiết bị khác.

Lưu lượng ngoài so với bên

trong

• Lưu lượng

dữ liệu nội

bộ có thể giúp xác định các máy trạm bị xâm nhập đang tìm cách lan truyền tới những mục tiêu mới, bao gồm cả bên trong và bên ngoài.

Tài nguyên

• Xem lại các biểu đồ mạng một cách cẩn thận và chọn điểm nút thắt

mà nó sẽ tối

đa hóa khả năng thu thập, trong khi nó vẫn phù hợp với phạm vi ngân sách và khả năng để

xử lí và phân tích.

Năng lực

• Việc kích hoạt xử lí bản ghi lưu lượng và xuất chúng

có thể ảnh hưởng đến hiệu suất của thiết bị mạng, đặc biết là nếu

nó được sử dụng quá mức.

Điều chỉnh môi trường

• Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị

ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ.

• Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị

mạng, quá trình chuyển đổi này có thể đơn giản hoặc có thể yêu cầu cấu hình lại nhiều hơn.

(như Argus hoặc Softflowd), điều tra viên có thể lựa

chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng

Giao thức NetFlow

• Là một Giao thức giám sát lượng truy cập của Cisco.Lưu bộ nhớ đệm và xuất các thông tin mật độ lưulượng

• Các gói tin “NetFlow Export” có thể được truyềnqua UDP, TCP, hoặc thậm chí SCTP

o NetFlow V.5: đơn giản và được sử dụng rộng rãi trên nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP.

o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển.

Ví dụ NetFlow

Sử dụng giao thức NetFlow

• Nhận biết được dấu hiệu hay nguy cơ của những

cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus

• Phân tích các ứng dụng mới và ảnh hưởng của

chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như Voice, Video …

• Phát hiện được các sự cố bất thường liên quan đến đường truyền

• Giảm sự quá tải của lưu lượng WAN, Phân chia

băng thông hợp lí cho từng loại dịch vụ mạng khác nhau

Hoạt động của Netflow

• NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các

luồng(flow) đang hoạt động

• NetFlow cache được xây dựng bằng cách xử lý

packet trong luồng thông qua một đường chuyển

mạch chuẩn

• Trong 1 luồng, NetFlow ghi lại các packet đầu tiên

và nó sử dụng lại records này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc

• Các records sẽ được lưu trong Netflow Cache

Hoạt động NetFlow cache

NetFlow cache

• Mỗi một record trong NetFlow cache chứa các

trường thuộc tính Mỗi bản ghi luồng được tạo ra

bằng cách so sánh

• Thuộc tính của các packet

• Đếm số packet và số byte của mỗi luồng.

• NetFlow cache liên tục cập nhập các bản ghi từ

Router, SW nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp

mạng kết thúc

Thu thập dữ liệu lưu lượng NetFlow

NetFlow Reporting Collector

• NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng

• NetFlow export được cấu hình để để gửi thông tin các luồng tới Collector NetFlow cache tìm kiếm

luồng đã kết thúc và gửi thông tin về luồng đó tới

NetFlow collector server

• Có khoảng từ 30-50 luồng được đóng gói và gửi

dưới dạng UDP tới NetFlow collector server

• Phần mềm NetFlow collector có thể tạo ra các báo cáo lưu lượng từ cơ sở dữ liệu

Ví dụ báo cáo lưu lượng

NetFlow trong Cisco IOS

• NetFlow là một giao thức nhúng vào trong phần

mềm Cisco IOS trên router và switch

• Cisco IOS NetFlow cho phép các thiết bị mạng được chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu

về lưu lượng giao thông qua chúng

• Cisco IOS NetFlow cho phép người quản trị mạng

có đầy đủ các công cụ để biết được thời gian, địa

điểm,đối tượng cũng như cách thức lưu thông của

lưu lượng mạng

Cấu hình NetFlow trên Cisco Router

• Lưu lượng từ cổng s0 sẽ đổ về máy 20.1.1.2 qua port 9996

Router1(config)#ip flow-export version 5

Router1(config)#ip flow-cache timeout active 1

Router1(config)#ip flow-cache timeout inactive 15

Router1(config)#snmp-server ifindex persist

Xem thông tin lưu lượng trên Router

Mô hình các NetFlow colectors

Giao thức IPFIX (IP Flow Information

Export)

• Là một phát triển từ NetFlow được đưa ra trong RFC

5101 dựa trên NetFlow v9.

• Xử lí các báo cáo lưu lượng hai chiều, để giảm sự dư thừa dữ liệu khi báo cáo về dòng dữ liệu với các thuộc tính tương tự, cung cấp khả năng tương tác tốt hơn.

• Các dữ liệu bản ghi lưu lượng mà IPFIX hỗ trợ được

mở rộng thông qua dữ liệu mẫu Các hệ thống thu thập gửi định nghĩa mẫu các dữ liệu được xuất ra, và Sensor sau đó sử dụng mẫu để xây dựng các gói xuất dữ liệu bản ghi lưu lượng gửi lại khi lưu lượng hết hạn.

Sơ đồ hoạt động của IPFIX

• Tập trung vào thống kê nên phần bên dưới của góitin không được lấy mẫu và không được ghi lại nênkhông thể phân tích.

sFlow

Kiến trúc mạng và thu thập lưu lượng

Độ tin cậy

• Sử dụng giao thức truyền ở tầng vận chuyển với

độ tin cậy cao như TCP, SCTP.

Năng lực

• Củng cố sự thu thập trên một hệ

thống đơn làm giảm chi phí phần cứng và phần mềm,

và tạo điều kiện tổng hợp và phân tích.

Chiến lược phân tích

• Nên có hệ thống phân tích riêng biệt có thể nhận được

dữ liệu báo cáo lưu lượng từ nhiều nguồn

và tổng hợp nó.

Các yếu tố cần được xem xét:

Kỹ thuật phân tích trong điều tra

• Là các kỹ thuật chọn lọc giúp điều tra viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thông tin phải được phân tích

• Những kỹ thuật phân tích cũng sẽ gia tăng tỉ lệ phát hiện các cuộc tấn công cần thiết để duy trì một sự hiện diện liên tục trong quá trình thu thập thông tin

Các kỹ thuật phân tích bản ghi lưu lượng

• Lọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâm

• Định hướng thống kê (baseline): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline), định hướng máy chủ (Host baselines).

• Thông tin đen "dirty values​​" : Hệ thống quét danh sách các Thông tin đen như các địa chỉ IP, Port, ngày, giờ

truy cập và tìm kiếm bản ghi lưu lượng dữ liệu để

chọn ra các mục có liên quan.

• Mô hình phân tích: Địa chỉ IP, Cổng, Giao thức và cờ,

Phần mềm thu thập lưu lượng SiLK

SiLK (System for Internet Level Knowledge):

• Là phần mềm mã nguồn mở của nhóm NetworkSituational Awareness (NetSA) tại CERT gồm 2 bộcông cụ:

• Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc các file và xuất nó bị nén theo định dạng SiLK Flow.

• Flowcap: lắng nghe các bản ghi lưu lượng trên mạng, lưu trữ tạm thời dữ liệu lưu lượng trên ổ đĩa hoặc RAM, và chuyển tiếp các luồng đã nén vào chương trình máy khác như là rwflowpack.

NetFlow sensor cài SiLK

Các công cụ trong phần mềm SiLK

• Rwstats tạo

ra các thống

kê dựa trên các trường giao thức được quy định.

• Rwcount đếm các gói tin và byte

• Rwcut chọn trường mà rwuniq có thể giúp bạn sắp xếp trên đó.

rwidsquery

• Số liệu luồng đầu vào phù hợp quy tắc, viết một lời yêu cầu rwfilter

để tạo ra các luồng phù hợp.

rwpmatch

• Một chương trình dựa trên thư viện pcap đọc các phạm lỗi định dạng SiLK của các lưu lượng siêu

dữ liệu.

Advanced SiLK

• Thực hiện các chức năng của SiLK thông qua Python API.

Phần mềm thu thập lưu lượng Nfdump/NfSen

• Bộ công cụ Nfcapd, Nfdump , NfSen bao gồm các công

cụ cho việc thu thập, hiển thị, và phân tích dữ liệu

• Nfcapd là daemon trong Linux được phát triển tích hợp với nfdump để bắt các gói tin NetFlow

• Nfdump đọc các file ghi Nfcapd và xử lý thông tin,

nfdump cho phép mở rộng tùy biến các tập tin dữ liệu được lưu trữ trên đĩa.

• NfSen “Netflow Sensor”: cung cấp một giao diện web cho nfdump Nó là một công cụ mã nguồn mở được viết bằng Perl và PHP, được thiết kế để chạy trên Linux và

Công cụ Nfcapd và Nfdump

Công cụ phân tích lưu lượng NfSen

Công cụ phân tích lưu lượng Flow-tools

• Flow-tools: phân tích bản ghi lưu lượng

• Bao gồm nhiều công cụ có ích cho việc phân tích

pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi

o Flow-nfilter: cho phép người dùng lọc bản xuất lưu

lượng dữ liệu dựa theo “sơ khai”.

o Flow-dscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, quét cổng, quét máy chủ và các cuộc tấn công từ chối dịch vụ.

Công cụ phân tích lưu lượng FlowTraq

• FlowTraq: hỗ trợ một loạt rất nhiều định dạng đầu vào, bao gồm cả NetFlowv9, IPFIX, Jflow Nó cũng có thể sniff lưu lượng truy cập trực tiếp và tạo ra các bản ghi lưu lượng.

• Sau khi thu thập, FlowTraq cho phép người dùng lọc, tìm kiếm, sắp xếp, và các báo cáo dựa trên hồ sơ lưu lượng FlowTraq hỗ trợ nhiều hệ điều hành.

Công cụ phân tích lưu lượng EtherApe

• EtherApe: đọc dữ liệu gói tin trực tiếp từ giao diện mạng hoặc tập tin pcap

Hết bài 6