Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính bao gồm các nội dung: Điều tra lưu lượng Mạng, hoạt động của mạng Internet, tấn công từ chối dịch vụ, tấn công từ chối dịch vụ, điều tra lưu lượng mạng,... Mời các bạn cùng tham khảo.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 7: Điều tra lưu lượng trên Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Điều tra lưu lượng Mạng • • • Phân tích thơng kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các q trình hành động có tương quan với lưu lượng gói tin được ghi lại Ngồi việc dùng để giám sát và cải thiện hiệu suất, thơng tin lưu lượng còn là các chứng cớ số trong pháp chứng Hoạt động của mạng Internet Ví dụ một mạng máy tính doanh nghiệp Tấn cơng từ chối dịch vụ • • • Tấn cơng từ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình Tấn cơng từ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính tốn các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại Tấn cơng từ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm sốt một cách có tính tốn làm cho chúng trở nên vơ cùng bận rộn hoặc ngừng làm việc Tấn cơng từ chối dịch vụ Ghi nhận tấn cơng Mạng của NORSE Điều tra lưu lượng mạng • Định danh và phân loại những loại tấn cơng như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng Phân tích lưu lượng tấn cơng DDoS Các thơng tin lưu lượng pháp chứng • • • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng Bản ghi lưu lượng là một tập hợp thơng tin về một dòng lưu lượng. Hệ thống xử lý bản ghi lưu lượng Giao thức sFlow • • • sFlow được phát triển bởi InMon công bố bởi IETF RFC vào năm 2001 Thống kê lấy mẫu gói tin và khơng hỗ trợ việc ghi lại và xử lí thơng tin về các gói dữ liệu duy nhất, cân bằng tốt với các mạng rất lớn, với thơng lượng cao Tập trung vào thống kê nên phần bên dưới của gói tin khơng được lấy mẫu và khơng được ghi lại nên khơng thể phân tích. sFlow Phần mềm thu thập lưu lượng (Reporting Collector) SiLK • SiLK (System for Internet Level Knowledge): Là phần mềm mã nguồn mở của nhóm Network Situational Awareness (NetSA) tại CERT gồm 2 bộ cơng cụ: • • Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc các file và xuất nó bị nén theo định dạng SiLK Flow Flowcap: lắng nghe các bản ghi lưu lượng trên mạng, lưu trữ tạm thời dữ liệu lưu lượng trên ổ đĩa hoặc RAM, và chuyển tiếp các luồng đã nén vào chương trình máy khác như là rwflowpack NetFlow Reporting Collector cài SiLK Các cơng cụ trong phần mềm SiLK Phần mềm thu thập lưu lượng (Reporting Collector ) Nfcapd/Nfdump/NfSen • • • • Bộ cơng cụ Nfcapd, Nfdump, NfSen bao gồm các cơng cụ cho việc thu thập, hiển thị, và phân tích dữ liệu Nfcapd là daemon trong Linux được phát triển tích hợp với nfdump để bắt các gói tin NetFlow Nfdump đọc các file ghi Nfcapd và xử lý thơng tin, nfdump cho phép mở rộng tùy biến các tập tin dữ liệu được lưu trữ trên đĩa NfSen “Netflow Sensor”: cung cấp một giao diện web cho nfdump. Nó là một cơng cụ mã nguồn mở được viết bằng Perl và PHP, được thiết kế để chạy trên Linux và Unix NetFlow Reporting Collector cài Nfcapd và Nfdump Kiến trúc mạng và thu thập lưu lượng Các yếu tố cần được xem xét: Kỹ thuật phân tích trong điều tra • • Là các kỹ thuật chọn lọc giúp Pháp chứng viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thơng tin phải được phân tích. Những kỹ thuật phân tích cũng sẽ gia tăng tỉ lệ phát hiện các cuộc tấn cơng cần thiết để duy trì một sự hiện diện liên tục trong q trình thu thập thơng tin Các kỹ thuật phân tích bản ghi lưu lượng • • • • Lọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâm Định hướng thống kê (baseline): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline), định hướng máy chủ (Host baselines) Thông tin đen "dirty values" : H ệ thống qt danh sách các Thơng tin đen như các địa chỉ IP, Port, ngày, giờ truy cập và tìm kiếm bản ghi lưu lượng dữ liệu để chọn ra các mục có liên quan Mơ hình phân tích: Địa chỉ IP, Cổng, Giao thức và cờ, Định hướng, Khối lượng dữ liệu được truyền Cơng cụ phân tích lưu lượng NfSen Cơng cụ phân tích lưu lượng Flowtools • • Flowtools: phân tích bản ghi lưu lượng Bao gồm nhiều cơng cụ có ích cho việc phân tích pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi o o Flownfilter: cho phép người dùng lọc bản xuất lưu lượng dữ liệu dựa theo “sơ khai” Flowdscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, qt cổng, qt máy chủ và các cuộc tấn cơng từ chối dịch vụ Cơng cụ phân tích lưu lượng FlowTraq • • FlowTraq: hỗ trợ một loạt rất nhiều định dạng đầu vào, bao gồm cả NetFlowv9, IPFIX, Jflow. Nó cũng có thể sniff lưu lượng truy cập trực tiếp và tạo ra các bản ghi lưu lượng. Sau khi thu thập, FlowTraq cho phép người dùng lọc, tìm kiếm, sắp xếp, và các báo cáo dựa trên hồ sơ lưu lượng. FlowTraq hỗ trợ nhiều hệ điều hành Cơng cụ phân tích lưu lượng EtherApe • EtherApe: đọc dữ liệu gói tin trực tiếp từ giao diện mạng hoặc tập tin pcap Hết bài 7 ... • • Phân tích thơng kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các q trình hành động có tương quan với lưu lượng gói tin ... Ngồi việc dùng để giám sát và cải thiện hiệu suất, thơng tin lưu lượng còn là các chứng cớ số trong pháp chứng Hoạt động của mạng Internet Ví dụ một mạng máy tính doanh nghiệp Tấn cơng từ chối dịch vụ ... vào những sự hành vi thay đổi bất thường trong mạng Phân tích lưu lượng tấn cơng DDoS Các thơng tin lưu lượng pháp chứng • • • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích