Đang tải... (xem toàn văn)
Bài giảng Pháp chứng kỹ thuật số - Bài 6: Điều tra tội phạm mạng - Pháp chứng Mạng máy tính cung cấp cho người học các kiến thức: Pháp chứng Mạng máy tính và pháp chứng kỹ thuật số, nhiệm vụ bảo vệ không gian Mạng, các hướng điều tra của Pháp chứng mạng,... Mời các bạn cùng tham khảo.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 6: Điều tra tội phạm Mạng - Pháp chứng Mạng máy tính Giảng viên: TS Đàm Quang Hồng Hải Pháp chứng Mạng máy tính pháp chứng kỹ thuật số Pháp chứng Mạng gì? • Pháp chứng mạng nhánh pháp chứng kỹ thuật số liên quan: • Theo dõi phân tích lưu lượng mạng máy tính, lưu lượng đường truyền mạng sau truyền nên điều tra với thời gian chủ động • Theo dõi phát xâm nhập cho mục đích thu thập hay phá hoại thơng tin • Thu thập chứng Mạng Website, từ dấu vết xâm nhập Malware để tìm chứng pháp lý hoạt động đối tượng mạng • Việc thực pháp chứng mạng cần thiết cho người làm quản trị mạng Nhiệm vụ bảo vệ không gian Mạng Một số khác biệt với Pháp chứng máy tính • Khác biệt với Pháp chứng máy tính truyền thống • Điều tra thơng qua q trình xây dựng lại kiện mạng • Khi Mạng bị xâm nhập "Hacker", hay có cố khác mạng không rõ nguyên nhân sở hạ tầng xuống cấp bị cúp điện • Cung cấp mảnh cịn thiếu phân tích pháp chứng • Dựa việc sử dụng phần mềm chụp lại tập tin có cố Mạng • Một cách nhìn phân tích dấu vết tập tin • Tiếp tục phương thức xử lý cố truyền thống Các hướng điều tra Pháp chứng mạng • Hướng điều tra liên quan đến an tồn mạng: giám sát mạng máy tính có lưu lượng truy cập bất thường xác định xâm nhập • Một kẻ cơng có thể có khả xóa tất tập tin đăng nhập máy chủ bị công, chứng dựa lưu lượng mạng chứng để phân tích pháp chúng • Hướng điều tra liên quan đến thơng tin tội phạm mạng: Trong trường hợp phân tích gói tin thu bao gồm nhiệm vụ nối ghép tập tin chuyển giao, tìm kiếm cho từ khóa phân tích thơng tin liên lạc email buổi trò chuyện Các câu hỏi với Pháp chứng viên • Ai kẻ xâm nhập làm họ thâm nhập vào biện pháp phịng ngừa an ninh hành? • Những thiệt hại xảy ra? • Những kẻ xâm nhập sau rời khỏi hệ thống mạng để lại điều hệ thống tài khoản người dùng mới, Trojan Worm phần mềm Bot? • Chúng ta nắm bắt đầy đủ liệu để phân tích mơ lại công minh xác cho việc sửa chữa? E-Detective Các q trình ứng phó cố mạng • Việc sử dụng thông tin ghi tường lửa, ghi hệ thống, ghi thiết bị mạng có liên quan đến thời gian truy cập, địa điểm, địa IP cho phép xác định kiện liên quan đến an toàn mạng • Pháp chứng viên thơng qua giám sát lưu lượng mạng để lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính Điều tra với kỹ thuật thơng thường Các cơng cụ Sniffer • Sniffer sản phẩm Network Associates với tên Sniffer Network Analyzer • Có nhiều cơng cụ Sniffer phát triển như: • tcpdump/windump: cơng cụ cụ viết linux/windows • Wireshark (Ethereal): cơng cụ thơng dụng nhiều tính mạnh hỗ trợ việc phân tích • Kismet: hiệu để Sniffer gói tin mạng Wireless • Ettercap: hoạt động hiệu bảo mật • NetStumbler: thực Sniffer chuẩn 802.11 • Ngrep: tính lọc tốt thường dùng với tcpdump • KisMAC: thực Sniffer hệ điều hành Mac OS X tcpdump/windump • tcpdump (www.tcpdump.org) phần mềm mã nguồn mở sniffer Nó viết vào năm 1987 Van Jacobson, Craig Leres, Steven McCanne Phịng thí nghiệm Lawrence Berkeley • tcpdump công cụ chuyên gia khắp giới tín nhiệm hữu dụng việc gỡ rối kiểm tra vấn đề kết nối mạng bảo mật • tcpdump phần mềm hệ thống có họ Unix bao gồm Linux, Solaris, AIX, Mac OS X, BSD, and HP UX, dùng để theo dõi gói liệu lưu thơng qua Card mạng • Windump phiên chạy Windows tcpdump Cú pháp tcpdump Sử dụng tcpdump/windump • tcpdump phần mềm chạy dòng lệnh, dùng để theo dõi băng thơng mạng thơng qua việc lưu trữ gói tin (packet) truyền tải mà máy bắt ghi vào file để phục vụ công việc phân tích điều tra • Tcpdump mặc định để nắm bắt 68 bytes tất lưu lượng truy cập cho giao diện mạng Điều hữu ích để nắm bắt ID người dùng mật khơng mã hóa ghi lại tất kết nối, khơng hữu ích ta quan tâm đến nội dung gói tin mạng Một số hạn chế tcpdump/windump • tcpdump/windump phần mềm chạy dòng lệnh Người sử dụng cần phải biết tất tùy chọn để sàng lọc gói liệu cụ thể, khơng có giao diện thuận tiện cho người dùng • tcpdump/windump khơng nhìn thấy gói tin bị chặn tường lửa gateway, router, Switch • Các Switch đại ngăn chặn máy tính nhìn thấy tất lưu lượng khơng dành cho mạng chế độ hỗn tạp (promiscuous mode) Cơng cụ Wireshark • Wireshark phần mềm phân tích giao thức mạng phổ biến giới • Wireshark có tính phong phú mạnh mẽ chạy hầu hết tảng máy tính bao gồm Windows, OS X, Linux, UNIX • Wireshark phân tích gói liệu mạng sử dụng để bắt gói tin mạng hiển thị thông số liệu gói tin Các giao thực hỗ trợ WireShark • WireShark có ưu vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent • Wireshark phát triển mơ hình mã nguồn mở, giao thức cộng đồng Wireshark thêm vào • Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở Lựa chọn phần cứng để thu thập thơng tin Các gói tin thu thập Mầu sắc gói tin • Các gói tin màu sắc khác xanh cây, xanh da trời đen , để giúp người dùng phân biệt loại traffic khác • Màu xanh traffic TCP, • Mầu xanh da trời đậm traffic DNS, • Mầu xanh da trời nhạt traffic UDP • Màu đen gói TCP có vấn đề Lọc gói tin theo u cầu • Pháp chứng viên lọc gói tin thu thập theo u cầu • Ví dụ: not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.1.104 ip.addr == 192.168.1.104 Lọc gói tin theo ip.addr == 192.168.1.104 Phân tích gói tin với địa IP 192.168.1.104 Xem nội dung gói tin Hết .. .Pháp chứng Mạng máy tính pháp chứng kỹ thuật số Pháp chứng Mạng gì? • Pháp chứng mạng nhánh pháp chứng kỹ thuật số liên quan: • Theo dõi phân tích lưu... liên quan đến an tồn mạng • Pháp chứng viên thơng qua giám sát lưu lượng mạng để cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính Điều tra với kỹ thuật thông thường Điều tra... đường dẫn ứng dụng thực thành phần mạng liên quan Điều tra với kỹ thuật phân tích mạng Pháp chứng Mạng giao thức Mạng • Người Pháp chứng viên tiến hành điều tra Mạng cần hiểu biết rõ giao thức