Hiện nay ở Việt Nam đã xuất hiện nhiều loại tội phạm mới, như tấn công hạ tầng thông tin quốc gia, cơ sở dữ liệu của cơ quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thông tin bí mật quốc gia, phát tán thông tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, tấn công từ chối dịch vụ. Cuộc đấu tranh chống các loại tội phạm trong lĩnh vực công nghệ thông tin, viễn thông thường rất khó khăn và phức tạp vì các đối tượng không chỉ sử dụng các công nghệ mới nhất vào việc tấn công, gây án, mà còn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã hóa dữ liệu, dùng ngôn ngữ đặc biệt để lập trình mã độc, chống phát hiện và dịch ngược mã độc...Tin tặc thường sử dụng máy tính, điện thoại di động, các thiết bị lưu trữ và kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu. Khi nghi ngờ bị điều tra, theo dõi, chúng rất cảnh giác, lập tức xóa hết dấu vết, dữ liệu có liên quan, thậm chí format thiết bị lưu trữ dữ liệu. Router là một thiết bị thiết yếu trong mỗi hệ thống mạng (Hộ gia đình, Công ty…v..v). Chức năng của router là điều chế và giải điều chế tín hiệu, hay nói một cách dễ hiểu là thiết bị giúp chuyển đổi tín hiệu truyền trên đường dây điện thoại, cáp quang thành tín hiệu số mà máy tính có thể hiểu được và ngược lại. Vậy nên đây chính là cánh cổng giữa người dùng và internet và nó đang tiềm ẩn những nguy cơ về an ninh mà người dùng không ngờ đến. Với mục đích tìm hiểu về router và điều tra chứng cứ, nhóm em chọn đề tài “ Thu thập và phân tích chứng cứ từ Router “ sẽ giúp chúng ta hiểu hơn về router và các điều tra tấn công router. Đề tài nhóm em gồm chương:
HỌC VIỆN KỸ THUẬT MẬT MÃ AN TỒN THƠNG TIN PHỊNG CHỐNG VÀ ĐIỀU TRA MẠNG MÁY TÍNH ĐỀ TÀI THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER Giảng viên hướng dẫn : TS Nguyễn Mạnh Thắng Nhóm : 15 Sinh viên thực : Lương Văn Công-AT140604 Nguyễn Ngọc Tuấn- AT140647 Bùi Thị Thúy- AT140644 Hoàng Kim Lợi- AT140624 Hà Nội, 2021 Mục Lục Danh Mục Hình Ảnh Danh Mục Từ Viết Tắt LỜI CẢM ƠN LỜI NÓI ĐẦU CHƯƠNG 1: TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử 1.2 Đặc điểm liệu điện tử 1.3 Các thuộc tính chứng điện tử 10 1.4 Điều tra tội phạm máy tính 12 1.4.1 Quy trình lấy cắp liệu 12 1.4.2 Các bước thực tìm kiếm chứng 13 1.4.3 Thu thập phân tích chứng từ mạng 15 CHƯƠNG 2: PHƯƠNG PHÁP ĐIỀU TRA TỘI PHẠM MÁY TÍNH 17 2.1 Tìm hiểu kiến trúc Router 17 2.1.1 Giới thiệu Router 17 2.1.2 Cách hoạt động Chức Router 17 2.1.3 Vai trò định tuyến 20 2.1.4 Kiến trúc Router 20 2.2 Danh sách loại công Router 25 2.2.1 Lỗ hổng Router 25 2.2.2 Các loại công Router 25 2.3 Các bước điều tra công Router 28 2.3.1 Điều tra công Router 28 CHƯƠNG 3: DEMO 37 3.1 Mơ Hình Thực Nghiệm 37 3.2 Chuẩn Bị 37 3.3 Các bước tiến hành 38 3.3.1 Cấu hình 38 3.3.2 Thực nghiệm công Router 51 3.3 Thu thập, phân tích 53 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 61 TÀI LIỆU THAM KHẢO 62 Danh Mục Hình Ảnh Hình 1: Mơ hình sử dụng Router 19 Hình 2: Router mơ hình OSI 21 Hình 3: Dữ liệu hiển thị bảng định tuyến 23 Hình 4: Thơng tin bảng định tuyến 25 Hình 5: Mơ hình mạng 37 Hình 6: Config IP kali2 38 Hình 7: Config IP Server Log 39 Hình 8: Open Network Connection 39 Hình 9: Config IP Kali 40 Hình 10: Check IP Kali 41 Hình 11: Config interface router 41 Hình 12: Configure password console and enable 42 Hình 13: Configure Password Telnet 42 Hình 14: Begin install Syslog Watcher 42 Hình 15: License Agreement 43 Hình 16: Installation Type 43 Hình 17: Select Installation Folder 44 Hình 18: Windows Firewall Exception 44 Hình 19: Click Next to Start the installation 45 Hình 20: Installing Syslog Watcher 45 Hình 21: Installation Complete 46 Hình 22: Select Manage Local Syslog Server 46 Hình 23: Nhận syslogs qua TCP,UDP 47 Hình 24: Remote Access sử dụng password 47 Hình 25: Nơi lưu trữ thời gian lưu trữ 48 Hình 26: Start Syslog Server 48 Hình 27: Exit 48 Hình 28: Select Connect to Remote Server 49 Hình 29: Connect to Remote Server 49 Hình 30: Cấu hình conect 50 Hình 31: Telnet Router từ Server log 50 Hình 32: Cấu hình thu thập syslog từ Router 51 Hình 33: Tấn cơng Atk6-flood_router26 51 Hình 34: Ping khơng ổn định 52 Hình 35: Destination Host Ureachable 53 Hình 36: Shutdow interface 53 Hình 37: Lệnh Show version 54 Hình 38: Lệnh Show running-config 55 Hình 39: Lệnh Show startup-config 56 Hình 40: Show interface 57 Hình 41: Show ip route 58 Hình 42: show clock 58 Hình 43: Show users 58 Hình 44: Show file systems 59 Hình 45: Show ip arp 59 Hình 46: show logging 59 Hình 47: Một đoạn log router 60 Hình 48: Show sockets 60 Hình 49: Log Syslog Watcher 61 Hình 50: Log interface e0/0 bị down 61 Danh Mục Từ Viết Tắt Danh mục từ viết tắt Từ viết tắt TTHS URL IP ARP ISP IDS RAM ROM NVRAM POST OS TFTP CLI CPU AD OSPF EIGRP IS-IS ARP RIB FIB AIB CEF DOS PMA RTP HAR PA ICMP SLA Tên đầy đủ Tố Tụng Hình Sự Uniform Resource Locator Internet Protocol Address Resolution Protocol Internet Service Provider Intrusion Detection System Random Access Memory Read Only Memory Non-volatile RAM Power On Self Test Operating System Trivial File Transfer Protocol Command Line Interface Central Processing Unit Administrative Distance Open Shortest Path First Enhanced Interior Gateway Routing Protocol Intermediate System to Intermediate System Address Resolution Protocol Routing Information Base Forwarding Information Base Adjacency Information Base Cisco Express Forwarding Denial Of Service Packet Mistreating Attacks Routing Table Poisoning Hit And Run Attacks Persistent Attacks Internet Control Message Protocol Service Level Agreement LỜI CẢM ƠN Để hoàn thành báo cáo trước tiên cố gắng thành viên nhóm sau bảo tận tâm anh chị khóa bạn khóa Chúng em xin chân thành cảm ơn TS Nguyễn Mạnh Thắng giúp đỡ bảo chúng em suốt khoảng thời gian học tập làm tập lớn Tuy cố gắng nỗ lực làm tập lớn đề tài “Thu thập phân tích chứng từ Router” chúng em khơng tránh khỏi thiếu sót Chúng em mong nhận đóng góp ý kiến từ thầy Chúng em chân thành cảm ơn!! NHĨM SINH VIÊN THỰC HIỆN ĐỀ TÀI LỜI NÓI ĐẦU Hiện Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực công nghệ thơng tin, viễn thơng thường khó khăn phức tạp đối tượng khơng sử dụng công nghệ vào việc công, gây án, mà cịn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp liệu, tải liệu, mã hóa liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa liệu, để lưu trữ, giấu liệu Khi nghi ngờ bị điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, liệu có liên quan, chí format thiết bị lưu trữ liệu Router thiết bị thiết yếu hệ thống mạng (Hộ gia đình, Cơng ty…v v) Chức router điều chế giải điều chế tín hiệu, hay nói cách dễ hiểu thiết bị giúp chuyển đổi tín hiệu truyền đường dây điện thoại, cáp quang thành tín hiệu số mà máy tính hiểu ngược lại Vậy nên cánh cổng người dùng internet tiềm ẩn nguy an ninh mà người dùng khơng ngờ đến Với mục đích tìm hiểu router điều tra chứng cứ, nhóm em chọn đề tài “ Thu thập phân tích chứng từ Router “ giúp hiểu router điều tra công router Đề tài nhóm em gồm chương: Chương 1: Tìm hiểu liệu điện tử thu thập, phân tích chứng từ mạng Chương 2: Phương pháp điều tra tội phạm máy tính Chương 3: Demo CHƯƠNG 1: TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG Khái niệm liệu điện tử - Điều 4, Luật Giao dịch điện tử 2005 quy định “dữ liệu điện tử” “thông tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự” - Điểm c, Khoản 1, Điều 87, Bộ luật TTHS 2015 bổ sung “dữ liệu điện tử” vào hệ thống nguồn chứng Đây điểm vô quan trọng Bộ luật Điều 99 Bộ luật quy định chi tiết Dữ liệu điện tử Việc ghi nhận “dữ liệu điện tử” nguồn chứng pháp lý, đáp ứng yêu cầu đặt từ thực tiễn đấu tranh phòng chống TPSDCNC Loại chứng ngày phổ biến, xuất hầu hết loại tội phạm, chí nhiều vụ án thu liệu điện tử làm chứng Nếu loại chứng không bổ sung vào BLTTHS(Bộ luật tố tụng hình sự) hành nhiều vụ án khơng thể điều tra, truy tố xét xử thành công Việc bổ sung “dữ liệu điện tử” nguồn chứng hoàn toàn phù hợp với luật pháp quốc tế luật pháp Việt Nam có khoa học, cơng nghệ Tuy nhiên điều địi hỏi quan tiến hành tố tụng ĐTV(điều tra viên Kiểm sát viên (KSV) Thẩm phán (TP) phải nhận thức đầy đủ liệu chứng điện tử Đồng thời phải xây dựng quy trình thống thu giữ, bảo quản, phục hồi liệu điện tử chuyển hóa thành chứng chứng minh tội phạm 1.2 Đặc điểm liệu điện tử 1.1 Khai thác địa IP, e-mail logs, web server logs, "cookies", "URL", website, thông tin truy cập tài khoản máy tính tự động tạo ra, cách hữu hiệu để chứng minh nguồn gốc truy cập trái phép, địa công, hành vi công mạng… - Hình thành tự động dạng tín hiệu số thời gian tồn có giới hạn, phụ thuộc vào thiết bị phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ bảo quản); - Dễ bị tác động, bị xóa thay đổi trình lưu trữ, truyền tải, chép , tác nhân virus, dung lượng nhớ, lệnh lưu trữ phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải mạng, lưu, cố ý vơ ý sửa đổi, xóa Về giá trị pháp lý liệu điện tử làm chứng cứ: liệu điện tử phục hồi, phân tích, tìm liệu, kể bị xóa, bị ghi đè, dạng ẩn, mã hóa làm cho đọc được, nhìn thấy được, ghi lại, sử dụng làm chứng Những liệu có giá trị chứng minh hành vi phạm tội, sử dụng cơng nghệ thủ tục pháp lý để sử dụng làm chứng Tuy nhiên, liệu điện tử có đặc điểm dễ bị xóa, bị sửa, bị thay đổi mở, kiểm tra, lưu khơng cách, bị nhiễm virus, mã hóa truyền qua mạng, nên Luật Giao dịch điện tử có qui định điều kiện để thông điệp liệu có giá trị pháp lý (Học viên đọc thêm luật Giao dịch điện tử) Các thuộc tính chứng điện tử - Điều 86, Bộ luật TTHS 2015 quy định: “Chứng có thật, thu thập theo trình tự, thủ tục Bộ luật quy định, dùng làm để xác định có hay khơng có hành vi phạm tội, người thực hành vi phạm tội tình tiết khác có ý nghĩa việc giải vụ án” - Điều 99, Bộ luật TTHS 2015 quy định liệu điện tử: ▪ Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử ▪ Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác ▪ Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử; cách thức bảo đảm trì tính tồn vẹn liệu điện tử; cách thức xác định người khởi tạo yếu tố phù hợp khác Như vậy, để “dữ liệu điện tử” trở thành chứng chứng minh thật vụ án TPSDCNC, đòi hỏi liệu phải đảm bảo thuộc tính chứng pháp lý Gồm: (i) tính “khách quan” - (có thật, tồn khách quan); (ii) tính “liên quan” - (có mối quan hệ với vụ án) (iii) tính “hợp pháp” – (được thu thập theo thủ tục, trình tự Bộ luật TTHS quy định) Cụ thể: -Tính khách quan: Dữ liệu có thật, tồn khách quan, có nguồn gốc rõ ràng, khơng bị làm cho sai lệnh, biến dạng, tìm thấy lưu máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang, email, website, điện toán đám mây, account, nickname đối tượng, server nhà cung cấp dịch vụ internet 1.3 10 Hình 25: Nơi lưu trữ thời gian lưu trữ Hình 26: Start Syslog Server Hình 27: Exit 48 - Chạy Syslog Wather UI (User Interface): Hình 28: Select Connect to Remote Server - Chuyển sang tab “Last 5000 syslogs” để xem messages đến Hình 29: Connect to Remote Server 49 Hình 30: Cấu hình conect - Cấu hình thu thập Syslog từ router: + Kết nối tới Router: Hình 31: Telnet Router từ Server log + Cấu hình options logging:Chỉ định địa IP syslog watcher làm đích ghi nhật ký, Modify option: facility, history,… 50 Hình 32: Cấu hình thu thập syslog từ Router - Syslog gửi đến Server log 3.3.2 Thực nghiệm công Router - Tấn cơng atk6-flood_router26 eth0 Hình 33: Tấn cơng Atk6-flood_router26 - Q trình Ping máy Client khơng ổn định: 51 Hình 34: Ping khơng ổn định 52 Hình 35: Destination Host Ureachable - Thực Shutdown interface e0/0 Router: Hình 36: Shutdow interface 3.3 Thu thập, phân tích - Lệnh "show version" cơng cụ mạnh mẽ Nó hiển thị: - Phiên IOS định tuyến 53 - phiên bootstrap ROM - "thời gian hoạt động" (tức định tuyến chạy từ lần bật nguồn cuối cùng) - Tệp hình ảnh hệ thống Flash “unix:/otp/unetlab/addons/iol/bin/Router.bin, khởi động qua flash - Ethernet interfaces - 1024K bytes of NVRAM Hình 37: Lệnh Show version - Show running-config: câu lệnh kiểm tra cấu hình/ xem file chương trình chạy RAM 54 Hình 38: Lệnh Show running-config - Show startup-config: Show cấu hình lưu lại NVRAM 55 Hình 39: Lệnh Show startup-config 56 - Show interface: Có thể kiểm tra trạng thái giao diện thiết bị chuyển mạch Cisco Hình 40: Show interface 57 - Show ip route: Lệnh show ip route hiển thị bảng định tuyến sử dụng định tuyến.Điều giúp xác định xem kẻ cơng có Thơng tin định tuyến tiêm Hình 41: Show ip route - Show clock: Show ngày Hình 42: show clock Hình 43: Show users 58 Hình 44: Show file systems Hình 45: Show ip arp - Show logging: Hình 46: show logging 59 Hình 47: Một đoạn log router Hình 48: Show sockets 60 - Syslogs thu thập tư Server Log: Hình 49: Log Syslog Watcher - Syslog interface e0/0 Router chuyển sang trạng thái down: Hình 50: Log interface e0/0 bị down KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Qua thời gian tìm hiểu triển khai đề tài giúp chúng em hiểu loại công Router, Kiến trúc Router, bước công điều tra Từ ứng dụng vào việc thực demo Đề tài tiền để để phát triển hướng đi, nghiên cứu cách phòng chống bảo vệ tối đa vấn đề nghiêm trọng xảy với Router 61 TÀI LIỆU THAM KHẢO [1] Cisco Router Forensics , https://www.sans.org/blog/cisco-router-forensics/ [2 Router Forensics, Michael Gregg, https://www.sans.org/blog/cisco-routerforensics/ [3] Including network routers in forensic investigation, Brian Cusack, Raymond Lutui, Auckland University of Technology, Auckland, New Zealand, Security Research Institute, Edit Cowan University, Perth Australia https://www.researchgate.net/publication/289697060_Including_network_routers_i n_forensic_investigation [4] Router Forensics.pdf: https://dione.lib.unipi.gr/xmlui/bitstream/handle/unipi/12710/Router%20ForensicsDamiris.pdf?sequence=1&isAllowed=y [5] https://ictsaigon.vn/huong-dan-cai-dat-eve-ng/ [6] https://www.grandmetric.com/knowledge-base/design_and_configure/syslogconfigure-syslog-server-logging-cisco/ BẢNG PHÂN CÔNG CƠNG VIỆC Cơng việc Phân cơng Word Bùi Thị Thúy,Nguyễn Ngọc Tuấn Slide Nguyễn Ngọc Tuấn Tìm Kiếm Tài liệu Nguyễn Ngọc Tuấn,Bùi Thị Thúy,Hoàng Kim Lợi Thực nghiệm (Demo) Lương Văn Công 62 ... khỏi bảng xây dựng sở thông tin chuyển tiếp (FIB) sử dụng mặt phẳng chuyển tiếp -Mặt phẳng chuyển tiếp : Bộ định tuyến chuyển tiếp gói liệu kết nối giao diện đến Nó chuyển tiếp chúng đến loại mạng... thông tin liên quan đến cách định tuyến chuyển tiếp gói định tuyến bảng hiển thị cách sử dụng lệnh show ip route Điều tra viên nên tìm kiếm kênh chuyển đổi chuyển hướng gói cách sử dụng đường dẫn... ghi vào biên bản, niêm phong theo qui định, không bị tác động làm thay đổi liệu kể từ thu giữ hợp pháp can thiệp để thay đổi Chuyên gia phục hồi liệu sử dụng công nghệ phần mềm phục hồi liệu,