PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG
3.1.3. Lưu lượng pháp chứng
Lưu lượng pháp chứng cũng như các pháp chứng khác đều là chứng cứ điện tử để phục vụ cho điều tra, phân tích hành vi phạm tội của các hacker. Các bản ghi ở đây có sự khác biệt là trích xuất từ các thiết bị, tường lửa, router bằng phần mềm đo lưu lượng của một vụ tấn cơng nào đó. Mỗi luồng dữ liệu sẽ có các thơng tin:
- Dịch vụ sử dụng (ToS)
- Dấu thời gian bắt đầu và kết thúc quá trình yêu cầu gửi nhận phản hồi dữ liệu
- Các thơng tin định tuyến
Nếu luồng bình thường ln có mặt của phiên kết thúc TCP, mỗi lưu lượng truy cập mới sẽ đặt lại bộ đếm thời gian, luồng khơng vượt q thời gian chờ hoạt động của luồng đó…Thời gian chờ của một luồng hoạt động là khoảng thời gian mà một kết nối đang hoạt động chờ tới khi nó kết thúc. Đây là nội dung mà được các nhà quản trị quan tâm để tránh quá trình vào ồ ạt của các yêu cầu tới máy chủ. Hình dưới là sự theo dõi của một luồng dữ liệu khi giám sát cổng ethernet 1 của một hệ thống.
Hình 3.1.3.1 Bản ghi ví dụ theo dõi lưu lượng mạng
Các cơng cụ theo dõi, giám sát lưu lượng tạo ra các cache để chứa các luồng đang hoạt động của hệ thống. Cache được xây dựng bằng xử lý một packet qua đường mạch chuẩn, sau đó sử dụng lại các records này cho các packet khác trong nguồn. Pháp chứng này giúp điều tra lưu lượng mạng để tìm ra định danh và phân loại những tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những hành vi thay đổi bất thường của lưu lượng chạy qua nút mạng hay thiết bị đo lưu lượng.