PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG
3.1.2. Điều tra lưu lượng mạng
Lưu lượng mạng cho ta thấy tốc độ, dịch vụ của một nhà cung cấp mạng đối với hệ thống của mình. Có rất nhiều vấn đề được nói tới ở đây, nhưng với phạm vi
mơn học phịng chống và điều tra tội phạm mạng máy tính nhóm chỉ xin phép được đề cập tới việc phân tích pháp chứng.
Một mạng máy tính doanh nghiệp ngày nay ln góp mặt khơng chỉ LAN và cả WAN và Internet. Ln có những mối đe dọa rình rập khơng chỉ trong mà cịn ở ngồi mơi trường internet. Khi ra ngoài internet đây là một trong những vấn đề mà nhiều doanh nghiệp luôn quan tâm. Một hệ thống máy chủ web khơng có kế hoạch phịng chống ln có thể bị tấn cơng bất cứ lúc nào.
Phân tích thống kê lưu lượng mạng ngày càng trở nên quan trọng trong phân tích pháp chứng. Người ta dùng kĩ thuật pháp chứng dựa trên máy ảo mẫu để điều tra lưu lượng gói tin được ghi lại. Điều này đặt biệt quan trọng đối với các bên cung cấp mạng nếu mong muốn phát triển các dịch vụ của mình tới khách hàng. Nó được lưu lại để các nhà quản trị cải thiện hiệu suất mạng. Mang tới một trải nghiệm tốt cho người dùng.
Thông tin lưu lượng là chứng cứ số trong pháp chứng. Chương 1 chúng ta đã đi tìm hiểu thế nào là chứng cứ số, pháp chứng và mức quan trọng của chúng trong điều tra tội phạm mạng. Trong thực tiễn mỗi vụ điều tra mạng tới truy tố hay xét xử việc xác định tính đúng đắn của chứng cứ vô cùng quan trọng trong chứng minh tội phạm. Từ đó có thể đưa ra kết luận cho mỗi vụ án. Mặt khác, pháp chứng là nguồn gốc để từ đó tìm ra những ngun nhân với một hệ thống. Hệ thống bị tấn cơng lần 1 sẽ có những cuộc tấn công lần 2. Vậy nên việc khắc phục điểm yếu của hệ thống là vô cùng quan trọng để đảm bảo an tồn cho doanh nghiệp. Những chứng cứ cịn xác định hành vi của những hacker là vơ tình hay cố ý để xác định hành vi phạm tội. Ví dụ, hiện nay có rất nhiều bạn trẻ thiếu ý thức về an tồn thơng tin và an ninh mạng. Lên mạng dùng những cơng cụ, chương trình độc hại thử làm với một hệ thống nào đó. Vì sự vơ tình của bạn có thể làm hỏng một doanh nghiệp. Trong thời điểm hiện tại tất cả hoạt động từ giáo dục tới chính trị đều diễn ra trên internet, an tồn thơng tin là vơ cùng cần thiết. Để tránh và phòng chống được các tấn cơng chúng ta phải đi tìm nội dung của các cuộc tấn cơng có thể phát hiện bằng mạng lưu lượng mạng?
3.1.2.1 Tấn công từ chối dịch vụ
Đây là một cuộc tấn công phổ biến mà hầu hết các sinh viên học an tồn đều phải biết, vì tính đơn giản và tần số xuất hiện của nó. Những cuộc tấn cơng có thể thực hiện tại lớp mạng bằng cách gửi một cách có tính tốn các gói tin hay chương trình độc hại để kết nối mạng tạm thời thất bại. Tại lớp mạng, cụ thể là các router, switch hay firewall đã có hỗ trợ hiển thị và tạo ra những bản ghi lưu lượng từ đó có thể phát hiện những cuộc tấn cơng này. Chúng ta có thể kể tới các giao thức nổi bật như NetFlow. Nó nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ
chối dịch vụ và việc phát tán virus, phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng cũng như việc bất thường trong đường truyền. Mọi sự tắc nghẽn hay quá tải tai lưu lượng WAN mà nó quản lý sẽ được giảm tải băng thơng cho từng loại dịch vụ khác nhau. Ngồi ra chúng ta cịn có các giao thức như IPFIX hay sFlow.
Một tấn công từ chối dịch vụ nữa thực hiện tại tầng ứng dụng. Các lệnh ứng dụng được trao đổi một cách có tính tốn để máy chủ bận rộn hoặc ngừng làm việc. Điều này hay xảy ra với các hệ thống mỏng, đơn cử là website cơ bản có độ đáp ứng thấp thì sẽ chịu ảnh hưởng từ những cuộc tấn cơng này. Chỉ với một máy attacker chúng có thể điều khiển các zombies tấn cơng tới khi khơng cịn đủ điều kiện trả lời lại phản hồi từ các victim nữa. Hình ảnh dưới đây là một ví dụ về cuộc tấn cơng này. Một trang web đơn giản được cài đặt trên máy chủ Centos vẫn truy cập bình thường.
Hình 3.1.2.1.1 Một website đang hoạt động rất bình thường
Chúng ta sử dụng slowloris là một đoạn mã (việc này chỉ được sử dụng thử nghiệm trên máy ảo) gửi hàng loạt gói tin u cầu tới máy chủ.
Hình 3.1.2.1.3 Website sau khi bị tấn cơng
Việc đáp ứng trả lời yêu cầu của trình duyệt tới máy chủ đã khơng cịn truy cập được nữa do máy chủ đã bị tấn công Ddos.
3.1.2.2 Cuộc tấn công của Norse
Đây được xem là vụ tấn công vào lưu lượng mạng lớn nhất lịch sử với hàng ngàn USD. Theo đó, chúng tấn cơng vào các cổng 445(M-DS), 53(DNS), 22(SSH) và 80(HTTP) dưới đây là hình ảnh lưu lượng tấn cơng, chúng ta có thể thấy mức độ của các cuộc tấn cơng này.
Hình 3.1.2.2.1 Bản đồ tấn công từ chối dịch vụ NORSE