Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:47

Thêm vào BST

Báo xấu

45
lượt xem 6
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính" bao gồm các nội dung: Điều tra lưu lượng Mạng, hoạt động của mạng Internet, tấn công từ chối dịch vụ, tấn công từ chối dịch vụ, điều tra lưu lượng mạng,... Mời các bạn cùng tham khảo.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

PHÁP CHỨNG KỸ THUẬT SỐ Bài 7: Điều tra lưu lượng trên Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải
Điều tra lưu lượng Mạng • Phân tích thông kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. • Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các quá trình hành động có tương quan với lưu lượng gói tin được ghi lại. • Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong pháp chứng.
Hoạt động của mạng Internet
Ví dụ một mạng máy tính doanh nghiệp
Tấn công từ chối dịch vụ • Tấn công từ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình. • Tấn công từ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính toán các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại. • Tấn công từ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm soát một cách có tính toán làm cho chúng trở nên vô cùng bận rộn hoặc ngừng làm việc.
Tấn công từ chối dịch vụ
Ghi nhận tấn công Mạng của NORSE
Điều tra lưu lượng mạng • Định danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng.
Phân tích lưu lượng tấn công DDoS
Các thông tin lưu lượng pháp chứng • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng. • Bản ghi lưu lượng là một tập hợp thông tin về một dòng lưu lượng. • Hệ thống xử lý bản ghi lưu lượng
Ví dụ báo cáo lưu lượng
Thống kê bản ghi lưu lượng
Cảm biến (sensor) • Ghi bằng thiết bị trên mạng: Một số thiết bị như CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng. • Cài đặt thiết bị độc lập: Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng. • Giao thức trao đổi thông tin lưu lượng: NetFlow, IPFIX, sFlow
Phần mềm cảm biến • ARGUS (Audit Record Generation and Utilization System) • Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt từ file. Các công cụ người dùng: sử dụng để thu thập, phân phối, xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP. • YAF (Yet Another Flowmeter): • Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng TLS. • Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow.
Các yếu tố cần xem xét khi đặt cảm biến
Điều chỉnh môi trường • Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ. • Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị mạng, quá trình chuyển đổi này có thể đơn giản hoặc có thể yêu cầu cấu hình lại nhiều hơn. • Bổ sung các phần mềm cảm biến: Bộ cảm biến độc lập (như Argus hoặc Softflowd), Pháp chứng viên có thể lựa chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng.
Giao thức NetFlow • Là một Giao thức giám sát lượng truy cập của Cisco. Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu lượng. • Các gói tin “NetFlow Export” có thể được truyền qua UDP, TCP, hoặc thậm chí SCTP. o NetFlow V.5: đơn giản và được sử dụng rộng rãi trên nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP. o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển.
Ví dụ NetFlow
Sử dụng giao thức NetFlow • Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus • Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như Voice, Video … • Phát hiện được các sự cố bất thường liên quan đến đường truyền • Giảm sự quá tải của lưu lượng WAN, Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
Hoạt động của Netflow • NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động. • NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. • Trong 1 luồng, NetFlow ghi lại các packet đầu tiên và nó sử dụng lại records này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. • Các records sẽ được lưu trong Netflow Cache.