PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Pháp chứng Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Pháp chứng Mạng máy tính và pháp chứng kỹ thuật số Pháp chứng Mạng là gì? • Pháp chứng mạng là một nhánh của pháp chứng kỹ thuật số liên quan: • Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây là một cuộc điều tra với thời gian chủ động. • Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay phá hoại thông tin. • Thu thập các bằng chứng trên Mạng như trên các Website, từ các dấu vết xâm nhập của Malware để tìm ra các chứng cứ pháp lý về hoạt động của các đối tượng trên mạng. • Việc thực hiện pháp chứng mạng cũng cần thiết cho cả những người làm quản trị mạng. Nhiệm vụ bảo vệ không gian Mạng Một số khác biệt với Pháp chứng máy tính • Khác biệt với Pháp chứng máy tính truyền thống • Điều tra thông qua một quá trình xây dựng lại một sự kiện mạng • Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ tầng xuống cấp hoặc bị cúp điện. • Cung cấp các mảnh còn thiếu trong phân tích pháp chứng • Dựa trên việc sử dụng các phần mềm chụp lại các tập tin khi có sự cố Mạng • Một cách nhìn mới về phân tích dấu vết tập tin • Tiếp tục cùng phương thức xử lý sự cố truyền thống Các hướng điều tra của Pháp chứng mạng • Hướng điều tra liên quan đến an toàn mạng: khi giám sát một mạng máy tính có lưu lượng truy cập bất thường và xác định sự xâm nhập. • Một kẻ tấn công có thể có thể có khả năng xóa tất cả các tập tin đăng nhập trên một máy chủ bị tấn công, do vậy bằng chứng dựa trên lưu lượng mạng có thể là bằng chứng duy nhất để phân tích pháp chúng. • Hướng điều tra liên quan đến thông tin tội phạm trên mạng: Trong trường hợp phân tích các gói tin thu được có thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao, tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như email hoặc các buổi trò chuyện. Các câu hỏi với Điều tra viên • Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào các biện pháp phòng ngừa an ninh hiện hành? • Những gì thiệt hại đã xảy ra? • Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng đã để lại điều gì trên hệ thống như một tài khoản người dùng mới, một Trojan hoặc Worm hoặc phần mềm Bot? • Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân tích và mô phỏng lại cuộc tấn công và minh xác cho việc sửa chữa? E-Detective Các quá trình ứng phó sự cố mạng • Việc sử dụng thông tin các bản ghi tường lửa, các bản ghi hệ thống, và các bản ghi trên các thiết bị mạng có liên quan đến một thời gian truy cập, địa điểm, và địa chỉ IP cho phép xác định sự kiện liên quan đến an toàn mạng. • Điều tra viên có thể thông qua giám sát lưu lượng mạng để có thể cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính. Điều tra với các kỹ thuật thông thường [...]... và ứng dụng thực hiện và các thành phần mạng liên quan Điều tra với các kỹ thuật phân tích mạng Pháp chứng Mạng và giao thức Mạng • Người điều tra viên khi tiến hành điều tra trên Mạng cần hiểu biết rõ giao thức của Mạng mà mình đang điều tra • Các thông tin cần hiểu biết: • Cấu trúc các gói tin của các tầng giao thức • Các giao thức của bộ giao thức trong mạng • Các quy trình hoạt động • Người điều... Internet • Số lượng tội phạm Công nghệ cao dùng máy tính với giao thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để truy cập vào Internet Mạng với giao thức TCP/IP Địa chỉ IP • Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP • Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên Mạng TCP/IP mà điều tra viên cần quan tâm •... công cộng, hay công ty có nhiều máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh khi kết nối với mạng Internet • Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính dùng chung địa chỉ IP tĩnh và động Cấu trúc gói IP DHCP Server Cấu trúc gói Ethernet Các công cụ dùng điều tra với các gói tin trong mạng TCP/IP • Người điều tra... chứng số liên quan đến yêu cầu của mình Giao thức TCP/IP • TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải (Transmission Control Protocol - TCP) và Giao thức Internet (Internet Protocol - IP) • Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối với Internet như thế nào và dữ liệu được truyền tải ra sao giữa chúng • Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN, mạng WAN và mạng. .. viên cần hiểu yêu cầu mình muốn, các thông số nào mình cần biết • Xác định mục đích khi thu thập thông tin làm gì như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm nhập • Xác định yêu cầu phân tích dữ liệu dựa trên các gói tin TCP/IP thu thập được • Các công cụ pháp chứng mạng như: Tcpdump/windump, Wireshark TCP/IP Packet sniffer SPAN port • Switched Port Analyzer port • Cho phép cấu hình để Switch...Điều tra với phần mềm giám sát lưu lượng mạng • Phần mềm giám sát lưu lượng và phân tích mạng cho phép kiểm tra và đánh giá thực tế chuyển động các gói tin để hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại một phiên làm việc • Phân tích pháp chứng các gói tin với các chức năng của nó nhằm phân tích được lịch sử thời gian để giải quyết... tích giao thức, mô tả quá trình bắt và khôi phục định dạng thông tin nhằm hiểu rõ hơn điều gì đang diễn ra trên mạng • Phân tích gói tin có thể giúp Điều tra viên hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, • Phân tích gói tin có thể giúp Điều tra viên chỉ ra các khả năng tấn công và các hành vi phá... các giao thức trong các lĩnh vực • Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của các thành phần trong siêu dữ liệu Pattern Matching - theo mô hình • Giống như trong pháp chứng máy tính, các thông tin tìm kiếm nhậy cảm "dirty word search" được dùng để tìm kiếm các dữ liệu quan tâm • Thiết lập một danh sách các chuỗi nhậy cảm (“dirty word list") như tên, mô hình, vv, có thể... lượng mạng bắt được Ví dụ phân tích mã độc Phân tích các thành phần giao thức • Phân tích các thành phần giao thức là tìm ra các nội dung công việc trong các gói tin liên quan • Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp từ gói bắt được Dùng Sniffer phát hiện việc download qua mạng MSBlaster Worm Dựa trên các gói tin ghi nhận, khôi phục định dạng MSBlaster Worm Phát hiện việc máy tính. .. port Bắt gói tin bằng Sniffer • Sniffer là một chương trình cho phép nghe các lưu lượng thông tin trên một hệ thống mạng • Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại • Việc bắt gói tin bằng Sniffer là thụ động và thường sẽ không tạo ra bất kỳ lưu lượng mạng nào Mạng cho phép Sniffer thu thập thông tin Các phương thức sử dụng Sniffer • Các phương thức "Catch-it-as-you-can": . PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Pháp chứng Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Pháp chứng Mạng máy tính và pháp