PHÁP CHỨNG KỸ THUẬT SỐ Bài 6: Điều tra lưu lượng trên Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Điều tra lưu lượng Mạng • Phân tích thông kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. • Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các quá trình hành động có tương quan với lưu lượng gói tin được ghi lại. • Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong pháp chứng. 2 Tấn công từ chối dịch vụ • Tấn công từ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình. • Tấn công từ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính toán các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại. • Tấn công từ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm soát một cách có tính toán làm cho chúng trở nên vô cùng bận rộn hoặc ngừng làm việc. Tấn công từ chối dịch vụ 4 Ghi nhận tấn công Mạng của NORSE 5 Điều tra lưu lượng mạng • Định danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng. 6 Phân tích lưu lượng Mạng Xác định máy chủ bị tổn thương Xác nhận hoặc bác bỏ dữ liệu nhậy cảm Hồ sơ nghi phạm Phân tích lưu lượng tấn công DDoS 7 Các thông tin lưu lượng pháp chứng • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng. • Bản ghi lưu lượng là một tập hợp thông tin về một dòng lưu lượng. • Hệ thống xử lý bản ghi lưu lượng Hệ thống xử lý bản ghi lưu lượng Cảm biến Thu thập Tổng hợp Phân thích 8 Thống kê bản ghi lưu lượng 9 Cảm biến (sensor) • Ghi bằng thiết bị trên mạng: Một số thiết bị như CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng. • Cài đặt thiết bị độc lập: Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng. • Giao thức trao đổi thông tin lưu lượng: NetFlow, IPFIX, sFlow 10 [...]... hoạt xử lí bản ghi lưu lượng và xuất chúng có thể ảnh hưởng đến hiệu suất của thiết bị mạng, đặc biết là nếu nó được sử dụng quá mức 12 Điều chỉnh môi trường • Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ • Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị mạng, quá trình... collector có thể tạo ra các báo cáo lưu lượng từ cơ sở dữ liệu 21 Ví dụ báo cáo lưu lượng 22 NetFlow trong Cisco IOS • NetFlow là một giao thức nhúng vào trong phần mềm Cisco IOS trên router và switch • Cisco IOS NetFlow cho phép các thiết bị mạng được chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu về lưu lượng giao thông qua chúng • Cisco IOS NetFlow cho phép người quản trị mạng có đầy đủ các công cụ để... sung các phần mềm cảm biến: Bộ cảm biến độc lập (như Argus hoặc Softflowd), điều tra viên có thể lựa chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng 13 Giao thức NetFlow • Là một Giao thức giám sát lượng truy cập của Cisco Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu lượng • Các gói tin “NetFlow Export” có thể được truyền qua UDP, TCP, hoặc thậm... vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng TLS • Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow 11 Các yếu tố cần xem xét khi đặt cảm biến Sự trùng lặp • Làm tăng nguồn cần thiết để phân tích, và gây ra tắc nghẽn mạng trong quá trình tổng hợp Đồng bộ hóa thời gian... trên một cảm biến không chính xác, rất khó để tương quan lưu lượng được xuất bởi thiết bị này với các thiết bị khác Lưu lượng ngoài so với bên trong • Lưu lượng dữ liệu nội bộ có thể giúp xác định các máy trạm bị xâm nhập đang tìm cách lan truyền tới những mục tiêu mới, bao gồm cả bên trong và bên ngoài Tài nguyên Năng lực • Xem lại các biểu đồ mạng một cách cẩn thận và chọn điểm nút thắt mà nó sẽ tối... đơn làm giảm chi phí phần cứng và phần mềm, và tạo điều kiện tổng hợp và phân tích Chiến lược phân tích • Nên có hệ thống phân tích riêng biệt có thể nhận được dữ liệu báo cáo lưu lượng từ nhiều nguồn và tổng hợp nó 31 Kỹ thuật phân tích trong điều tra • Là các kỹ thuật chọn lọc giúp điều tra viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thông tin phải được phân tích • Những kỹ thuật... bản ghi lưu lượng dữ liệu để chọn ra các mục có liên quan • Mô hình phân tích: Địa chỉ IP, Cổng, Giao thức và cờ, Định hướng, Khối lượng dữ liệu được truyền 33 Phần mềm thu thập lưu lượng SiLK SiLK (System for Internet Level Knowledge): • Là phần mềm mã nguồn mở của nhóm Network Situational Awareness (NetSA) tại CERT gồm 2 bộ công cụ: • Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc... 24 Xem thông tin lưu lượng trên Router 25 Mô hình các NetFlow colectors 26 Giao thức IPFIX (IP Flow Information Export) • Là một phát triển từ NetFlow được đưa ra trong RFC 5101 dựa trên NetFlow v9 • Xử lí các báo cáo lưu lượng hai chiều, để giảm sự dư thừa dữ liệu khi báo cáo về dòng dữ liệu với các thuộc tính tương tự, cung cấp khả năng tương tác tốt hơn • Các dữ liệu bản ghi lưu lượng mà IPFIX hỗ... and Utilization System) • Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt từ file Các công cụ người dùng: sử dụng để thu thập, phân phối, xử lí và phân tích dữ liệu Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP • YAF (Yet Another Flowmeter): • Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng dữ liệu theo định dạng... liên tục trong quá trình thu thập thông tin Các kỹ thuật phân tích bản ghi lưu lượng • Lọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâm • Định hướng thống kê (baseline): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline), định hướng máy chủ (Host baselines) • Thông tin đen "dirty values​​" : Hệ thống quét danh . nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP. o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển. 14 Ví. DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng. 6 Phân tích lưu lượng Mạng Xác định máy chủ bị tổn thương Xác nhận hoặc bác bỏ dữ liệu nhậy. PHÁP CHỨNG KỸ THUẬT SỐ Bài 6: Điều tra lưu lượng trên Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Điều tra lưu lượng