Pháp chứng Mạng máy tính

Pháp chứng Mạng là gì?• Pháp chứng mạng là một nhánh của pháp chứng kỹ thuật số liên quan: • Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu lượng trên đường truyền mạng sẽ

PHÁP CHỨNG KỸ THUẬT SỐ

Bài 5: Pháp chứng Mạng máy tính

Giảng viên: TS Đàm Quang Hồng Hải

Pháp chứng Mạng máy tính và pháp chứng

kỹ thuật số

Pháp chứng Mạng là gì?

• Pháp chứng mạng là một nhánh của pháp chứng kỹ

thuật số liên quan:

• Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây

là một cuộc điều tra với thời gian chủ động.

• Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay phá hoại thông tin.

• Thu thập các bằng chứng trên Mạng như trên các Website, từ các dấu vết xâm nhập của Malware để tìm ra các chứng cứ pháp lý về hoạt động của các đối tượng trên mạng.

• Việc thực hiện pháp chứng mạng cũng cần thiết cho cả những người làm quản trị mạng.

Nhiệm vụ bảo vệ không gian Mạng

Một số khác biệt với Pháp chứng máy tính

• Khác biệt với Pháp chứng máy tính truyền thống

• Điều tra thông qua một quá trình xây dựng lại một

sự kiện mạng

• Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ tầng xuống cấp hoặc bị cúp điện.

• Cung cấp các mảnh còn thiếu trong phân tích pháp chứng

• Dựa trên việc sử dụng các phần mềm chụp lại các

tập tin khi có sự cố Mạng

• Một cách nhìn mới về phân tích dấu vết tập tin

• Tiếp tục cùng phương thức xử lý sự cố

truyền thống

Các hướng điều tra của Pháp chứng mạng

• Hướng điều tra liên quan đến an toàn mạng: khi giám sát

một mạng máy tính có lưu lượng truy cập bất thường và xác định sự xâm nhập

• Một kẻ tấn công có thể có thể có khả năng xóa tất cả các tập tin đăng nhập trên một máy chủ bị tấn công, do vậy bằng chứng dựa trên lưu lượng mạng có thể là bằng

chứng duy nhất để phân tích pháp chúng.

• Hướng điều tra liên quan đến thông tin tội phạm trên

mạng: Trong trường hợp phân tích các gói tin thu được có

thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao, tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như email hoặc các buổi trò chuyện.

Các câu hỏi với Điều tra viên

• Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào các biện pháp phòng ngừa an ninh hiện hành?

• Những gì thiệt hại đã xảy ra?

• Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng

đã để lại điều gì trên hệ thống như một tài khoản

người dùng mới, một Trojan hoặc Worm hoặc phần mềm Bot?

• Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân tích và mô phỏng lại cuộc tấn công và minh xác cho việc sửa chữa?

E-Detective

• Điều tra viên có thể thông qua giám sát lưu lượng mạng để có thể cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính.

Điều tra với các kỹ thuật thông thường

Điều tra với phần mềm giám sát lưu lượng mạng

• Phần mềm giám sát lưu lượng và phân tích mạng cho phép kiểm tra và đánh giá thực tế chuyển động các gói tin để

hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại một phiên làm việc.

• Phân tích pháp chứng các gói tin với các chức năng của nó nhằm phân tích được lịch sử thời gian để giải quyết các vấn

đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ.

• Phòng chống sự cố trong không gian số cho phép một sự hiểu biết về bối cảnh của một phiên làm việc để xác định điểm vào, đường dẫn và ứng dụng thực hiện và các thành phần mạng liên quan.

Điều tra với các kỹ thuật phân tích mạng

Pháp chứng Mạng và giao thức Mạng

• Người điều tra viên khi tiến hành điều tra trên Mạng cần hiểu biết rõ giao thức của Mạng mà mình đang điều tra

• Các thông tin cần hiểu biết:

• Cấu trúc các gói tin của các tầng giao thức

• Các giao thức của bộ giao thức trong mạng

• Các quy trình hoạt động

• Người điều tra viên cần sử dụng thành thạo các

công cụ nhằm tìm được các bằng chứng số liên quan đến yêu cầu của mình

Giao thức TCP/IP

• TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải (Transmission Control Protocol - TCP) và Giao thức

Internet (Internet Protocol - IP)

• Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối với Internet như thế nào và dữ liệu được truyền tải ra sao giữa chúng.

• Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN, mạng WAN và mạng Internet.

• Số lượng tội phạm Công nghệ cao dùng máy tính với giao thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để truy cập vào Internet

Mạng với giao thức TCP/IP

Địa chỉ IP

• Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử

dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP.

• Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên Mạng TCP/IP mà điều tra viên cần quan tâm.

• Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động

• Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua Access Point: Tại các nơi công cộng, hay công ty có nhiều máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh khi kết nối với mạng Internet.

• Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính dùng chung địa chỉ IP tĩnh và động.

Cấu trúc gói IP

DHCP Server

Cấu trúc gói Ethernet

Các công cụ dùng điều tra với các gói tin

trong mạng TCP/IP

• Người điều tra viên cần hiểu yêu cầu mình muốn, các thông số nào mình cần biết

• Xác định mục đích khi thu thập thông tin làm gì

như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm nhập

• Xác định yêu cầu phân tích dữ liệu dựa trên các gói tin TCP/IP thu thập được

• Các công cụ pháp chứng mạng như:

Tcpdump/windump, Wireshark

TCP/IP Packet sniffer

SPAN port

• Switched Port Analyzer port

• Cho phép cấu hình để Switch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng được gọi là cổng giám sát (SPAN port ).

• Các phần mềm sniffer hay các hệ thống phân tích sẽ cần phải được kết nối với một SPAN port để có thể xem xét đưọc lưu lượng qua Switch

Switch với SPAN port

Bắt gói tin bằng Sniffer

• Sniffer là một chương trình cho phép nghe các lưu lượng thông tin trên một hệ thống mạng

• Tương tự như là thiết bị cho phép nghe lén trên

đường dây điện thoại

• Việc bắt gói tin bằng Sniffer là thụ động và thường

sẽ không tạo ra bất kỳ lưu lượng mạng nào

Mạng cho phép Sniffer thu thập thông tin

Các phương thức sử dụng Sniffer

• Các phương thức "Catch-it-as-you-can": Tất cả các gói

chuyển qua một điểm traffic nào đó đều được bắt lại và rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích

• Cách tiếp cận này yêu cầu một lượng lớn thiết bị lưu trữ, thường sử dụng các hệ thống RAID.

• Các phương thức "Stop, look and listen": Mỗi gói tin

được phân tích sơ bộ ngay trong bộ nhớ, chỉ một vài

thông tin nào đó là được lưu trữ cho quá trình phân tích sau này

• Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại cần các processor có tốc độ nhanh hơn để có thể xử lý hết các traffics đi vào.

Phân tích gói tin trong điều tra

• Phân tích gói tinlà việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và khôi phục định

dạng thông tin nhằm hiểu rõ hơn điều gì đang diễn

ra trên mạng

• Phân tích gói tin có thể giúp Điều tra viên hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái

gì đang sử dụng băng thông, chỉ ra những thời điểm

mà việc sử dụng mạng đạt cao điểm,

• Phân tích gói tin có thể giúp Điều tra viên chỉ ra

các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật

Điều tra viên phân tích gói tin

• Điều tra viên tiến hành phân tích gói tin để xác định các gói tin liên quan và hiểu được cấu trúc và mối

quan hệ của chúng để thu thập chứng cứ và tạo điều kiện phân tích sâu hơn

• Kiểm tra nội dung siêu dữ liệu (thông tin mô tả nội dung của cơ sở dữ liệu) của một hoặc nhiều gói tin

• Tiến hành xác định các gói tin liên quan và phát

triển một chiến lược để phân tích lưu lượng và xây dựng lại nội dung của gói tin

Các kỹ thuật phân tích gói tin

• Có ba kỹ thuật cơ bản khi tiến hành phân tích gói tin:

• Pattern Matching (theo mô hình): xác định các gói tin liên quan bằng cách kết hợp các giá trị cụ thể trong các gói tin bắt được

• Parsing Protocol Fields (phân tích các thành

phần giao thức): rút trích ra nội dung của các

giao thức trong các lĩnh vực

• Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của các thành phần trong

siêu dữ liệu

Pattern Matching - theo mô hình

• Giống như trong pháp chứng máy tính, các thông tin tìm kiếm nhậy cảm "dirty word search" được dùng

để tìm kiếm các dữ liệu quan tâm

• Thiết lập một danh sách các chuỗi nhậy cảm (“dirty word list") như tên, mô hình, vv, có thể liên quan

đến các hoạt động đáng ngờ đang được điều tra

• Các nhà điều tra có thể tận dụng các thông tin chung

về một "dirty word list" để xác định các gói dữ liệu hoặc dữ liệu cần quan tâm trong một lưu lượng

mạng bắt được

Ví dụ phân tích mã độc

Phân tích các thành phần giao thức

• Phân tích các thành phần giao thức là tìm ra các nội

dung công việc trong các gói tin liên quan

• Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp

từ gói bắt được

Dùng Sniffer phát hiện việc download qua mạng MSBlaster Worm

Dựa trên các gói tin ghi nhận, khôi phục định dạng MSBlaster Worm

Phát hiện việc máy tính bị nhiễm worm tấn công các máy khác trong mạng

Lọc gói tin

• Lọc gói là phương pháp tách gói dựa trên các giá trị của các trường trong giao thức siêu dữ liệu hoặc tải trọng

• Thông thường, các điều tra viên lọc các gói tin bằng cách sử dụng bộ lọc BPF hoặc bộ lọc hiển thị Wireshark

Ví dụ: điều tra tấn công mật khẩu

• Tấn công mật khẩu là một kỹ thuật phá mã hoặc

vượt qua một cơ chế xác thực bằng cách thử các

khóa mã hay mật khẩu trong một từ điển rộng lớn

• Kỹ thuật tấn công mật khẩu tấn công bằng cách thử tất cả các từ trong một danh sách dài gọi là từ điển (được chuẩn bị trước)

• Tấn công mật khẩu thử trong vùng có nhiều khả

năng thành công nhất, thường xuất phát từ một danh sách các từ ví dụ như một từ điển

• Có thể dùng Sniffer để phân tích các gói tin

và lưu lượng khi điều tra

Các giao thức dễ bị tấn công mật khẩu

• Hiện có những giao thức dễ bị tấn công do gửi mật khẩu không mã hóa qua mạng

• Internet - HTTP / NNTP

• File transfer - FTP / TFTP

• Email - POP3 / IMAP / SMTP

• Network Monitoring - SNMP / RMON

• Telnet

• VoIP – Signaling Set-up (SIP, Megaco, SCCP, H.323, and Others?

Những mật khẩu thường dùng dễ bị đoán

Gói tin có thông tin không mã hóa

Một bộ lọc đơn giản cho các từ USER hoặc PASS vào đầu gói tin (byte 54 -59) tìm thấy các giao thức

sử dụng mật khẩu dạng rõ ràng

Phát hiện tấn công mật khẩu với FTP

có thể triển khai việc thu thập chứng cứ số

• Sniffer có thể ghi lại thông tin về các gói dữ liệu, các phiên truyền Tương tự như hộp đen của máy bay, giúp các Điều tra viên có thể xem lại thông tin về các gói dữ liệu, các

phiên truyền sau sự cố…

Điều tra viên sử dụng công cụ Sniffer

• Điều tra viên cần các thông tin thống kế liên quan

đến lưu lượng mạng và Sniffer là một trong những công cụ cần thiết

• Điều tra viên có thể sử dụng Sniffer còn phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ

thống mạng

• Có thể sử dụng các tính năng Sniffer khi điều tra

nhiều dạng sự cố mạng như phát hiện các gói tin

chứa thông tin nguy hiểm

Dùng Sniffer phát hiện các gói tin chứa thông tin nguy hiểm về Malware , qua đó phát hiện nguồn gốc tấn

công

Điều tra tấn công bằng botnet

• Botnet là từ chỉ một tập hợp các robot phần mềm

hoặc các bot hoạt động một cách tự chủ

• Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC,

và thường là nhằm các mục đích bất chính

• Mỗi bot thường chạy ẩn và tuân theo chuẩn RFC

1459 (IRC)

Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa

Dùng Sniffer phát hiện các gói tin chứa thông tin liên quan đến Botnet

Dựa trên các gói tin ghi nhận, khôi phục định dạng thông tin để phát hiện bot

Các công cụ Sniffer

• Sniffer đầu tiên là sản phẩm của Network Associates với tên là Sniffer Network Analyzer

• Có rất nhiều công cụ Sniffer được phát triển như:

• tcpdump/windump: công cụ cụ viết trên linux/windows

• Wireshark (Ethereal): công cụ thông dụng và nhiều tính năng mạnh hỗ trợ việc phân tích.

• Kismet: hiệu quả để Sniffer gói tin trên mạng Wireless.

• Ettercap: hoạt động hiệu quả và bảo mật

• NetStumbler: thực hiện Sniffer trên chuẩn 802.11

• Ngrep: tính năng lọc tốt và thường dùng với tcpdump

• KisMAC: thực hiện Sniffer trên hệ điều hành Mac OS X.

• tcpdump (www.tcpdump.org) là một trong các phần mềm

mã nguồn mở sniffer đầu tiên Nó được viết vào năm 1987 bởi Van Jacobson, Craig Leres, và Steven McCanne tại

Phòng thí nghiệm Lawrence Berkeley.

• tcpdump đã từng là công cụ được các chuyên gia trên khắp thế giới tín nhiệm về sự hữu dụng trong việc gỡ rối và kiểm tra vấn đề kết nối mạng và bảo mật

• tcpdump là phần mềm trên các hệ thống có họ Unix bao

gồm Linux, Solaris, AIX, Mac OS X, BSD, and HP UX, dùng để theo dõi các gói dữ liệu lưu thông qua Card mạng.

• Windump là phiên bản chạy trên Windows của tcpdump

Cú pháp của tcpdump

Sử dụng tcpdump/windump

• tcpdump là phần mềm chạy bằng dòng lệnh, dùng để theo dõi băng thông mạng thông qua việc lưu trữ các gói tin

(packet) truyền tải mà máy có thể bắt được và ghi vào file

để phục vụ công việc phân tích và điều tra.

• Tcpdump mặc định để nắm bắt được 68 bytes đầu tiên của tất cả lưu lượng truy cập cho một giao diện mạng Điều này rất hữu ích để nắm bắt các ID người dùng và mật khẩu

không được mã hóa hoặc ghi lại tất cả các kết nối, nhưng không hữu ích nếu ta đang quan tâm đến nội dung các gói tin trên mạng.

Một số hạn chế của tcpdump/windump

• tcpdump/windump là phần mềm chạy bằng dòng lệnh

Người sử dụng cần phải biết tất cả các tùy chọn để sàng lọc các gói dữ liệu cụ thể, vì vậy không có giao diện thuận tiện cho người dùng.

• tcpdump/windump có thể không nhìn thấy được những gói tin bị chặn bởi tường lửa gateway, router, hoặc Switch

• Các Switch hiện đại có thể ngăn chặn các máy tính nhìn

thấy tất cả lưu lượng không được dành cho nó ngay cả khi mạng ở chế độ hỗn tạp

(promiscuous mode).

Công cụ Wireshark

• Wireshark hiện là một trong những phần mềm phân tích giao thức mạng phổ biến nhất trên thế giới

• Wireshark có một bộ tính năng phong phú và mạnh

mẽ và chạy trên hầu hết các nền tảng máy tính bao gồm cả Windows, OS X, Linux, và UNIX

• Wireshark là một bộ phân tích gói dữ liệu mạng có thể được sử dụng để bắt các gói tin mạng và hiển thị các thông số và dữ liệu của gói tin

Các giao thực được hỗ trợ bởi WireShark

• WireShark có ưu thế vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là

AppleTalk và Bit Torrent

• Wireshark được phát triển trên mô hình mã nguồn

mở, những giao thức mới sẽ được cộng đồng của Wireshark thêm vào

• Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở

Lựa chọn phần cứng để thu thập thông tin

Các gói tin được thu thập

Mầu sắc các gói tin

• Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da trời và đen , để giúp người dùng phân biệt được các loại traffic khác nhau

• Màu xanh lá cây là traffic TCP,

• Mầu xanh da trời đậm là traffic DNS,

• Mầu xanh da trời nhạt là traffic UDP

• Màu đen là gói TCP có vấn đề.