Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính bao gồm các nội dung: Điều tra lưu lượng Mạng, hoạt động của mạng Internet, tấn công từ chối dịch vụ, tấn công từ chối dịch vụ, điều tra lưu lượng mạng,... Mời các bạn cùng tham khảo.

Bài 7: Đi u tra l u l ề ư ượ ng trên M ng  ạ máy tính

Gi ng viên: TS. Đàm Quang H ng H i ả ồ ả

PHÁP CH NG K  THU T S Ứ Ỹ Ậ Ố

Đi u tra l u l ề ư ượ ng M ng  ạ

• Phân tích thông kê l u lư ượng ngày càng tr  nên ởquan tr ng trong phân tích pháp ch ng. ọ ứ

• S  d ng k  thu t pháp ch ng d a trên máy  o ử ụ ỹ ậ ứ ự ả

m u, s  cho phép đi u tra d a trên  các quá trình ẫ ẽ ề ựhành đ ng có tộ ương quan v i l u lớ ư ượng gói tin 

được ghi l i.ạ

• Ngoài vi c dùng đ  giám sát và c i thi n hi u ệ ể ả ệ ệ

su t, thông tin l u lấ ư ượng còn là các ch ng c  s  ứ ớ ốtrong pháp ch ng.ứ

Ho t đ ng c a m ng Internet ạ ộ ủ ạ

3

Ví d  m t m ng máy tính doanh nghi p ụ ộ ạ ệ

T n công t  ch i d ch v   ấ ừ ố ị ụ

• T n công t  ch i d ch v  gây ra vi c ng ng ho t  ấ ừ ố ị ụ ệ ừ ạ

đ ng các d ch v  , ch ộ ị ụ ươ ng trình ho c ngăn ch n  ặ ặ

ng ườ i khác s  d ng d ch v  ho c ch ử ụ ị ụ ặ ươ ng trình.

• T n công t  ch i d ch v  có th  đ ấ ừ ố ị ụ ể ượ c th c hi n t i  ự ệ ạ

l p m ng b ng cách g i m t cách có tính toán các gói  ớ ạ ằ ử ộ tin và ph n m m đ c h i làm cho các k t n i m ng  ầ ề ộ ạ ế ố ạ

T n công t  ch i d ch v ấ ừ ố ị ụ

Ghi nh n t n công M ng c a NORSE ậ ấ ạ ủ

7

Đi u tra l u l ề ư ượ ng m ng ạ

• Đ nh danh và phân lo i nh ng lo i t n công nh  ị ạ ữ ạ ấ ưDos, DDos, virus, worm theo th i gian th c d a ờ ự ựvào nh ng s  hành vi thay đ i b t thữ ự ổ ấ ường trong 

m ng.ạ

Phân tích l u l ư ượ ng t n công DDoS ấ

9

Các thông tin l u l ư ượ ng pháp ch ng  ứ

• M t b n ghi l u lộ ả ư ượng bao g m đ a ch  IP ngu n ồ ị ỉ ồ

và  đích,  c ng  ngu n  và  đích  (n u  có),  giao  th c, ổ ồ ế ứngày, gi  và s  lờ ố ượng d  li u truy n đi trong m i ữ ệ ề ỗdòng

• B n  ghi  l u  lả ư ượng  là  m t  t p  h p  thông  tin  v  ộ ậ ợ ề

m t dòng l u lộ ư ượng. 

• H  th ng x  lý ệ ố ử

b n ghi l u lả ư ượng

Ví d  báo cáo l u l ụ ư ượ ng 

11

Th ng kê b n ghi l u l ố ả ư ượ ng

C m bi n (sensor) ả ế

• Ghi b ng thi t b  trên m ng: ằ ế ị ạ M t s  thi t b  nh  ộ ố ế ị ưCISCO Router, Switch, Firewall đã có h  tr  vi c ỗ ợ ệ

t o ra và ghi d  li u m ng.ạ ữ ệ ạ

• Cài đ t thi t b  đ c l p: ặ ế ị ộ ậ Tri n khai server ghi b ng ể ằ

ph n m m x  lý   b t c  n i nào trên m ng mà ầ ề ử ở ấ ứ ơ ạ

có th  b t thông tin l u lể ắ ư ượng

• Giao th c trao đ i thông tin l u lứ ổ ư ượng: NetFlow, 

IPFIX, sFlow

13

Ph n m m c m bi n ầ ề ả ế

• Máy ch : dùng đ  đ c các gói tin t  giao di n m ng ho c gói  ủ ể ọ ừ ệ ạ ặ

b t t  file. Các công c  ng ắ ừ ụ ườ i dùng: s  d ng đ  thu th p, phân  ử ụ ể ậ

ph i, x  lí và phân tích d  li u. Có th  xu t l u l ố ử ữ ệ ể ấ ư ượ ng d  li u  ữ ệ

đ u ra   đ nh d ng nén Argus, các t p tin đi qua m ng thông qua  ầ ở ị ạ ậ ạ UDP.

Các y u t  c n xem xét khi đ t c m bi n ế ố ầ ặ ả ế

15

Đi u ch nh môi tr ề ỉ ườ ng

• T n d ng trang thi t b  hi n có:  ậ ụ ế ị ệ Thay đ i c u hình  ổ ấ

các thi t b , đ m b o r ng các ch c năng m ng không  ế ị ả ả ằ ứ ạ

b   nh h ị ả ưở ng x u và cũng nh  b  thu th p các b n  ấ ư ộ ậ ả

ghi l u l ư ượ ng s  v a đ ẽ ừ ủ

• Nâng c p thi t b  m ng:  ấ ế ị ạ Tùy thu c vào lo i thi t b   ộ ạ ế ị

m ng, quá trình chuy n đ i này có th  đ n gi n ho c  ạ ể ổ ể ơ ả ặ

có th  yêu c u c u hình l i nhi u h n ể ầ ấ ạ ề ơ

• B  sung các ph n m m c m bi n:  ổ ầ ề ả ế B  c m bi n đ c  ộ ả ế ộ

l p (nh  Argus ho c Softflowd), Pháp ch ng viên có  ậ ư ặ ứ

th  l a ch n đ  thay th  m t nhánh m ng và g i d   ể ự ọ ể ế ộ ạ ử ữ

li u đ n b  c m bi n đ c l p đ  thu th p b n ghi  ệ ế ộ ả ế ộ ậ ể ậ ả

l u  l ư ượ ng. 

17

Ví d  NetFlow  ụ

S  d ng giao th c NetFlow ử ụ ứ

• Nh n bi t đậ ế ược d u hi u hay nguy c  c a nh ng ấ ệ ơ ủ ữ

cu c t n công t  ch i d ch v  (DoS), Vi c phát tán ộ ấ ừ ố ị ụ ệvirus

• Phân tích các  ng d ng m i và  nh hứ ụ ớ ả ưởng c a ủ

chúng lên h  th ng m ng: nh n d ng các  ng ệ ố ạ ậ ạ ứ

d ng m ng m i nh  Voice, Video …ụ ạ ớ ư

• Phát hi n đệ ược các s  c  b t thự ố ấ ường liên quan 

đ n đế ường truy nề

• Gi m s  quá t i c a l u lả ự ả ủ ư ượng WAN, Phân chia 

băng thông h p lí cho t ng lo i d ch v  m ng khác ợ ừ ạ ị ụ ạnhau

19

Ho t đ ng c a Netflow ạ ộ ủ

• NetFlow ho t đ ng b ng cách t o ra m t NetFlow ạ ộ ằ ạ ộcache trong đó ch a thông tin v  t t c  các ứ ề ấ ả

lu ng(flow) đang ho t đ ng.ồ ạ ộ

• NetFlow cache được xây d ng b ng cách x  lý ự ằ ử

packet trong lu ng thông qua m t đồ ộ ường chuy n ể

m ch chu n. ạ ẩ

• Trong 1 lu ng, NetFlow ghi l i các packet đ u tiên ồ ạ ầ

và nó s  d ng l i records này cho các packet khác ử ụ ạtrong lu ng đó cho đ n khi lu ng đó k t thúc. ồ ế ồ ế

• Các records s  đẽ ượ ưc l u trong Netflow Cache

Ho t đ ng NetFlow cache  ạ ộ

21

NetFlow cache

• M i m t record trong NetFlow cache ch a các ỗ ộ ứ

trường thu c tính. M i b n ghi lu ng độ ỗ ả ồ ượ ạc t o ra 

b ng cách so sánh ằ

• NetFlow cache liên t c c p nh p các b n ghi t  ụ ậ ậ ả ừ

Router, SW nó s  tìm trong cache nh ng lu ng đã ẽ ữ ồ

k t thúc và nh ng lu ng này s  đế ữ ồ ẽ ược g i ra ử

NetFlow collector server.Lu ng s  k t thúc khi ồ ẽ ế

giao ti p m ng k t thúc.ế ạ ế

23

Thu th p d  li u l u l ậ ữ ệ ư ượ ng NetFlow

• Có kho ng t  30­50 lu ng đả ừ ồ ược đóng gói và g i ử

dướ ại d ng UDP t i NetFlow collector server.ớ

• Ph n m m NetFlow collector có th  t o ra các báo ầ ề ể ạcáo l u lư ượng t  c  s  d  li u.ừ ơ ở ữ ệ

25

Ví d  báo cáo l u l ụ ư ượ ng 

• NetFlow là m t giao th c nhúng vào trong ph n ộ ứ ầ

m m Cisco IOS trên router và switch. ề

• Cisco IOS NetFlow cho phép các thi t b  m ng ế ị ạ

được chuy n ti p l u lể ế ư ượng truy c p đ  t ng h p ậ ể ổ ợ

d  li u v  l u lữ ệ ề ư ượng giao thông qua chúng

• Cisco IOS NetFlow cho phép người qu n tr  m ng ả ị ạ

có đ y đ  các công c  đ  bi t đầ ủ ụ ể ế ược th i gian, đ a ờ ị

đi m,đ i tể ố ượng cũng nh  cách th c l u thông c a ư ứ ư ủ

l u lư ượng m ng.ạ

27

Router1(config)#ip flow­cache timeout active 1

Router1(config)#ip flow­cache timeout inactive 15

Router1(config)#snmp­server ifindex persist

Xem thông tin l u l ư ượ ng trên Router

29

Mô hình các NetFlow colectors

Giao th c IPFIX (IP Flow Information  ứ

Export)

• Là m t phát tri n t  NetFlow đ ộ ể ừ ượ c đ a ra trong RFC  ư

5101 d a trên NetFlow v9 ự

• X  lí các báo cáo l u l ử ư ượ ng hai chi u, đ  gi m s  d   ề ể ả ự ư

th a  d   li u  khi  báo  cáo  v   dòng  d   li u  v i  các  ừ ữ ệ ề ữ ệ ớ thu c tính t ộ ươ ng t , cung c p kh  năng t ự ấ ả ươ ng tác t t  ố

h n ơ

• Các d  li u b n ghi l u l ữ ệ ả ư ượ ng mà IPFIX h  tr  đ ỗ ợ ượ c 

m   r ng  thông  qua  d   li u  m u.  Các  h   th ng  thu  ở ộ ữ ệ ẫ ệ ố

th p g i đ nh nghĩa m u các d  li u đ ậ ử ị ẫ ữ ệ ượ c xu t ra, và  ấ Sensor sau đó s  d ng m u đ  xây d ng các gói xu t  ử ụ ẫ ể ự ấ

d  li u b n ghi l u l ữ ệ ả ư ượ ng g i l i khi l u l ử ạ ư ượ ng h t  ế

S  đ  ho t đ ng c a IPFIX ơ ồ ạ ộ ủ

Giao th c sFlow ứ

• sFlow  được  phát  tri n  b i  InMon  công  b   b i ể ở ố ởIETF RFC vào năm 2001

• Th ng kê l y m u gói tin và không h  tr  vi c ghi ố ấ ẫ ỗ ợ ệ

l i và x  lí thông tin v  các gói d  li u duy nh t, ạ ử ề ữ ệ ấcân  b ng  t t  v i  các  m ng  r t  l n,  v i  thông ằ ố ớ ạ ấ ớ ớ

lượng cao

• T p trung vào th ng kê nên ph n bên dậ ố ầ ướ ủi c a gói tin không đượ ấc l y m u và không đẫ ược ghi l i nên ạkhông th  phân tích. ể

33

sFlow

Ph n m m thu th p l u l ầ ề ậ ư ượ ng (Reporting  Collector) SiLK

SiLK (System for Internet Level Knowledge): 

• Là  ph n  m m  mã  ngu n  m   c a  nhóm  Network ầ ề ồ ở ủSituational Awareness (NetSA) t i CERT g m 2 b  ạ ồ ộcông c : ụ

35

NetFlow Reporting Collector cài SiLK

Các công c  trong ph n m m SiLK  ụ ầ ề

37

Ph n m m thu th p l u l ầ ề ậ ư ượ ng (Reporting 

Collector ) Nfcapd/Nfdump/NfSen

• B  công c   ộ ụ Nfcapd,  Nfdump , NfSen  bao g m các công  ồ

c  cho vi c thu th p, hi n th , và phân tích d  li u ụ ệ ậ ể ị ữ ệ

• Nfcapd là daemon trong Linux đ ượ c phát tri n tích  ể

h p v i  ợ ớ nfdump  đ  b t các gói tin NetFlow  ể ắ

• Nfdump đ c các file ghi  ọ Nfcapd và x  lý thông tin,  ử

nfdump cho phép m  r ng tùy bi n các t p tin d  li u  ở ộ ế ậ ữ ệ

đ ượ ư c l u tr  trên đĩa ữ

• NfSen “Netflow Sensor”: cung c p m t giao di n web  ấ ộ ệ cho nfdump. Nó là m t công c  mã ngu n m  đ ộ ụ ồ ở ượ c 

vi t b ng Perl và PHP, đ ế ằ ượ c thi t k  đ  ch y trên  ế ế ể ạ

Linux và Unix.

NetFlow Reporting Collector cài Nfcapd và  Nfdump

39

Ki n trúc m ng và thu th p l u l ế ạ ậ ư ượ ng

Các y u t  c n đế ố ầ ược xem xét:

K  thu t phân tích trong đi u tra ỹ ậ ề

• Là các k  thu t ch n l c giúp Pháp ch ng viên có ỹ ậ ọ ọ ứ

th  xác đ nh nhanh chóng m c tiên khi bi t gi m ể ị ụ ế ả

kh i lố ượng thông tin ph i đả ược phân tích. 

• Nh ng k  thu t phân tích cũng s  gia tăng t  l  ữ ỹ ậ ẽ ỉ ệ

phát hi n các cu c t n công c n thi t đ  duy trì ệ ộ ấ ầ ế ể

m t s  hi n di n liên t c trong quá trình thu th p ộ ự ệ ệ ụ ậthông tin

Các k  thu t phân tích b n ghi l u l ỹ ậ ả ư ượ ng

• L c thông tin: Lo i b  các chi ti t không liên quan và  ọ ạ ỏ ế xác đ nh các s  ki n, máy ch , c ng, và các ho t đ ng  ị ự ệ ủ ổ ạ ộ

c n quan tâm ầ

• Đ nh h ị ướ ng th ng kê (baseline): Đ nh h ố ị ướ ng th ng kê  ố

l u l ư ượ ng nh : đ nh h ư ị ướ ng m ng (network baseline),  ạ

đ nh h ị ướ ng máy ch  (Host baselines) ủ

• Thông tin đen "dirty values" : H  th ng quét danh sách  ​​ ệ ố các Thông tin đen nh  các đ a ch  IP, Port, ngày, gi   ư ị ỉ ờ

truy c p   và tìm ki m b n ghi l u l ậ ế ả ư ượ ng d  li u đ   ữ ệ ể

ch n ra các m c có liên quan ọ ụ

• Mô hình phân tích: Đ a ch  IP, C ng, Giao th c và c ,  ị ỉ ổ ứ ờ

Đ nh h ị ướ ng, Kh i l ố ượ ng d  li u đ ữ ệ ượ c truy n ề

Công c  phân tích l u l ụ ư ượ ng NfSen

43

Công c  phân tích l u l ụ ư ượ ng Flow­tools

• Flow­tools: phân tích b n ghi l u lả ư ượng 

• Bao g m nhi u công c  có ích cho vi c phân tích ồ ề ụ ệpháp ch ng nh  thu th p b n xu t l u lứ ư ậ ả ấ ư ượng d  ữ

li u, l u tr , x  lý, g i.ệ ư ữ ử ử

Công c  phân tích l u l ụ ư ượ ng FlowTraq

• FlowTraq:  h   tr   m t  lo t  r t  nhi u  đ nh  d ng  đ u  ỗ ợ ộ ạ ấ ề ị ạ ầ vào, bao g m c  NetFlowv9, IPFIX, Jflow. Nó cũng có  ồ ả

th   sniff  l u  l ể ư ượ ng  truy  c p  tr c  ti p  và  t o  ra  các  ậ ự ế ạ

b n ghi l u l ả ư ượ ng. 

• Sau khi thu th p, FlowTraq cho phép ng ậ ườ i dùng l c,  ọ tìm ki m, s p x p, và các báo cáo d a trên h  s  l u  ế ắ ế ự ồ ơ ư

l ượ ng. FlowTraq h  tr  nhi u h  đi u hành ỗ ợ ề ệ ề

45

Công c  phân tích l u l ụ ư ượ ng EtherApe

• EtherApe: đ c d  li u gói tin tr c ti p t  giao ọ ữ ệ ự ế ừ

di n m ng ho c t p tin pcap.ệ ạ ặ ậ

H t bài 7 ế