Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải

Bài 7: Điều tra lưu lượng trên Mạng máy tính 
Giảng viên: TS. Đàm Quang Hồng Hải 
PHÁP CHỨNG KỸ THUẬT SỐ 
Điều tra lưu lượng Mạng 
Phân tích thông kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. 
Sử dụng k ỹ thuật pháp chứng dựa trên máy ảo mẫ u , sẽ cho phép điều tra dựa trên các quá trình hành động có tương quan với lưu lượng gói tin được ghi lại . 
Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong pháp chứng. 
2 
Hoạt động của mạng Internet 
3 
Ví dụ một mạng máy tính doanh nghiệp 
4 
Tấn công t ừ chối dịch vụ 
Tấn công t ừ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình. 
Tấn công t ừ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính toán các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại. 
Tấn công t ừ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm soát một cách có tính toán làm cho chúng trở nên vô cùng bận rộn hoặc ngừng làm việc. 
Tấn công từ chối dịch vụ 
6 
Ghi nhận tấn công Mạng của NORSE 
7 
Điều tra lưu lượng mạng 
Đ ịnh danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng. 
8 
Phân tích lưu lượng Mạng 
Xác định máy chủ bị tổn thương 
Xác nhận hoặc bác bỏ dữ liệu nhậy cảm 
Hồ sơ nghi phạm 
Phân tích lưu lượng tấn công DDoS 
9 
Các thông tin lưu lượng pháp chứng 
Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng . 
Bản ghi lưu lượng là một tập hợp thông tin về một dòng lưu lượng. 
Hệ thống xử lý 
	bản ghi lưu lượng 
Hệ thống xử lý bản ghi lưu lượng 
Cảm biến 
Thu thập 
Tổng hợp 
Phân tích 
10 
Ví dụ báo cáo lưu lượng 
11 
Thống kê bản ghi lưu lượng 
12 
Cảm biến (sensor) 
Ghi bằng thiết bị trên mạng: Một số thiết bị như CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng. 
Cài đặt t hiết bị độc lập : Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng. 
Giao thức trao đổi thông tin lưu lượng: NetFlow, IPFIX, sFlow 
13 
Phần mềm cảm biến 
ARGUS (Audit Record Generation and Utilization System) 
Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt từ file. Các công cụ người dùng: sử dụng để thu thập, phân phối, xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP. 
YAF (Yet Another Flowmeter): 
Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng TLS. 
Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow. 
14 
Các yếu tố cần xem xét khi đặt cảm biến 
15 
Sự trùng lặp 
Làm tăng nguồn cần thiết để phân tích, và gây ra tắc nghẽn mạng trong quá trình tổng hợp. 
Đồng bộ hóa thời gian 
Nếu thời gian trên một cảm biến không chính xác, rất khó để tương quan lưu lượng được xuất bởi thiết bị này với các thiết bị khác. 
Lưu lượng ngoài so với bên trong 
Lưu lượng dữ liệu nội bộ có thể giúp xác định các máy trạm bị xâm nhập đang tìm cách lan truyền tới những mục tiêu mới, bao gồm cả bên trong và bên ngoài. 
Tài nguyên 
Xem lại các biểu đồ mạng một cách cẩn thận và chọn điểm nút thắt mà nó sẽ tối đa hóa khả năng thu thập, trong khi nó vẫn phù hợp với phạm vi ngân sách và khả năng để xử lí và phân tích. 
Năng lực 
Việc kích hoạt xử lí bản ghi lưu lượng và xuất chúng có thể ảnh hưởng đến hiệu suất của thiết bị mạng, đặc biết là nếu nó được sử dụng quá mức. 
Điều chỉnh môi trường 
Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ. 
Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị mạng, quá trình chuyển đổi này có thể đơn giản hoặc có thể yêu cầu cấu hình lại nhiều hơn. 
Bổ sung các phần mềm cảm biến: Bộ cảm biến độc lập (như Argus hoặc Softflowd), Pháp chứng viên có thể lựa chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng. 
16 
Giao thức NetFlow 
L à một Giao thức giám sát lượng truy cập của Cisco. Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu lượng. 
Các gói tin “NetFlow Export” có thể được truyền qua UDP, TCP, hoặc thậm chí SCTP. 
NetFlow V.5: đơn giản và được sử dụng rộng rãi trên nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP. 
NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển. 
17 
Ví dụ NetFlow 
18 
Sử dụng giao thức NetFlow 
Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus 
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như Voice, Video  
Phát hiện được các sự cố bất thường liên quan đến đường truyền 
Giảm sự quá tải của lưu lượng WAN, Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau 
19 
Hoạt động của Netflow 
NetFlow hoạt động bằng cách tạo ra một NetFlow cache   trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động. 
NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. 
Trong 1 luồng, NetFlow ghi lại các packet đầu tiên và nó sử dụng lại records này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. 
Các records sẽ được lưu trong Netflow Cache. 
20 
Hoạt động NetFlow cache 
21 
NetFlow cache 
22 
NetFlow cache 
Mỗi một record trong NetFlow cache chứa các trường thuộc tính. Mỗi bản ghi luồng được tạo ra bằng cách so sánh  
Thuộc tính của các packet 
Đếm số packet và số byte của mỗi luồng. 
NetFlow cache liên tục cập nhập các bản ghi từ Router, SW...nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc. 
23 
Thu thập dữ liệu lưu lượng NetFlow 
24 
NetFlow Reporting Collector 
NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng 
NetFlow export được cấu hình để để gửi thông tin các luồng tới Collector. NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server. 
Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server. 
Phần mềm NetFlow collector có thể tạo ra các báo cáo lưu lượng từ cơ sở dữ liệu. 
25 
Ví dụ báo cáo lưu lượng 
26 
NetFlow trong Cisco IOS 
NetFlow là một giao thức nhúng vào trong phần mềm Cisco IOS trên router và switch.  
Cisco IOS NetFlow cho phép các thiết bị mạng được chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu về lưu lượng giao thông qua chúng . 
Cisco IOS NetFlow cho phép người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng. 
27 
Cấu hình NetFlow trên Cisco Router 
Lưu lượng từ cổng s0 sẽ đổ về máy 20. 1 . 1 .2 qu a port 99 9 6 Router1 (config)#int s0 Router1 (config-if)#ip route-cache flow Router1 (config-if)#ex Router1 (config)#ip flow-export destination 20.1.1.2 99 9 6 Router1 (config)#ip flow-export source s0 Router1 (config)#ip flow-export version 5 Router1 (config)#ip flow-cache timeout active 1 Router1 (config)#ip flow-cache timeout inactive 15 Router1 (config)#snmp-server ifindex persist 
28 
Xem thông tin lưu lượng trên Router 
29 
Mô hình các NetFlow colectors 
30 
Giao thức IPFIX (IP Flow Information Export) 
Là một phát triển từ NetFlow được đưa ra trong RFC 5101 dựa trên NetFlow v9. 
Xử lí các báo cáo lưu lượng hai chiều, để giảm sự dư thừa dữ liệu khi báo cáo về dòng dữ liệu với các thuộc tính tương tự, cung cấp khả năng tương tác tốt hơn. 
Các dữ liệu bản ghi lưu lượng mà IPFIX hỗ trợ được mở rộng thông qua dữ liệu mẫu. Các hệ thống thu thập gửi định nghĩa mẫu các dữ liệu được xuất ra, và Sensor sau đó sử dụng mẫu để xây dựng các gói xuất dữ liệu bản ghi lưu lượng gửi lại khi lưu lượng hết hạn. 
31 
Sơ đồ hoạt động của IPFIX 
32 
Giao thức sFlow 
sFlow được phát triển bởi InMon công bố bởi IETF RFC vào năm 2001 
Thống kê lấy mẫu gói tin và không hỗ trợ việc ghi lại và xử lí thông tin về các gói dữ liệu duy nhất, cân bằng tốt với các mạng rất lớn, với thông lượng cao. 
Tập trung vào thống kê nên phần bên dưới của gói tin không được lấy mẫu và không được ghi lại nên không thể phân tích. 
33 
sFlow 
34 
Phần mềm thu thập lưu lượng ( Reporting Collector ) SiLK 
	SiLK (System for Internet Level Knowledge): 
Là phần mềm mã nguồn mở của nhóm Network Situational Awareness (NetSA) tại CERT gồm 2 bộ công cụ:  
Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc các file và xuất nó bị nén theo định dạng SiLK Flow. 
Flowcap: lắng nghe các bản ghi lưu lượng trên mạng, lưu trữ tạm thời dữ liệu lưu lượng trên ổ đĩa hoặc RAM, và chuyển tiếp các luồng đã nén vào chương trình máy khác như là rwflowpack. 
35 
NetFlow Reporting Collector cài SiLK 
36 
Các công cụ trong phần mềm SiLK 
37 
rwfilter 
Một trong những công cụ cốt lõi của SILK. 
Có chức năng như bộ lọc BPF. 
rwstats, rwcount, rwcut, rwuniq 
Rwstats tạo ra các thống kê dựa trên các trường giao thức được quy định. 
Rwcount đếm các gói tin và byte. 
Rwcut chọn  trường mà rwuniq có thể giúp bạn sắp xếp trên đó. 
rwidsquery 
Số liệu luồng đầu vào phù hợp quy tắc, viết một lời yêu cầu rwfilter để tạo ra các luồng phù hợp. 
rwpmatch 
Một chương trình dựa trên thư viện pcap đọc các phạm lỗi định dạng SiLK của các lưu lượng siêu dữ liệu. 
Advanced SiLK 
Thực hiện các chức năng của SiLK thông qua Python API. 
Phần mềm thu thập lưu lượng (Reporting Collector ) Nfcapd/ Nfdump/NfSen 
Bộ công cụ Nfcapd, Nfdump , NfSen bao gồm các công cụ cho việc thu thập, hiển thị, và phân tích dữ liệu 
Nfcapd là daemon trong Linux được phát triển tích hợp với nfdump để bắt các gói tin NetFlow 
Nfdump đọc các file ghi Nfcapd và xử lý thông tin, nfdump cho phép mở rộng tùy biến các tập tin dữ liệu được lưu trữ trên đĩa. 
NfSen “Netflow Sensor”: cung cấp một giao diện web cho nfdump. Nó là một công cụ mã nguồn mở được viết bằng Perl và PHP, được thiết kế để chạy trên Linux và Unix. 
38 
NetFlow Reporting Collector cài Nfcapd và Nfdump 
39 
Kiến trúc mạng và thu thập lưu lượng 
Sự tắc nghẽn 
Cần lựa chọn điểm trong mạng, nơi mà thời gian vận chuyển giữa cảm biến và người thu thập khó có khả năng bị ảnh hưởng. 
Bảo mật 
Đặt nhà thu thập trên các phân đoạn nơi mà các đường dẫn giữa các bộ thu thập và cảm biến điều khiển truy cập và bảo vệ tốt. 
Độ tin cậy 
Sử dụng giao thức truyền ở tầng vận chuyển với độ tin cậy cao như TCP, SCTP. 
Năng lực 
Củng cố sự thu thập trên một hệ thống đơn làm giảm chi phí phần cứng và phần mềm, và tạo điều kiện tổng hợp và phân tích. 
Chiến lược phân tích 
Nên có hệ thống phân tích riêng biệt có thể nhận được dữ liệu báo cáo lưu lượng từ nhiều nguồn và tổng hợp nó. 
40 
Các yếu tố cần được xem xét: 
Kỹ thuật phân tích trong điều tra 
Là các kỹ thuật chọn lọc giúp Pháp chứng viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thông tin phải được phân tích. 
Những kỹ thuật phân tích cũng sẽ gia tăng tỉ lệ phát hiện các cuộc tấn công cần thiết để duy trì một sự hiện diện liên tục trong quá trình thu thập thông tin. 
Các kỹ thuật phân tích bản ghi lưu lượng 
Lọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâm 
Định hướng thống kê ( baseline ): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline) , định hướng máy chủ (Host baselines). 
Thông tin đen "dirty values​​" : Hệ thống q uét danh sách các Thông tin đen như các địa chỉ IP, Port, ngày, giờ truy cập ... và tìm kiếm bản ghi lưu lượng dữ liệu để chọn ra các mục có liên quan. 
Mô hình phân tích: Địa chỉ IP , Cổng , Giao thức và cờ , Định hướng , Khối lượng dữ liệu được truyền. 
42 
Công cụ phân tích lưu lượng NfSen 
43 
Công cụ phân tích lưu lượng Flow-tools 
Flow-tools: phân tích bản ghi lưu lượng 
Bao gồm nhiều công cụ có ích cho việc phân tích pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi. 
Flow-nfilter: cho phép người dùng lọc bản xuất lưu lượng dữ liệu dựa theo “sơ khai”. 
Flow-dscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, quét cổng, quét máy chủ và các cuộc tấn công từ chối dịch vụ. 
44 
Công cụ phân tích lưu lượng FlowTraq 
FlowTraq: hỗ trợ một loạt rất nhiều định dạng đầu vào, bao gồm cả NetFlowv9, IPFIX, Jflow. Nó cũng có thể sniff lưu lượng truy cập trực tiếp và tạo ra các bản ghi lưu lượng. 
Sau khi thu thập, FlowTraq cho phép người dùng lọc, tìm kiếm, sắp xếp, và các báo cáo dựa trên hồ sơ lưu lượng. FlowTraq hỗ trợ nhiều hệ điều hành. 
45 
Công cụ phân tích lưu lượng EtherApe 
EtherApe: đọc dữ liệu gói tin trực tiếp từ giao diện mạng hoặc tập tin pcap. 
46 
Hết bài 7