Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải

pptx 47 trang ngocly 20
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pptxbai_giang_phap_chung_ky_thuat_so_bai_7_dieu_tra_luu_luong_tr.pptx

Nội dung text: Bài giảng Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải

  1. PHÁP CHỨNG KỸ THUẬT SỐ Bài 7: Điều tra lưu lượng trên Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải
  2. Điều tra lưu lượng Mạng • Phân tích thông kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. • Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các quá trình hành động có tương quan với lưu lượng gói tin được ghi lại. • Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong pháp chứng. 2
  3. Hoạt động của mạng Internet 3
  4. Ví dụ một mạng máy tính doanh nghiệp 4
  5. Tấn công từ chối dịch vụ • Tấn công từ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình. • Tấn công từ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính toán các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại. • Tấn công từ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm soát một cách có tính toán làm cho chúng trở nên vô cùng bận rộn hoặc ngừng làm việc.
  6. Tấn công từ chối dịch vụ 6
  7. Ghi nhận tấn công Mạng của NORSE 7
  8. Điều tra lưu lượng mạng • Định danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng. Phân tích lưu lượng Mạng Xác định máy Xác nhận hoặc bác Hồ sơ nghi chủ bị tổn bỏ dữ liệu nhậy phạm thương cảm 8
  9. Phân tích lưu lượng tấn công DDoS 9
  10. Các thông tin lưu lượng pháp chứng • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng. • Bản ghi lưu lượng là một tập hợp thông tin về một dòng lưu lượng. Cảm • Hệ thống xử lý biến bản ghi lưu lượng Hệ thống Phân xử lý bản Thu tích ghi lưu thập lượng Tổng hợp 10
  11. Ví dụ báo cáo lưu lượng 11
  12. Thống kê bản ghi lưu lượng 12
  13. Cảm biến (sensor) • Ghi bằng thiết bị trên mạng: Một số thiết bị như CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng. • Cài đặt thiết bị độc lập: Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng. • Giao thức trao đổi thông tin lưu lượng: NetFlow, IPFIX, sFlow 13
  14. Phần mềm cảm biến • ARGUS (Audit Record Generation and Utilization System) • Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt từ file. Các công cụ người dùng: sử dụng để thu thập, phân phối, xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP. • YAF (Yet Another Flowmeter): • Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng TLS. • Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow. 14
  15. Các yếu tố cần xem xét khi đặt cảm biến Lưu lượng Đồng bộ hóa Sự trùng lặp ngoài so với bên Tài nguyên Năng lực thời gian trong • Làm tăng • Nếu thời • Lưu lượng • Xem lại các • Việc kích nguồn cần gian trên một dữ liệu nội biểu đồ hoạt xử lí thiết để phân cảm biến bộ có thể mạng một bản ghi lưu tích, và gây không chính giúp xác cách cẩn lượng và ra tắc nghẽn xác, rất khó định các máy thận và chọn xuất chúng mạng trong để tương trạm bị xâm điểm nút thắt có thể ảnh quá trình quan lưu nhập đang mà nó sẽ tối hưởng đến tổng hợp. lượng được tìm cách lan đa hóa khả hiệu suất của xuất bởi thiết truyền tới năng thu thiết bị bị này với những mục thập, trong mạng, đặc các thiết bị tiêu mới, bao khi nó vẫn biết là nếu khác. gồm cả bên phù hợp với nó được sử trong và bên phạm vi dụng quá ngoài. ngân sách và mức. khả năng để xử lí và phân tích. 15
  16. Điều chỉnh môi trường • Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ. • Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị mạng, quá trình chuyển đổi này có thể đơn giản hoặc có thể yêu cầu cấu hình lại nhiều hơn. • Bổ sung các phần mềm cảm biến: Bộ cảm biến độc lập (như Argus hoặc Softflowd), Pháp chứng viên có thể lựa chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng. 16
  17. Giao thức NetFlow • Là một Giao thức giám sát lượng truy cập của Cisco. Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu lượng. • Các gói tin “NetFlow Export” có thể được truyền qua UDP, TCP, hoặc thậm chí SCTP. o NetFlow V.5: đơn giản và được sử dụng rộng rãi trên nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP. o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển. 17
  18. Ví dụ NetFlow 18
  19. Sử dụng giao thức NetFlow • Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus • Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như Voice, Video • Phát hiện được các sự cố bất thường liên quan đến đường truyền • Giảm sự quá tải của lưu lượng WAN, Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau 19
  20. Hoạt động của Netflow • NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động. • NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. • Trong 1 luồng, NetFlow ghi lại các packet đầu tiên và nó sử dụng lại records này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. • Các records sẽ được lưu trong Netflow Cache. 20
  21. Hoạt động NetFlow cache 21
  22. NetFlow cache 22
  23. NetFlow cache • Mỗi một record trong NetFlow cache chứa các trường thuộc tính. Mỗi bản ghi luồng được tạo ra bằng cách so sánh • Thuộc tính của các packet • Đếm số packet và số byte của mỗi luồng. • NetFlow cache liên tục cập nhập các bản ghi từ Router, SW nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc. 23
  24. Thu thập dữ liệu lưu lượng NetFlow 24
  25. NetFlow Reporting Collector • NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng • NetFlow export được cấu hình để để gửi thông tin các luồng tới Collector. NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server. • Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server. • Phần mềm NetFlow collector có thể tạo ra các báo cáo lưu lượng từ cơ sở dữ liệu. 25
  26. Ví dụ báo cáo lưu lượng 26
  27. NetFlow trong Cisco IOS • NetFlow là một giao thức nhúng vào trong phần mềm Cisco IOS trên router và switch. • Cisco IOS NetFlow cho phép các thiết bị mạng được chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu về lưu lượng giao thông qua chúng. • Cisco IOS NetFlow cho phép người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng. 27
  28. Cấu hình NetFlow trên Cisco Router • Lưu lượng từ cổng s0 sẽ đổ về máy 20.1.1.2 qua port 9996 Router1(config)#int s0 Router1(config-if)#ip route-cache flow Router1(config-if)#ex Router1(config)#ip flow-export destination 20.1.1.2 9996 Router1(config)#ip flow-export source s0 Router1(config)#ip flow-export version 5 Router1(config)#ip flow-cache timeout active 1 Router1(config)#ip flow-cache timeout inactive 15 Router1(config)#snmp-server ifindex persist 28
  29. Xem thông tin lưu lượng trên Router 29
  30. Mô hình các NetFlow colectors 30
  31. Giao thức IPFIX (IP Flow Information Export) • Là một phát triển từ NetFlow được đưa ra trong RFC 5101 dựa trên NetFlow v9. • Xử lí các báo cáo lưu lượng hai chiều, để giảm sự dư thừa dữ liệu khi báo cáo về dòng dữ liệu với các thuộc tính tương tự, cung cấp khả năng tương tác tốt hơn. • Các dữ liệu bản ghi lưu lượng mà IPFIX hỗ trợ được mở rộng thông qua dữ liệu mẫu. Các hệ thống thu thập gửi định nghĩa mẫu các dữ liệu được xuất ra, và Sensor sau đó sử dụng mẫu để xây dựng các gói xuất dữ liệu bản ghi lưu lượng gửi lại khi lưu lượng hết hạn. 31
  32. Sơ đồ hoạt động của IPFIX 32
  33. Giao thức sFlow • sFlow được phát triển bởi InMon công bố bởi IETF RFC vào năm 2001 • Thống kê lấy mẫu gói tin và không hỗ trợ việc ghi lại và xử lí thông tin về các gói dữ liệu duy nhất, cân bằng tốt với các mạng rất lớn, với thông lượng cao. • Tập trung vào thống kê nên phần bên dưới của gói tin không được lấy mẫu và không được ghi lại nên không thể phân tích. 33
  34. sFlow 34
  35. Phần mềm thu thập lưu lượng (Reporting Collector) SiLK SiLK (System for Internet Level Knowledge): • Là phần mềm mã nguồn mở của nhóm Network Situational Awareness (NetSA) tại CERT gồm 2 bộ công cụ: • Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc các file và xuất nó bị nén theo định dạng SiLK Flow. • Flowcap: lắng nghe các bản ghi lưu lượng trên mạng, lưu trữ tạm thời dữ liệu lưu lượng trên ổ đĩa hoặc RAM, và chuyển tiếp các luồng đã nén vào chương trình máy khác như là rwflowpack. 35
  36. NetFlow Reporting Collector cài SiLK 36
  37. Các công cụ trong phần mềm SiLK rwstats, Advanced rwfilter rwcount, rwidsquery rwpmatch rwcut, rwuniq SiLK • Một trong • Rwstats tạo • Số liệu • Một chương • Thực hiện những công ra các thống luồng đầu trình dựa các chức cụ cốt lõi kê dựa trên vào phù hợp trên thư viện năng của của SILK. các trường quy tắc, viết pcap đọc các SiLK thông • Có chức giao thức một lời yêu phạm lỗi qua Python năng như bộ được quy cầu rwfilter định dạng API. lọc BPF. định. để tạo ra các SiLK của • Rwcount luồng phù các lưu đếm các gói hợp. lượng siêu tin và byte. dữ liệu. • Rwcut chọn trường mà rwuniq có thể giúp bạn sắp xếp trên đó. 37
  38. Phần mềm thu thập lưu lượng (Reporting Collector ) Nfcapd/Nfdump/NfSen • Bộ công cụ Nfcapd, Nfdump, NfSen bao gồm các công cụ cho việc thu thập, hiển thị, và phân tích dữ liệu • Nfcapd là daemon trong Linux được phát triển tích hợp với nfdump để bắt các gói tin NetFlow • Nfdump đọc các file ghi Nfcapd và xử lý thông tin, nfdump cho phép mở rộng tùy biến các tập tin dữ liệu được lưu trữ trên đĩa. • NfSen “Netflow Sensor”: cung cấp một giao diện web cho nfdump. Nó là một công cụ mã nguồn mở được viết bằng Perl và PHP, được thiết kế để chạy trên Linux và Unix. 38
  39. NetFlow Reporting Collector cài Nfcapd và Nfdump 39
  40. Kiến trúc mạng và thu thập lưu lượng Các yếu tố cần được xem xét: Chiến lược Sự tắc nghẽn Bảo mật Độ tin cậy Năng lực phân tích • Cần lựa • Đặt nhà thu • Sử dụng • Củng cố sự • Nên có hệ chọn điểm thập trên các giao thức thu thập trên thống phân trong mạng, phân đoạn truyền ở một hệ tích riêng nơi mà thời nơi mà các tầng vận thống đơn biệt có thể gian vận đường dẫn chuyển với làm giảm nhận được chuyển giữa giữa các bộ độ tin cậy chi phí phần dữ liệu báo cảm biến và thu thập và cao như cứng và cáo lưu người thu cảm biến TCP, SCTP. phần mềm, lượng từ thập khó có điều khiển và tạo điều nhiều nguồn khả năng bị truy cập và kiện tổng và tổng hợp ảnh hưởng. bảo vệ tốt. hợp và phân nó. tích. 40
  41. Kỹ thuật phân tích trong điều tra • Là các kỹ thuật chọn lọc giúp Pháp chứng viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thông tin phải được phân tích. • Những kỹ thuật phân tích cũng sẽ gia tăng tỉ lệ phát hiện các cuộc tấn công cần thiết để duy trì một sự hiện diện liên tục trong quá trình thu thập thông tin.
  42. Các kỹ thuật phân tích bản ghi lưu lượng • Lọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâm • Định hướng thống kê (baseline): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline), định hướng máy chủ (Host baselines). • Thông tin đen "dirty values​​" : Hệ thống quét danh sách các Thông tin đen như các địa chỉ IP, Port, ngày, giờ truy cập và tìm kiếm bản ghi lưu lượng dữ liệu để chọn ra các mục có liên quan. • Mô hình phân tích: Địa chỉ IP, Cổng, Giao thức và cờ, Định hướng, Khối lượng dữ liệu được truyền. 42
  43. Công cụ phân tích lưu lượng NfSen 43
  44. Công cụ phân tích lưu lượng Flow-tools • Flow-tools: phân tích bản ghi lưu lượng • Bao gồm nhiều công cụ có ích cho việc phân tích pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi. o Flow-nfilter: cho phép người dùng lọc bản xuất lưu lượng dữ liệu dựa theo “sơ khai”. o Flow-dscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, quét cổng, quét máy chủ và các cuộc tấn công từ chối dịch vụ. 44
  45. Công cụ phân tích lưu lượng FlowTraq • FlowTraq: hỗ trợ một loạt rất nhiều định dạng đầu vào, bao gồm cả NetFlowv9, IPFIX, Jflow. Nó cũng có thể sniff lưu lượng truy cập trực tiếp và tạo ra các bản ghi lưu lượng. • Sau khi thu thập, FlowTraq cho phép người dùng lọc, tìm kiếm, sắp xếp, và các báo cáo dựa trên hồ sơ lưu lượng. FlowTraq hỗ trợ nhiều hệ điều hành. 45
  46. Công cụ phân tích lưu lượng EtherApe • EtherApe: đọc dữ liệu gói tin trực tiếp từ giao diện mạng hoặc tập tin pcap. 46
  47. Hết bài 7