intTypePromotion=3

Bài giảng Pháp chứng kỹ thuật số: Bài 6 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:63

0
15
lượt xem
3
download

Bài giảng Pháp chứng kỹ thuật số: Bài 6 - TS. Đàm Hồng Hải

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 6: Điều tra tội phạm mạng - Pháp chứng Mạng máy tính" cung cấp cho người học các kiến thức: Pháp chứng Mạng máy tính và pháp chứng kỹ thuật số, nhiệm vụ bảo vệ không gian Mạng, các hướng điều tra của Pháp chứng mạng,... Mời các bạn cùng tham khảo.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 6 - TS. Đàm Hồng Hải

  1. PHÁP CHỨNG KỸ THUẬT SỐ Bài 6: Điều tra tội phạm Mạng ­ Pháp  chứng Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải
  2. Pháp chứng Mạng máy tính và pháp chứng  kỹ thuật số
  3. Pháp chứng Mạng là gì? • Pháp chứng mạng là một nhánh của pháp chứng kỹ  thuật số liên quan:  • Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu  lượng trên đường truyền mạng sẽ mất sau khi truyền nên  đây là một cuộc điều tra với thời gian chủ động. • Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay  phá hoại thông tin. • Thu thập các bằng chứng trên Mạng như trên các Website,  từ các dấu vết xâm nhập của Malware ... để tìm ra các  chứng cứ pháp lý về hoạt động của các đối tượng trên  mạng. • Việc thực hiện pháp chứng mạng cũng cần thiết cho  cả những người làm quản trị mạng.
  4. Nhiệm vụ bảo vệ không gian Mạng
  5. Một số khác biệt với Pháp chứng máy tính • Khác biệt với Pháp chứng máy tính truyền thống • Điều tra thông qua một quá trình xây dựng lại một  sự kiện mạng  • Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố  khác như một mạng không rõ nguyên nhân hoặc cơ sở  hạ tầng xuống cấp hoặc bị cúp điện. • Cung cấp các mảnh còn thiếu trong phân tích pháp  chứng • Dựa trên việc sử dụng các phần mềm chụp lại các  tập tin khi có sự cố Mạng • Một cách nhìn mới về phân tích dấu vết tập tin • Tiếp tục cùng phương thức  xử lý sự cố  truyền thống
  6. Các hướng điều tra của Pháp chứng mạng • Hướng điều tra liên quan đến an toàn mạng: khi giám  sát một mạng máy tính có lưu lượng truy cập bất thường  và xác định sự xâm nhập.  • Một kẻ tấn công có thể có thể có khả năng xóa tất cả  các tập tin đăng nhập trên một máy chủ bị tấn công, do  vậy bằng chứng dựa trên lưu lượng mạng có thể là  bằng chứng duy nhất để phân tích pháp chúng. • Hướng điều tra liên quan đến thông tin tội phạm trên  mạng: Trong trường hợp phân tích các gói tin thu được có  thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển  giao, tìm kiếm cho các từ khóa và phân tích thông tin liên  lạc như email hoặc các buổi trò chuyện.
  7. Các câu hỏi với Pháp chứng viên • Ai là kẻ xâm nhập và làm thế nào họ thâm nhập  vào các biện pháp phòng ngừa an ninh hiện hành? • Những gì thiệt hại đã xảy ra?  • Những kẻ xâm nhập sau khi rời khỏi hệ thống  mạng đã để lại điều gì trên hệ thống như một tài  khoản người dùng mới, một Trojan hoặc Worm  hoặc phần mềm Bot?  • Chúng ta đã nắm bắt được đầy đủ dữ liệu để  phân tích và mô phỏng lại cuộc tấn công và minh  xác cho việc sửa chữa?
  8. E­Detective
  9. Các quá trình ứng phó sự cố mạng • Việc sử dụng thông tin các bản ghi tường lửa, các  bản ghi hệ thống, và các bản ghi trên các thiết bị  mạng có liên quan đến một thời gian truy cập, địa  điểm, và địa chỉ IP cho phép xác định sự kiện liên  quan đến an toàn mạng. • Pháp chứng viên có thể thông qua giám sát lưu  lượng mạng để có thể cô lập số lượng máy chủ  để đưa cho triển khai pháp chứng máy tính.
  10. Điều tra với các kỹ thuật thông thường
  11. Điều tra với phần mềm giám sát lưu lượng mạng • Phần mềm giám sát lưu lượng và phân tích mạng cho  phép kiểm tra và đánh giá thực tế chuyển động các  gói tin  để hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái  tạo lại một phiên làm việc. • Phân tích pháp chứng các gói tin với các chức năng của nó  nhằm phân tích được lịch sử thời gian để giải quyết các  vấn đề có liên quan đến  các ứng dụng và việc cung cấp  dịch vụ. • Phòng chống sự cố trong không gian số cho phép một sự  hiểu biết về bối cảnh của một phiên làm việc để xác định  điểm vào, đường dẫn và ứng dụng thực hiện và các thành  phần mạng liên quan.
  12. Điều tra với các kỹ thuật phân tích mạng
  13. Pháp chứng Mạng và giao thức Mạng • Người Pháp chứng viên khi tiến hành điều tra trên  Mạng cần hiểu biết rõ giao thức của Mạng mà  mình đang điều tra. • Các thông tin cần hiểu biết: • Cấu trúc các gói tin của các tầng giao thức • Các giao thức của bộ giao thức trong mạng • Các quy trình hoạt động  •  Người Pháp chứng viên cần sử dụng thành thạo  các công cụ nhằm tìm được các bằng chứng số  liên quan đến yêu cầu của mình.
  14. Giao thức TCP/IP • TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải  (Transmission Control Protocol ­ TCP) và Giao thức  Internet (Internet Protocol ­ IP).  • Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối  với Internet như thế nào và dữ liệu được truyền tải ra sao  giữa chúng. • Hiện nay giao thức TCP/IP  có thể dùng trong mạng LAN,  mạng WAN và mạng Internet. • Số lượng tội phạm Công nghệ cao dùng máy tính với giao  thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng  để truy cập vào Internet
  15. Mạng với giao thức TCP/IP
  16. Địa chỉ IP  • Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử  dụng để nhận diện và liên lạc với nhau trên Mạng  TCP/IP. • Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên  Mạng TCP/IP mà Pháp chứng viên cần quan tâm. • Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động • Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua  Access Point: Tại các nơi công cộng, hay công ty có nhiều  máy tính, nhưng chỉ dùng một đường truyền Internet, tất  cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP  tĩnh khi kết nối với mạng Internet.  • Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính  dùng chung địa chỉ IP tĩnh và động.
  17. Cấu trúc gói IP
  18. DHCP Server
  19. Cấu trúc gói Ethernet
  20. Các công cụ dùng điều tra với các gói tin  trong mạng TCP/IP • Người Pháp chứng viên cần hiểu yêu cầu mình  muốn, các thông số nào mình cần biết. • Xác định mục đích khi thu thập thông tin làm gì  như: thu thập chứng cứ pháp lý, hoặc phát hiện  xâm nhập. • Xác định yêu cầu phân tích dữ liệu dựa trên các  gói tin TCP/IP thu thập được. • Các công cụ pháp chứng mạng như:  Tcpdump/windump, Wireshark

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản