intTypePromotion=1

Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:47

0
9
lượt xem
3
download

Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính" bao gồm các nội dung: Điều tra lưu lượng Mạng, hoạt động của mạng Internet, tấn công từ chối dịch vụ, tấn công từ chối dịch vụ, điều tra lưu lượng mạng,... Mời các bạn cùng tham khảo.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

  1. PHÁP CHỨNG KỸ THUẬT SỐ Bài 7: Điều tra lưu lượng trên Mạng  máy tính Giảng viên: TS. Đàm Quang Hồng Hải
  2. Điều tra lưu lượng Mạng  • Phân tích thông kê lưu lượng ngày càng trở nên  quan trọng trong phân tích pháp chứng.  • Sử dụng kỹ thuật pháp chứng dựa trên máy ảo  mẫu, sẽ cho phép điều tra dựa trên  các quá trình  hành động có tương quan với lưu lượng gói tin  được ghi lại. • Ngoài việc dùng để giám sát và cải thiện hiệu  suất, thông tin lưu lượng còn là các chứng cớ số  trong pháp chứng.
  3. Hoạt động của mạng Internet
  4. Ví dụ một mạng máy tính doanh nghiệp
  5. Tấn công từ chối dịch vụ  • Tấn công từ chối dịch vụ gây ra việc ngừng hoạt  động các dịch vụ , chương trình hoặc ngăn chặn  người khác sử dụng dịch vụ hoặc chương trình. • Tấn công từ chối dịch vụ có thể được thực hiện tại  lớp mạng bằng cách gửi một cách có tính toán các gói  tin và phần mềm độc hại làm cho các kết nối mạng  trở nên thất bại. • Tấn công từ chối dịch vụ cũng có thể được thực hiện  ở lớp ứng dụng, các lệnh ứng dụng được trao cho  một chương trình kiểm soát một cách có tính toán làm  cho chúng trở nên vô cùng bận rộn hoặc ngừng làm  việc.
  6. Tấn công từ chối dịch vụ
  7. Ghi nhận tấn công Mạng của NORSE
  8. Điều tra lưu lượng mạng • Định danh và phân loại những loại tấn công như  Dos, DDos, virus, worm theo thời gian thực dựa  vào những sự hành vi thay đổi bất thường trong  mạng.
  9. Phân tích lưu lượng tấn công DDoS
  10. Các thông tin lưu lượng pháp chứng  • Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn  và  đích,  cổng  nguồn  và  đích  (nếu  có),  giao  thức,  ngày, giờ và số lượng dữ liệu truyền đi trong mỗi  dòng. • Bản  ghi  lưu  lượng  là  một  tập  hợp  thông  tin  về  một dòng lưu lượng.  • Hệ thống xử lý  bản ghi lưu lượng
  11. Ví dụ báo cáo lưu lượng 
  12. Thống kê bản ghi lưu lượng
  13. Cảm biến (sensor) • Ghi bằng thiết bị trên mạng: Một số thiết bị như  CISCO Router, Switch, Firewall đã có hỗ trợ việc  tạo ra và ghi dữ liệu mạng. • Cài đặt thiết bị độc lập: Triển khai server ghi bằng  phần mềm xử lý ở bất cứ nơi nào trên mạng mà  có thể bắt thông tin lưu lượng. • Giao thức trao đổi thông tin lưu lượng: NetFlow,  IPFIX, sFlow
  14. Phần mềm cảm biến • ARGUS (Audit Record Generation and Utilization System)  • Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói  bắt từ file. Các công cụ người dùng: sử dụng để thu thập, phân  phối, xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu  đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua  UDP. • YAF (Yet Another Flowmeter):  • Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu  lượng dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP,  UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích  lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng  sử dụng TLS. • Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và  xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow.
  15. Các yếu tố cần xem xét khi đặt cảm biến
  16. Điều chỉnh môi trường • Tận dụng trang thiết bị hiện có: Thay đổi cấu hình  các thiết bị, đảm bảo rằng các chức năng mạng không  bị ảnh hưởng xấu và cũng như bộ thu thập các bản  ghi lưu lượng sẽ vừa đủ. • Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị  mạng, quá trình chuyển đổi này có thể đơn giản hoặc  có thể yêu cầu cấu hình lại nhiều hơn. • Bổ sung các phần mềm cảm biến: Bộ cảm biến độc  lập (như Argus hoặc Softflowd), Pháp chứng viên có  thể lựa chọn để thay thế một nhánh mạng và gửi dữ  liệu đến bộ cảm biến độc lập để thu thập bản ghi  lưu  lượng. 
  17. Giao thức NetFlow • Là  một  Giao  thức  giám  sát  lượng  truy  cập  của  Cisco. Lưu bộ nhớ đệm và xuất các thông tin mật  độ lưu lượng. • Các  gói  tin  “NetFlow  Export”  có  thể  được  truyền  qua UDP, TCP, hoặc thậm chí SCTP. o NetFlow  V.5:  đơn giản  và  được sử  dụng rộng rãi trên  nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ  hỗ  trợ  IPv4,  không  hỗ  trợ  IPv6  và  gói  tin  xuất  phải  được vẫn chuyển qua UDP. o NetFlow  V.9:  được  lựa  chọn  bởi  IETF  làm  cơ  sở  cho  chuẩn  IPFIX,  hỗ  trợ  IPv6  và  xuất  độc  lập  tầng  vận  chuyển.
  18. Ví dụ NetFlow 
  19. Sử dụng giao thức NetFlow • Nhận biết được dấu hiệu hay nguy cơ của những  cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán  virus • Phân tích các ứng dụng mới và ảnh hưởng của  chúng lên hệ thống mạng: nhận dạng các ứng  dụng mạng mới như Voice, Video … • Phát hiện được các sự cố bất thường liên quan  đến đường truyền • Giảm sự quá tải của lưu lượng WAN, Phân chia  băng thông hợp lí cho từng loại dịch vụ mạng khác  nhau
  20. Hoạt động của Netflow • NetFlow hoạt động bằng cách tạo ra một NetFlow  cache trong đó chứa thông tin về tất cả các  luồng(flow) đang hoạt động. • NetFlow cache được xây dựng bằng cách xử lý  packet trong luồng thông qua một đường chuyển  mạch chuẩn.  • Trong 1 luồng, NetFlow ghi lại các packet đầu tiên  và nó sử dụng lại records này cho các packet khác  trong luồng đó cho đến khi luồng đó kết thúc.  • Các records sẽ được lưu trong Netflow Cache.

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản