Bài giảng Pháp chứng kỹ thuật số: Bài 6 - TS. Đàm Hồng Hải

Ậ Ố

Ứ

Ỹ

PHÁP CH NG K  THU T S

ộ

ạ i ph m M ng ­ Pháp

ề ạ

ứ

ạ Bài 6: Đi u tra t ch ng M ng máy tính

ả ồ ả Gi ng viên: TS. Đàm Quang H ng H i

ứ

ạ

ứ Pháp ch ng M ng máy tính và pháp ch ng  ậ ố ỹ k  thu t s

ạ

ủ

ứ

Pháp ch ng M ng là gì? ỹ ộ ạ • Pháp ch ng m ng là m t nhánh c a pháp ch ng k

ạ

ứ ứ ậ ố thu t s  liên quan:  • Theo dõi và phân tích l u l

ng trên m ng máy tính, do l u

ư ượ ạ ề

ẽ ấ

ề

ư ng truy n m ng s  m t sau khi truy n nên

ng trên đ ộ

ườ ộ

ủ ộ

ớ

ờ

ượ l đây là m t cu c đi u tra v i th i gian ch  đ ng.

ụ

ậ

ậ

ề ệ

• Theo dõi và phát hi n xâm nh p cho m c đích thu th p hay

phá ho i thông tin.

ạ ậ

ạ

ằ

ư

ế

ấ ứ

ứ ậ ủ ạ ộ

ủ

ề

ế

ầ

• Vi c th c hi n pháp ch ng m ng cũng c n thi

t cho

ạ ị ạ

ệ ườ

ứ ả

• Thu th p các b ng ch ng trên M ng nh  trên các Website,  ể ừ  các d u v t xâm nh p c a Malware ... đ  tìm ra các  t ố ượ ứ ch ng c  pháp lý v  ho t đ ng c a các đ i t ng trên  m ng.ạ ự ệ ả ữ c  nh ng ng

i làm qu n tr  m ng.

ụ ả

ệ

ạ

ệ Nhi m v  b o v  không gian M ng

ứ t v i Pháp ch ng máy tính

ề ệ ớ

ự ạ ố t v i Pháp ch ng máy tính truy n th ng ộ i m t

ậ

ộ

ệ

ạ

ộ ố ệ ớ M t s  khác bi ứ • Khác bi ộ ề • Đi u tra thông qua m t quá trình xây d ng l ự ệ s  ki n m ng  • Khi M ng b  xâm nh p b i m t "Hacker", hay có s  c   ạ ự ố ở ị ặ ơ ở ư ộ khác nh  m t m ng không rõ nguyên nhân ho c c  s   ố ạ ầ h  t ng xu ng c p ho c b  cúp đi n.

ạ ấ ả

ế

ấ

ặ ị • Cung c p các m nh còn thi u trong phân tích pháp

• D a trên vi c s  d ng các ph n m m ch p l

ế ậ

ấ

ệ ử ụ ề ầ ụ ạ i các

ứ

ự ố ử ng th c  x  lý s  c

ộ ế ụ ề

ố

ch ngứ ự ậ t p tin khi có s  c  M ng • M t cách nhìn m i v  phân tích d u v t t p tin • Ti p t c cùng ph truy n th ng

ự ố ạ ớ ề ươ

ạ

ề

ướ

ộ

ườ

Các h ướ • H ng đi u tra liên quan đ n an toàn m ng ấ

ứ ng đi u tra c a Pháp ch ng m ng ạ : khi giám  ề ậ ạ ng truy c p b t th ng

ậ

ả

ủ ế ư ượ sát m t m ng máy tính có l u l ự ị và xác đ nh s  xâm nh p.  • M t k  t n công có th  có th  có kh  năng xóa t ộ ẻ ấ ể ậ

ủ ị ấ ạ

ứ

ể

ằ

ng m ng có th  là

ậ ự ấ ể

ấ ả ể t c   ộ các t p tin đăng nh p trên m t máy ch  b  t n công, do  ư ượ ậ v y b ng ch ng d a trên l u l ằ b ng ch ng duy nh t đ  phân tích pháp chúng. ướ

ứ ề

ộ

ế

• H ng đi u tra liên quan đ n thông tin t

ườ

ợ

ạ ng h p phân tích các gói tin thu đ

i ph m trên  ượ c có  ể

ể

ệ

ậ

ồ

ừ

ư

ệ

ặ

m ngạ : Trong tr ụ ư ố th  bao g m các nhi m v  nh  n i ghép t p tin chuy n  ế giao, tìm ki m cho các t  khóa và phân tích thông tin liên  ổ ạ l c nh  email ho c các bu i trò chuy n.

ỏ ớ

ứ

Các câu h i v i Pháp ch ng viên

ọ ậ ậ ẻ

ệ ệ

• Ai là k  xâm nh p và làm th  nào h  thâm nh p  vào các bi n pháp phòng ng a an ninh hi n hành? ả

ệ ạ

ẻ ỏ ệ ố

ữ ữ ạ ư ộ ậ ề ế ừ t h i đã x y ra?  • Nh ng gì thi ờ • Nh ng k  xâm nh p sau khi r i kh i h  th ng  ệ ố i đi u gì trên h  th ng nh  m t tài

ặ ộ

i dùng m i, m t Trojan ho c Worm  ề ắ

ộ ấ ạ ể c đ y đ  d  li u đ   i cu c t n công và minh

ắ ượ ầ ủ ữ ệ ỏ ữ ể ạ m ng đã đ  l ớ ườ ả kho n ng ầ ặ ho c ph n m m Bot?  • Chúng ta đã n m b t đ phân tích và mô ph ng l ệ ử xác cho vi c s a ch a?

E­Detective

ự ố ạ

ứ

Các quá trình  ng phó s  c  m ng

• Vi c s  d ng thông tin các b n ghi t

ả ườ ng l a, các

ả ệ ố

ế ờ

ệ ử ụ ả ạ ể ỉ ị

ạ

ư

ế ứ ạ ậ ố ượ ng m ng đ  có th  cô l p s  l ủ ng máy ch

ể ể ứ ử ế ị t b   b n ghi h  th ng, và các b n ghi trên các thi ị ậ ộ m ng có liên quan đ n m t th i gian truy c p, đ a  ự ệ ị đi m, và đ a ch  IP cho phép xác đ nh s  ki n liên  quan đ n an toàn m ng. ể • Pháp ch ng viên có th  thông qua giám sát l u  ể ượ l ể ư đ  đ a cho tri n khai pháp ch ng máy tính.

ề

ậ

ớ

ỹ

ườ

Đi u tra v i các k  thu t thông th

ng

ư ượ

ầ

• Ph n m m giám sát l u l

ề ể

ng và phân tích m ng cho  ự ế

ể

ộ

ạ  chuy n đ ng các  gói tin

ụ

ứ

ặ

ị

ụ ể ệ

ộ

phép ki m tra và đánh giá th c t ể ể đ  hi u các  ng d ng c  th  giao d ch ho c cho phép tái  ạ ạ t o l

i m t phiên làm vi c.

ủ

ớ

• Phân tích pháp ch ng các gói tin v i các ch c năng c a nó

ằ

ứ ượ ị ế

ụ

ấ

ứ ế ể ả ử ờ i quy t các  c l ch s  th i gian đ  gi nh m phân tích đ ệ ứ ề ấ v n đ  có liên quan đ n  các  ng d ng và vi c cung c p  ụ ị d ch v .

ố

ộ ự • Phòng ch ng s  c  trong không gian s  cho phép m t s   ị

ủ

ộ

ệ ể ệ

ụ

ứ

ự

ố t v  b i c nh c a m t phiên làm vi c đ  xác đ nh  ng d n và  ng d ng th c hi n và các thành

ạ

ự ố ế ề ố ả ể hi u bi ể ẫ ườ đi m vào, đ ầ ph n m ng liên quan.

ư ượ ề ề ầ ớ ạ Đi u tra v i ph n m m giám sát l u l ng m ng

ề

ậ

ạ

ớ

ỹ

Đi u tra v i các k  thu t phân tích m ng

ứ

ứ

ạ ứ

i Pháp ch ng viên khi ti n hành đi u tra trên

Pháp ch ng M ng và giao th c M ng ườ • Ng ạ

ạ ề ạ

ế ứ ủ t rõ giao th c c a M ng mà

ể ề ế ầ M ng c n hi u bi mình đang đi u tra.

ầ ể ế t:

ấ

ầ ứ

•

ứ ủ ộ ạ ộ

ườ i Pháp ch ng viên c n s  d ng thành th o

ượ ứ ạ ầ ử ụ ố ằ c các b ng ch ng s

• Các thông tin c n hi u bi • C u trúc các gói tin c a các t ng giao th c ứ ủ • Các giao th c c a b  giao th c trong m ng ạ • Các quy trình ho t đ ng  ứ  Ng ụ ằ các công c  nh m tìm đ ế liên quan đ n yêu c u c a mình.

ầ ủ

ứ Giao th c TCP/IP

ộ

ứ ớ

ứ

ể

ề ả

i

• TCP/IP là b  giao th c v i Giao th c ki m soát truy n t (Transmission Control Protocol ­ TCP) và Giao th c ứ Internet (Internet Protocol ­ IP).

ứ

ề ả

c truy n t

ế ố ị • B  giao th c TCP/IP quy đ nh c  th  các máy tính k t n i  i ra sao

ể

ạ

• Hi n nay giao th c TCP/IP  có th  dùng trong m ng LAN,

ứ ạ

m ng WAN và m ng Internet. ệ

ạ

ộ

ớ

ng t

ấ ớ

ệ

ể

ạ

ặ

i ph m Công ngh  cao dùng máy tính v i giao  t là dùng

ậ

ụ ể ộ ữ ệ ượ ư ế ớ v i Internet nh  th  nào và d  li u đ ữ gi a chúng. ệ ạ ố ượ • S  l ậ ứ th c TCP/IP đ  truy c p M ng là r t l n đ c bi ể đ  truy c p vào Internet

ứ

ạ

ớ

M ng v i giao th c TCP/IP

ị

ỉ

Đ a ch  IP

ữ

ử • Đ a ch  IP là m t đ a ch  đ n nh t mà nh ng máy tính s

ậ

ộ ị ệ

ấ ạ ớ

ạ

ỉ ơ ị ỉ ể ụ d ng đ  nh n di n và liên l c v i nhau trên M ng  TCP/IP. ỉ

ộ ấ

• Đ a ch  IP là m t d u v t s  quan tr ng trong đi u tra trên

ế ố ề ứ M ng TCP/IP mà Pháp ch ng viên c n quan tâm.

ỉ

ị

ị

ộ

ọ ầ ỉ

ị ạ ị ị

ỉ ỉ

ộ

ứ

ấ ơ

ư

ề

ỉ

ộ ị

ế ố ớ

ị ạ

• Đ a ch  IP có đ a ch  IP tĩnh và đ a ch  IP đ ng ằ • Đ a ch  IP đ ng cung c p b ng giao th c DHCP thông qua  ộ ề ạ Access Point: T i các n i công c ng, hay công ty có nhi u  ộ ườ ấ ng truy n Internet, t t  máy tính, nh ng ch  dùng m t đ ỉ ộ ỉ ả c  các máy tính dùng đ a ch  IP đ ng chung m t đ a ch  IP  tĩnh khi k t n i v i m ng Internet.

ề

ệ

ỉ

ị

ể • Vi c đi u tra đ a ch  IP có th  có khó khăn do các máy tính

ộ

ị

ỉ dùng chung đ a ch  IP tĩnh và đ ng.

ấ

C u trúc gói IP

DHCP Server

ấ

C u trúc gói Ethernet

ụ

ớ

ứ ầ

ề Các công c  dùng đi u tra v i các gói tin  trong m ng TCP/IP • Ng

ạ ầ i Pháp ch ng viên c n hi u yêu c u mình

ế ườ ố ể ầ ố mu n, các thông s  nào mình c n bi t.

ị ậ

• Xác đ nh m c đích khi thu th p thông tin làm gì  ứ nh : thu th p ch ng c  pháp lý, ho c phát hi n  xâm nh p.ậ ị

ứ ư ụ ậ ệ ặ

ầ

• Các công c  pháp ch ng m ng nh :

ữ ệ ự • Xác đ nh yêu c u phân tích d  li u d a trên các  ậ ượ c. ạ ứ gói tin TCP/IP thu th p đ ụ ư

Tcpdump/windump, Wireshark

TCP/IP Packet sniffer

SPAN port

ự ộ

• Switched Port Analyzer port ấ • Cho phép c u hình đ  Switch t

đ ng sao chép các gói tin

ộ ổ

ế

ạ

ổ

ượ ọ

ổ

ể i gi a các c ng đ n m t c ng đ

c g i là c ng

ữ qua l giám sát (SPAN port ).

ệ ố

ẽ ầ

ầ

ề ả ượ ế ố ớ

ể

ể

• Các ph n m m sniffer hay các h  th ng phân tích s  c n  c k t n i v i m t SPAN port đ  có th  xem xét

ph i đ ưọ ư ượ c l u l đ

ộ ng qua Switch

ớ

Switch v i SPAN port

ắ

ằ B t gói tin b ng Sniffer

• Sniffer là m t ch

ộ ươ ư ng trình cho phép nghe các l u

ạ

ộ ệ ố t b  cho phép nghe lén trên

l • T đ

ụ ộ ấ ỳ ư ượ ằ ạ ẽ ng thông tin trên m t h  th ng m ng. ế ị ự ư  nh  là thi ng t ạ ệ ng dây đi n tho i.  • Vi c b t gói tin b ng Sniffer là th  đ ng và  ạ ng m ng  ng s  không t o ra b t k  l u l

ượ ươ ườ ệ ắ ườ th nào.

ậ

ạ

M ng cho phép Sniffer thu th p thông tin

ứ ử ụ

Các ph • Các ph

ng th c s  d ng Sniffer  ng th c

ươ ươ ể

ồ

ữ ể

ộ i và r i ghi vào thi

ế ị ư

ộ ượ

t b  l u

ế ậ ườ

ữ tr , th

ớ ầ ng l n thi ng s  d ng các h  th ng RAID.

ươ

ng th c

ỗ ỉ ộ

ứ "Catch­it­as­you­can": T t c  các  ấ ả ề ượ ắ ể c b t  gói chuy n qua m t đi m traffic nào đó đ u đ ế ế ị ư ạ t b  l u tr  đ  sau đó ti n hành  l phân tích.  • Cách ti p c n này yêu c u m t l ệ ố ử ụ ứ "Stop, look and listen": M i gói tin  ộ c phân tích s  b  ngay trong b  nh , ch  m t vài

ượ ư

ữ

ớ c l u tr  cho quá trình phân tích

ế ị ư

ế ậ

ầ

ơ

ữ ơ

• Các ph ơ ộ ượ đ thông tin nào đó là đ sau này.  • Cách ti p c n này yêu c u thi ư t b  l u tr  ít h n nh ng  ể ử ể ố ộ i c n các processor có t c đ  nhanh h n đ  có th  x

ạ ầ l ế lý h t các traffics đi vào.

ề

ứ ụ ắ

Phân tích gói tin trong đi u tra ệ • Phân tích gói tinlà vi c nghe các gói tin và phân  ả  quá trình b t và khôi ph c

ể ề ằ ạ ơ ị

ễ ạ tích giao th c, mô t đ nh d ng thông tin nh m hi u rõ h n đi u gì đang  di n ra trên m ng.

ể ứ

• Phân tích gói tin có th   giúp Pháp ch ng viên hi u  ở

ạ ị

ỉ

ể ể ạ

ạ ứ ể

ả ấ

ượ ả ụ ứ ậ ể ạ ấ ạ c u t o m ng, ai đang   trên m ng, xác đ nh ai  ữ ử ụ ặ ho c cái gì đang s  d ng băng thông, ch   ra nh ng  ệ ử ụ ờ th i đi m mà vi c s   d ng m ng đ t cao đi m,  ỉ • Phân tích gói tin có th   giúp Pháp ch ng viên ch    ạ ra các kh   năng t n công và các hành vi phá ho i,  và tìm ra các  ng d ng không đ c b o m t.

ứ

ề ể

Pháp ch ng viên phân tích gói tin • Đi u tra  viên ti n hành phân tích gói tin đ  xác

ể ượ ấ ị

c c u trúc và  ứ ứ ể ố

ề ế đ nh các gói tin liên quan và hi u đ ậ m i quan h  c a chúng đ  thu th p ch ng c  và  ạ t o đi u ki n phân tích sâu h n.

• Ki m tra n i dung siêu d  li u (thông tin mô t

ơ ữ ệ

ể ộ ủ ặ ộ ả   ề ệ ủ ệ ộ ủ ơ ở ữ ệ

• Ti n hành xác đ nh các gói tin liên quan và phát  ng và

n i dung c a c  s  d  li u) c a m t ho c nhi u  gói tin. ế ể ư ượ c đ  phân tích l u l

ị ộ tri n m t chi n l ạ ộ ự xây d ng l ế ượ ể ủ i n i dung c a gói tin.

ỹ

ậ

ế ỹ

Các k  thu t phân tích gói tin ậ ơ ả • Có ba k  thu t c  b n khi ti n hành phân tích gói

ị

ằ

• Parsing Protocol Fields (phân tích các thành

ắ ượ tin: • Pattern Matching (theo mô hình): xác đ nh các  ị gói tin liên quan b ng cách k t h p các giá tr   ụ ể c  th  trong các gói tin b t đ ế ợ c.

ầ ủ ộ

ứ ự ứ ph n giao th c): rút trích ra n i dung c a các  giao th c trong các lĩnh v c.

• Packet Filtering (l c gói tin)­  l c các gói riêng

ọ

ầ ọ ị ủ ệ ự t d a trên giá tr  c a các thành ph n trong

ữ ệ bi siêu d  li u.

Pattern Matching ­ theo mô hình

ố ứ

• Gi ng nh  trong pháp ch ng máy tính, các thông  c

ư ế ượ

ậ ả ế tin tìm ki m nh y c m "dirty word search" đ dùng đ  tìm ki m các d  li u quan tâm.

• Thi

ể ế ậ ậ ả ỗ ộ

ượ ế ờ

• Các nhà đi u tra có th  t n d ng các thông tin

ữ ệ t l p m t danh sách các chu i nh y c m  ể ư (“dirty word list") nh  tên, mô hình, vv, có th  liên  ề ạ ộ c đi u  quan đ n các ho t đ ng đáng ng  đang đ tra.

ề ề ộ ể ị

ộ ư

ạ ể ậ ụ chung v  m t "dirty word list" đ  xác đ nh các gói  ữ ệ d  li u ho c d  li u c n quan tâm trong m t  l u  ượ l ặ ữ ệ ầ ắ ượ c. ng m ng b t đ

ụ

ộ Ví d  phân tích mã đ c

ứ

ầ

Phân tích các thành ph n giao th c

ứ

ầ

ộ

• Phân tích các thành ph n giao th c là tìm ra các n i

ệ

dung công vi c trong các gói tin liên quan.  ấ ấ ả

ụ ử ụ

ể

t c  các thông

ệ ừ

gói b t đ

đi p t

• Ví d  s  d ng tshark đ  trích xu t t ắ ượ . c

ệ ệ ạ

Dùng Sniffer phát hi n vi c download qua m ng  MSBlaster Worm

ự ụ ị ậ ạ

D a trên các gói tin ghi nh n, khôi ph c đ nh d ng  MSBlaster Worm

ệ ệ ễ ấ

ị Phát hi n vi c máy tính b  nhi m worm t n công các  máy khác trong m ng ạ

ọ

L c gói tin

• L c gói là ph

ọ

ự ứ

ệ

ọ

ặ

ươ ị ủ giá tr  c a các tr ặ ả ọ li u ho c t ườ • Thông th ằ ể ộ ọ ị ng pháp tách gói d a trên các  ữ ườ ng trong giao th c  siêu d   i tr ng.  ứ ng, các Pháp ch ng viên l c các  ộ ọ ử ụ gói tin b ng cách s  d ng b  l c BPF ho c  b  l c hi n th  Wireshark

ậ

ề

ụ

ặ ậ

ấ ượ

ử ộ ừ ể ộ  đi n r ng l n.

ậ ự ằ ộ ơ ế v ẩ ậ khóa mã hay m t kh u trong m t t ậ ằ

ọ

ẩ ấ Ví d : đi u tra t n công m t kh u ộ ỹ ẩ • T n công m t kh u là m t k  thu t phá mã ho c  t qua m t c  ch  xác th c b ng cách th  các  ớ • K  thu t t n công m t kh u t n công b ng cách  ừ  trong m t danh sách dài g i là t

ỹ ậ ấ ử ấ ả t c  các t th  t ượ ể đi n (đ ấ ẩ

ườ ấ ấ ng xu t phát t

ừ ẩ ấ ừ ộ ị ướ ẩ c chu n b  tr c).  ả ề ử ậ • T n công m t kh u th  trong vùng có nhi u kh   ừ ộ  m t  năng thành công nh t, th danh sách các t ví d  nh  m t t đi n

• Có th  dùng Sniffer đ  phân tích các gói tin  ề

ụ ư ộ ừ ể ể

ể ư ượ và l u l ng khi đi u tra.

ứ ễ ị ấ

ẩ

ậ

Các giao th c d  b  t n công m t kh u

• Hi n có nh ng giao th c d  b  t n công do g i

ử ữ

ạ ẩ

ệ ứ ễ ị ấ ậ m t kh u không mã hóa qua m ng • Internet  ­ HTTP / NNTP  • File transfer ­ FTP / TFTP  • Email ­ POP3 / IMAP / SMTP • Network Monitoring ­ SNMP / RMON • Telnet • VoIP – Signaling Set­up (SIP, Megaco, SCCP,

H.323, and Others?

ữ

ẩ

ườ

ễ ị

ậ Nh ng m t kh u th

ng dùng d  b  đoán

Gói tin có thông tin không mã hóa

ộ ộ ọ ơ ả ừ ặ M t b  l c đ n gi n cho các t

ầ USER ho c  ấ

ứ ử ụ ẩ ậ PASS vào đ u gói tin (byte 54 ­59) tìm th y các giao  ạ th c s  d ng m t kh u d ng rõ ràng

ệ ấ

ẩ

ậ

ớ

Phát hi n t n công m t kh u v i FTP

ớ ố

ứ

ậ

Ch ng c  s  do Sniffer thu th p

• B ng thông tin l u l

ng c a h  th ng cho phép Pháp

ằ ứ

ư ượ ể

ề

ả

ắ

ạ ộ

ủ ệ ố

ạ

ộ ấ

ệ

ự

ệ

ạ

ứ

ệ

ậ

ủ ệ ố ấ ữ ch ng viên có th  phân tích nh ng v n đ  đang m c ph i  trong ho t đ ng c a h  th ng m ng. ả ể ự ộ • Sniffer có th  t  đ ng phát hi n và c nh báo các cu c t n  ệ ố ượ công  đang  đ c th c hi n vào h  th ng m ng mà nó  ạ ộ đang ho t đ ng (Intrusion Detecte Service) qua đó Pháp  ứ ố ch ng viên có th  tri n khai vi c thu th p ch ng c  s .

ề

ể

ứ ữ ệ

i thông tin v  các gói d  li u, các

ề

ể ể ạ ng t

ự ư ộ ể

ứ

ề

ủ  nh  h p đen c a máy bay, giúp  i thông tin v  các gói

ạ ự ố

ề

• Sniffer có th  ghi l ươ phiên truy n. T các Pháp ch ng viên có th  xem l ữ ệ d  li u, các phiên truy n sau s  c …

ụ

ứ

ử ụ Pháp ch ng viên s  d ng công c  Sniffer

ố

ế ộ ầ ng m ng và Sniffer là m t trong

ữ ứ ế ư ượ quan đ n l u l ụ ầ nh ng công c  c n thi

ứ

ụ ụ ệ ắ

ạ

• Pháp ch ng viên c n các thông tin th ng k  liên  ạ ế t. ụ ể ử ụ • Pháp ch ng viên có th  s  d ng Sniffer còn ph c  ự ố v  cho công vi c phân tích, kh c ph c các s  c   ệ ố trên h  th ng m ng. ể ử ụ ạ

ề

ự ố ạ ư ệ

• Có th  s  d ng các tính năng  Sniffer khi đi u tra  nhi u d ng s  c  m ng nh  phát hi n các gói tin  ch a thông tin nguy hi m

ề ứ ể

ứ ệ

ề ệ ồ ố

Dùng Sniffer phát hi n các gói tin ch a thông tin  ể nguy hi m v  Malware , qua đó phát hi n ngu n g c  ấ t n công

ề

ằ

ấ

Đi u tra t n công b ng botnet

ề ầ ch  m t t p h p các robot ph n m m

• Botnet là t ặ ộ • M t ch

ừ ỉ ộ ậ ạ ộ ho c các bot ho t đ ng m t cách t ỉ ươ ợ ự ủ ộ  ch . ng trình ch  huy botnet (botnet's

ể ề ộ ườ ừ

ườ ẳ ươ ng là qua m t ph ằ ng là nh m các m c

ể ả originator hay bot herder) có th  đi u khi n c   ệ  xa, th ng ti n  nhóm bot t ụ ư ạ ch ng h n nh  IRC, và th ấ đích b t chính.

• M i bot th 1459 (IRC).

ườ ạ ẩ ẩ ỗ ng ch y  n và tuân theo chu n RFC

ươ

ể ả ừ ộ ỉ M t ch ể ề hay bot herder) có th  đi u khi n c  nhóm bot t ng trình ch  huy botnet (botnet's originator   xa

ứ ệ

Dùng Sniffer phát hi n các gói tin ch a thông tin liên  ế quan đ n Botnet

ự ụ ị ậ ạ

ể ệ D a trên các gói tin ghi nh n, khôi ph c đ nh d ng  thông tin đ  phát hi n bot

ụ

ủ ẩ

Các công c  Sniffer  ả ầ • Sniffer đ u tiên là s n ph m c a Network

ớ Associates v i tên là Sniffer Network Analyzer

ấ ề ụ

ụ

ụ

ề

ượ ụ ụ ế

ạ

ỗ ợ ệ năng m nh h  tr  vi c phân tích. ả ể

ệ

ạ

ả

ả

ạ ộ ự

ườ

ớ ng dùng v i tcpdump

ệ ề

ự

• Kismet: hi u qu  đ  Sniffer gói tin trên m ng Wireless. • Ettercap: ho t đ ng hi u qu  và b o m t ậ ệ • NetStumbler: th c hi n Sniffer trên chu n 802.11 ẩ ệ • Ngrep: tính năng l c t ọ ố t và th • KisMAC: th c hi n Sniffer trên h  đi u hành Mac OS  ệ

X.

ư ể c phát tri n nh : • Có r t nhi u công c  Sniffer đ • tcpdump/windump: công c  c  vi t trên linux/windows • Wireshark (Ethereal): công c  thông d ng và nhi u tính

tcpdump/windump

•

ầ

ề

ồ

ở

ầ

ế

ượ

c vi

t vào năm 1987

ạ

i

•

ừ

c các chuyên gia trên kh p

ệ ỡ ố

ắ i tín nhi m v  s  h u d ng trong vi c g  r i và

ụ ượ ề ự ữ ụ ạ

ậ

ấ

•

ả ệ ố

ọ

ữ ệ ư

ể

ộ tcpdump (www.tcpdump.org) là m t trong các ph n m m  mã ngu n m  sniffer đ u tiên. Nó đ ở b i Van Jacobson, Craig Leres, và Steven McCanne t ệ Phòng thí nghi m Lawrence Berkeley. tcpdump đã t ng là công c  đ ệ ế ớ th  gi ề ế ố ể ki m tra v n đ  k t n i m ng và b o m t . ề ầ tcpdump là ph n m m trên các h  th ng có h  Unix  bao  ồ g m Linux, Solaris, AIX, Mac OS X, BSD, and HP UX,   dùng đ  theo dõi các gói d  li u l u thông qua Card  m ng.ạ

ủ

ả

ạ • Windump là phiên b n ch y trên Windows c a tcpdump.

ủ Cú pháp c a tcpdump

ử ụ

S  d ng tcpdump/windump

•

ầ

ạ

ề

ệ

ể

ữ c và ghi vào file

ệ

ắ ượ

ặ ị

ể ắ

ầ

• Tcpdump m c đ nh đ  n m b t đ

ậ ể ắ

ặ

ắ c mã hóa ho c ghi l

ượ ữ

ẩ ư

ế

ằ tcpdump là ph n m m ch y b ng dòng l nh, dùng đ  theo  ệ ư ạ dõi băng thông m ng thông qua vi c l u tr  các gói tin  ể ắ ượ ề ả i mà máy có th  b t đ (packet) truy n t ề ể ụ ụ đ  ph c v  công vi c phân tích và đi u tra. c 68 bytes đ u tiên  ạ ệ ộ ủ ấ ả ư ượ ng truy c p cho m t giao di n m ng.  c a t t c  l u l ườ ấ ữ ề i dùng và  Đi u này r t h u ích đ  n m b t các ID ng ế ạ ấ ả ậ m t kh u không đ t c  các k t  i t ộ ế ố n i, nh ng không h u ích n u ta đang quan tâm đ n n i  dung các gói tin trên m ng.ạ

ộ ố ạ

ế ủ

M t s  h n ch  c a tcpdump/windump

•

ằ

ầ ả

ườ ử ụ

ọ

ề t t

t c  các tùy ch n đ  sàng

ầ i s  d ng c n ph i bi

ạ ế ấ ả ậ

ậ

ữ ệ ụ ể ườ

•

ữ

c nh ng gói

i dùng. ể ử

ấ ượ ặ

ượ

ệ tcpdump/windump là ph n m m ch y b ng dòng l nh.  ể Ng ệ ọ l c các gói d  li u c  th , vì v y không có giao di n  ệ thu n ti n cho ng tcpdump/windump có th  không nhìn th y đ ở ườ ị ặ tin b  ch n b i t ng l a gateway, router, ho c Switch.  ặ ể ạ ệ • Các Switch hi n đ i có th  ngăn ch n các máy tính nhìn  ả ấ ấ ả ư ượ c dành cho nó ngay c

ng không đ

t c  l u l

ạ

ở ế ộ ỗ ạ

ch  đ  h n t p

th y t khi m ng  (promiscuous mode).

ụ

Công c  Wireshark

• Wireshark hi n là m t trong nh ng ph n m m  ạ

ệ ề ộ

ữ ổ ế ầ ấ ứ

ế phân tích giao th c m ng ph  bi n nh t trên th   gi i. ớ

ạ ẽ ộ ộ ầ ề ả

ồ ả

ạ • Wireshark có m t b  tính năng phong phú và m nh  ế m  và ch y trên h u h t các n n t ng máy tính  bao g m c  Windows, OS X, Linux, và UNIX. ạ ộ ộ

• Wireshark là m t b  phân tích gói d  li u m ng có  c s  d ng đ  b t các gói tin m ng và hi n

ữ ệ ạ ể

ể ắ ữ ệ ủ ể ượ ử ụ th  đ ố ị th  các thông s  và d  li u c a gói tin.

ự ượ ỗ ợ ở

Các giao th c đ

c h  tr  b i WireShark

• WireShark có  u th  v ứ

ư

ả t tr i v  kh  năng h  tr    ừ ữ

ạ ữ ư ế

ổ ế ư ỗ ợ ế ượ ộ ề ạ ả  nh ng lo i  các giao th c (kho ng 850 lo i), t ệ ạ ặ t  ph  bi n nh  TCP, IP đ n nh ng lo i đ c bi nh  là AppleTalk và Bit Torrent.

• Wireshark đ

ượ

ể ớ ẽ ượ ộ ở ữ ồ c phát tri n trên mô hình mã ngu n  ủ ồ c c ng đ ng c a

ứ m , nh ng giao th c m i s   đ Wireshark thêm vào.

• C ng đ ng c a Wireshark là m t trong nh ng

ữ

ự ộ

ộ ủ ồ ộ ấ ủ ố ồ ộ t và năng đ ng nh t c a các d  án  c ng đ ng t ở ồ mã ngu n m .

ầ ứ

ự

ể

ậ

ọ

L a ch n ph n c ng đ  thu th p thông tin

ượ

Các gói tin đ

ậ c thu th p

ầ ắ

M u s c các gói tin

ắ

ườ

ể

ờ

• Các gói tin các màu s c khác nhau nh  xanh lá cây, xanh  c các

ư i dùng phân bi

ệ ượ t đ

ầ ầ

ấ

da tr i và đen.. , đ  giúp ng ạ lo i traffic khác nhau.  • Màu xanh lá cây là traffic TCP,  • M u xanh da tr i đ m là traffic DNS,  ờ ậ • M u xanh da tr i nh t là traffic UDP  ạ ờ • Màu đen là gói TCP  có v n đ . ề

ầ

ọ

L c gói tin theo yêu c u

ứ ậ

ể ọ • Pháp ch ng viên có th  l c các gói tin thu th p  ầ ủ c theo các yêu c u c a mình. đ

ượ • Ví d : ụ

not (tcp.port == 80) and not (tcp.port == 25) and

ip.addr == 192.168.1.104

ip.addr == 192.168.1.104

ọ

ip.addr == 192.168.1.104

L c gói tin theo

ớ ị

ỉ

Phân tích gói tin v i đ a ch  IP 192.168.1.104

ộ

Xem n i dung gói tin

ế

H t bài 6