Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải
Flow-tools: phân tích bản ghi lưu lượng
Bao gồm nhiều công cụ có ích cho việc phân tích pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi.
Flow-nfilter: cho phép người dùng lọc bản xuất lưu lượng dữ liệu dựa theo “sơ khai”.
Flow-dscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, quét cổng, quét máy chủ và các cuộc tấn công từ chối dịch vụ.
47 trang |
Chia sẻ: dntpro1256 | Lượt xem: 814 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính - Đàm Quang Hồng Hải, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Bài 7: Điều tra lưu lượng trên Mạng máy tínhGiảng viên: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐĐiều tra lưu lượng Mạng Phân tích thông kê lưu lượng ngày càng trở nên quan trọng trong phân tích pháp chứng. Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu, sẽ cho phép điều tra dựa trên các quá trình hành động có tương quan với lưu lượng gói tin được ghi lại.Ngoài việc dùng để giám sát và cải thiện hiệu suất, thông tin lưu lượng còn là các chứng cớ số trong pháp chứng.2Hoạt động của mạng Internet3Ví dụ một mạng máy tính doanh nghiệp4Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ gây ra việc ngừng hoạt động các dịch vụ , chương trình hoặc ngăn chặn người khác sử dụng dịch vụ hoặc chương trình.Tấn công từ chối dịch vụ có thể được thực hiện tại lớp mạng bằng cách gửi một cách có tính toán các gói tin và phần mềm độc hại làm cho các kết nối mạng trở nên thất bại.Tấn công từ chối dịch vụ cũng có thể được thực hiện ở lớp ứng dụng, các lệnh ứng dụng được trao cho một chương trình kiểm soát một cách có tính toán làm cho chúng trở nên vô cùng bận rộn hoặc ngừng làm việc.Tấn công từ chối dịch vụ6Ghi nhận tấn công Mạng của NORSE7Điều tra lưu lượng mạngĐịnh danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng.8Phân tích lưu lượng MạngXác định máy chủ bị tổn thươngXác nhận hoặc bác bỏ dữ liệu nhậy cảmHồ sơ nghi phạmPhân tích lưu lượng tấn công DDoS9Các thông tin lưu lượng pháp chứng Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày, giờ và số lượng dữ liệu truyền đi trong mỗi dòng.Bản ghi lưu lượng là một tập hợp thông tin về một dòng lưu lượng. Hệ thống xử lý bản ghi lưu lượngHệ thống xử lý bản ghi lưu lượngCảm biếnThu thậpTổng hợpPhân tích10Ví dụ báo cáo lưu lượng 11Thống kê bản ghi lưu lượng12Cảm biến (sensor)Ghi bằng thiết bị trên mạng: Một số thiết bị như CISCO Router, Switch, Firewall đã có hỗ trợ việc tạo ra và ghi dữ liệu mạng.Cài đặt thiết bị độc lập: Triển khai server ghi bằng phần mềm xử lý ở bất cứ nơi nào trên mạng mà có thể bắt thông tin lưu lượng.Giao thức trao đổi thông tin lưu lượng: NetFlow, IPFIX, sFlow13Phần mềm cảm biếnARGUS (Audit Record Generation and Utilization System) Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt từ file. Các công cụ người dùng: sử dụng để thu thập, phân phối, xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu đầu ra ở định dạng nén Argus, các tập tin đi qua mạng thông qua UDP.YAF (Yet Another Flowmeter): Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng TLS.Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất bản ghi lưu lượng dữ liệu ở định dạng NetFlow.14Các yếu tố cần xem xét khi đặt cảm biến15Sự trùng lặpLàm tăng nguồn cần thiết để phân tích, và gây ra tắc nghẽn mạng trong quá trình tổng hợp.Đồng bộ hóa thời gianNếu thời gian trên một cảm biến không chính xác, rất khó để tương quan lưu lượng được xuất bởi thiết bị này với các thiết bị khác.Lưu lượng ngoài so với bên trongLưu lượng dữ liệu nội bộ có thể giúp xác định các máy trạm bị xâm nhập đang tìm cách lan truyền tới những mục tiêu mới, bao gồm cả bên trong và bên ngoài.Tài nguyênXem lại các biểu đồ mạng một cách cẩn thận và chọn điểm nút thắt mà nó sẽ tối đa hóa khả năng thu thập, trong khi nó vẫn phù hợp với phạm vi ngân sách và khả năng để xử lí và phân tích.Năng lựcViệc kích hoạt xử lí bản ghi lưu lượng và xuất chúng có thể ảnh hưởng đến hiệu suất của thiết bị mạng, đặc biết là nếu nó được sử dụng quá mức.Điều chỉnh môi trườngTận dụng trang thiết bị hiện có: Thay đổi cấu hình các thiết bị, đảm bảo rằng các chức năng mạng không bị ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu lượng sẽ vừa đủ.Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị mạng, quá trình chuyển đổi này có thể đơn giản hoặc có thể yêu cầu cấu hình lại nhiều hơn.Bổ sung các phần mềm cảm biến: Bộ cảm biến độc lập (như Argus hoặc Softflowd), Pháp chứng viên có thể lựa chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ cảm biến độc lập để thu thập bản ghi lưu lượng. 16Giao thức NetFlowLà một Giao thức giám sát lượng truy cập của Cisco. Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu lượng.Các gói tin “NetFlow Export” có thể được truyền qua UDP, TCP, hoặc thậm chí SCTP.NetFlow V.5: đơn giản và được sử dụng rộng rãi trên nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn chuyển qua UDP.NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển.17Ví dụ NetFlow 18Sử dụng giao thức NetFlowNhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virusPhân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như Voice, Video Phát hiện được các sự cố bất thường liên quan đến đường truyềnGiảm sự quá tải của lưu lượng WAN, Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau19Hoạt động của NetflowNetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động.NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. Trong 1 luồng, NetFlow ghi lại các packet đầu tiên và nó sử dụng lại records này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. Các records sẽ được lưu trong Netflow Cache.20Hoạt động NetFlow cache 21NetFlow cache22NetFlow cache Mỗi một record trong NetFlow cache chứa các trường thuộc tính. Mỗi bản ghi luồng được tạo ra bằng cách so sánh Thuộc tính của các packetĐếm số packet và số byte của mỗi luồng.NetFlow cache liên tục cập nhập các bản ghi từ Router, SW...nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc.23Thu thập dữ liệu lưu lượng NetFlow24NetFlow Reporting CollectorNetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng NetFlow export được cấu hình để để gửi thông tin các luồng tới Collector. NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server.Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.Phần mềm NetFlow collector có thể tạo ra các báo cáo lưu lượng từ cơ sở dữ liệu.25Ví dụ báo cáo lưu lượng 26NetFlow trong Cisco IOS NetFlow là một giao thức nhúng vào trong phần mềm Cisco IOS trên router và switch. Cisco IOS NetFlow cho phép các thiết bị mạng được chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu về lưu lượng giao thông qua chúng.Cisco IOS NetFlow cho phép người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.27Cấu hình NetFlow trên Cisco RouterLưu lượng từ cổng s0 sẽ đổ về máy 20.1.1.2 qua port 9996Router1(config)#int s0Router1(config-if)#ip route-cache flowRouter1(config-if)#exRouter1(config)#ip flow-export destination 20.1.1.2 9996Router1(config)#ip flow-export source s0Router1(config)#ip flow-export version 5Router1(config)#ip flow-cache timeout active 1Router1(config)#ip flow-cache timeout inactive 15Router1(config)#snmp-server ifindex persist28Xem thông tin lưu lượng trên Router29Mô hình các NetFlow colectors30Giao thức IPFIX (IP Flow Information Export)Là một phát triển từ NetFlow được đưa ra trong RFC 5101 dựa trên NetFlow v9.Xử lí các báo cáo lưu lượng hai chiều, để giảm sự dư thừa dữ liệu khi báo cáo về dòng dữ liệu với các thuộc tính tương tự, cung cấp khả năng tương tác tốt hơn.Các dữ liệu bản ghi lưu lượng mà IPFIX hỗ trợ được mở rộng thông qua dữ liệu mẫu. Các hệ thống thu thập gửi định nghĩa mẫu các dữ liệu được xuất ra, và Sensor sau đó sử dụng mẫu để xây dựng các gói xuất dữ liệu bản ghi lưu lượng gửi lại khi lưu lượng hết hạn.31Sơ đồ hoạt động của IPFIX32Giao thức sFlowsFlow được phát triển bởi InMon công bố bởi IETF RFC vào năm 2001Thống kê lấy mẫu gói tin và không hỗ trợ việc ghi lại và xử lí thông tin về các gói dữ liệu duy nhất, cân bằng tốt với các mạng rất lớn, với thông lượng cao.Tập trung vào thống kê nên phần bên dưới của gói tin không được lấy mẫu và không được ghi lại nên không thể phân tích. 33sFlow34Phần mềm thu thập lưu lượng (Reporting Collector) SiLK SiLK (System for Internet Level Knowledge): Là phần mềm mã nguồn mở của nhóm Network Situational Awareness (NetSA) tại CERT gồm 2 bộ công cụ: Rwflowpack: thu thập dữ liệu bản ghi lưu lượng từ một mạng hoặc các file và xuất nó bị nén theo định dạng SiLK Flow.Flowcap: lắng nghe các bản ghi lưu lượng trên mạng, lưu trữ tạm thời dữ liệu lưu lượng trên ổ đĩa hoặc RAM, và chuyển tiếp các luồng đã nén vào chương trình máy khác như là rwflowpack.35NetFlow Reporting Collector cài SiLK36Các công cụ trong phần mềm SiLK 37rwfilterMột trong những công cụ cốt lõi của SILK.Có chức năng như bộ lọc BPF.rwstats, rwcount, rwcut, rwuniqRwstats tạo ra các thống kê dựa trên các trường giao thức được quy định.Rwcount đếm các gói tin và byte. Rwcut chọn trường mà rwuniq có thể giúp bạn sắp xếp trên đó.rwidsquerySố liệu luồng đầu vào phù hợp quy tắc, viết một lời yêu cầu rwfilter để tạo ra các luồng phù hợp.rwpmatchMột chương trình dựa trên thư viện pcap đọc các phạm lỗi định dạng SiLK của các lưu lượng siêu dữ liệu.Advanced SiLKThực hiện các chức năng của SiLK thông qua Python API.Phần mềm thu thập lưu lượng (Reporting Collector ) Nfcapd/Nfdump/NfSenBộ công cụ Nfcapd, Nfdump, NfSen bao gồm các công cụ cho việc thu thập, hiển thị, và phân tích dữ liệuNfcapd là daemon trong Linux được phát triển tích hợp với nfdump để bắt các gói tin NetFlow Nfdump đọc các file ghi Nfcapd và xử lý thông tin, nfdump cho phép mở rộng tùy biến các tập tin dữ liệu được lưu trữ trên đĩa.NfSen “Netflow Sensor”: cung cấp một giao diện web cho nfdump. Nó là một công cụ mã nguồn mở được viết bằng Perl và PHP, được thiết kế để chạy trên Linux và Unix.38NetFlow Reporting Collector cài Nfcapd và Nfdump39Kiến trúc mạng và thu thập lưu lượngSự tắc nghẽnCần lựa chọn điểm trong mạng, nơi mà thời gian vận chuyển giữa cảm biến và người thu thập khó có khả năng bị ảnh hưởng.Bảo mậtĐặt nhà thu thập trên các phân đoạn nơi mà các đường dẫn giữa các bộ thu thập và cảm biến điều khiển truy cập và bảo vệ tốt. Độ tin cậySử dụng giao thức truyền ở tầng vận chuyển với độ tin cậy cao như TCP, SCTP.Năng lựcCủng cố sự thu thập trên một hệ thống đơn làm giảm chi phí phần cứng và phần mềm, và tạo điều kiện tổng hợp và phân tích.Chiến lược phân tíchNên có hệ thống phân tích riêng biệt có thể nhận được dữ liệu báo cáo lưu lượng từ nhiều nguồn và tổng hợp nó.40Các yếu tố cần được xem xét:Kỹ thuật phân tích trong điều traLà các kỹ thuật chọn lọc giúp Pháp chứng viên có thể xác định nhanh chóng mục tiên khi biết giảm khối lượng thông tin phải được phân tích. Những kỹ thuật phân tích cũng sẽ gia tăng tỉ lệ phát hiện các cuộc tấn công cần thiết để duy trì một sự hiện diện liên tục trong quá trình thu thập thông tin.Các kỹ thuật phân tích bản ghi lưu lượngLọc thông tin: Loại bỏ các chi tiết không liên quan và xác định các sự kiện, máy chủ, cổng, và các hoạt động cần quan tâmĐịnh hướng thống kê (baseline): Định hướng thống kê lưu lượng như: định hướng mạng (network baseline), định hướng máy chủ (Host baselines).Thông tin đen "dirty values" : Hệ thống quét danh sách các Thông tin đen như các địa chỉ IP, Port, ngày, giờ truy cập ... và tìm kiếm bản ghi lưu lượng dữ liệu để chọn ra các mục có liên quan.Mô hình phân tích: Địa chỉ IP, Cổng, Giao thức và cờ, Định hướng, Khối lượng dữ liệu được truyền.42Công cụ phân tích lưu lượng NfSen43Công cụ phân tích lưu lượng Flow-toolsFlow-tools: phân tích bản ghi lưu lượng Bao gồm nhiều công cụ có ích cho việc phân tích pháp chứng như thu thập bản xuất lưu lượng dữ liệu, lưu trữ, xử lý, gửi.Flow-nfilter: cho phép người dùng lọc bản xuất lưu lượng dữ liệu dựa theo “sơ khai”.Flow-dscan: xác định lưu lượng đáng ngờ dựa trên bản xuất lưu lượng dữ liệu, quét cổng, quét máy chủ và các cuộc tấn công từ chối dịch vụ.44Công cụ phân tích lưu lượng FlowTraqFlowTraq: hỗ trợ một loạt rất nhiều định dạng đầu vào, bao gồm cả NetFlowv9, IPFIX, Jflow. Nó cũng có thể sniff lưu lượng truy cập trực tiếp và tạo ra các bản ghi lưu lượng. Sau khi thu thập, FlowTraq cho phép người dùng lọc, tìm kiếm, sắp xếp, và các báo cáo dựa trên hồ sơ lưu lượng. FlowTraq hỗ trợ nhiều hệ điều hành.45Công cụ phân tích lưu lượng EtherApeEtherApe: đọc dữ liệu gói tin trực tiếp từ giao diện mạng hoặc tập tin pcap.46Hết bài 7
Các file đính kèm theo tài liệu này:
- bai_7_285_2053718.pptx