PHÁP CHỨNG KỸ THUẬT SỐ

Bài 6: Điều tra tội phạm Mạng - Pháp

chứng Mạng máy tính

Giảng viên: TS. Đàm Quang Hồng Hải

Pháp chứng Mạng máy tính và pháp chứng
kỹ thuật số
Pháp chứng Mạng là gì?
• Pháp chứng mạng là một nhánh của pháp chứng kỹ
thuật số liên quan:
• Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu
lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây
là một cuộc điều tra với thời gian chủ động.
• Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay
phá hoại thông tin.
• Thu thập các bằng chứng trên Mạng như trên các Website, từ
các dấu vết xâm nhập của Malware ... để tìm ra các chứng cứ
pháp lý về hoạt động của các đối tượng trên mạng.
• Việc thực hiện pháp chứng mạng cũng cần thiết cho cả
những người làm quản trị mạng.
Nhiệm vụ bảo vệ không gian Mạng
Một số khác biệt với Pháp chứng máy tính
• Khác biệt với Pháp chứng máy tính truyền thống
• Điều tra thông qua một quá trình xây dựng lại một
sự kiện mạng
• Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố
khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ
tầng xuống cấp hoặc bị cúp điện.
• Cung cấp các mảnh còn thiếu trong phân tích pháp chứng
• Dựa trên việc sử dụng các phần mềm chụp lại các
tập tin khi có sự cố Mạng
• Một cách nhìn mới về phân tích dấu vết tập tin
• Tiếp tục cùng phương thức xử lý sự cố
truyền thống
Các hướng điều tra của Pháp chứng mạng
• Hướng điều tra liên quan đến an toàn mạng: khi giám sát
một mạng máy tính có lưu lượng truy cập bất thường và xác
định sự xâm nhập.
• Một kẻ tấn công có thể có thể có khả năng xóa tất cả các
tập tin đăng nhập trên một máy chủ bị tấn công, do vậy
bằng chứng dựa trên lưu lượng mạng có thể là bằng
chứng duy nhất để phân tích pháp chúng.
• Hướng điều tra liên quan đến thông tin tội phạm trên
mạng: Trong trường hợp phân tích các gói tin thu được có
thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao,
tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như
email hoặc các buổi trò chuyện.
Các câu hỏi với Pháp chứng viên
• Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào
các biện pháp phòng ngừa an ninh hiện hành?
• Những gì thiệt hại đã xảy ra?
• Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng
đã để lại điều gì trên hệ thống như một tài khoản
người dùng mới, một Trojan hoặc Worm hoặc phần
mềm Bot?
• Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân
tích và mô phỏng lại cuộc tấn công và minh xác cho
việc sửa chữa?
E-Detective
Các quá trình ứng phó sự cố mạng
• Việc sử dụng thông tin các bản ghi tường lửa, các
bản ghi hệ thống, và các bản ghi trên các thiết bị
mạng có liên quan đến một thời gian truy cập, địa
điểm, và địa chỉ IP cho phép xác định sự kiện liên
quan đến an toàn mạng.
• Pháp chứng viên có thể thông qua giám sát lưu
lượng mạng để có thể cô lập số lượng máy chủ để
đưa cho triển khai pháp chứng máy tính.
Điều tra với các kỹ thuật thông thường
Điều tra với phần mềm giám sát lưu lượng mạng
• Phần mềm giám sát lưu lượng và phân tích mạng cho phép
kiểm tra và đánh giá thực tế chuyển động các gói tin để
hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại
một phiên làm việc.
• Phân tích pháp chứng các gói tin với các chức năng của nó
nhằm phân tích được lịch sử thời gian để giải quyết các vấn
đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ.
• Phòng chống sự cố trong không gian số cho phép một sự
hiểu biết về bối cảnh của một phiên làm việc để xác định
điểm vào, đường dẫn và ứng dụng thực hiện và các thành
phần mạng liên quan.
Điều tra với các kỹ thuật phân tích mạng
Pháp chứng Mạng và giao thức Mạng
• Người Pháp chứng viên khi tiến hành điều tra trên
Mạng cần hiểu biết rõ giao thức của Mạng mà mình
đang điều tra.
• Các thông tin cần hiểu biết:
• Cấu trúc các gói tin của các tầng giao thức
• Các giao thức của bộ giao thức trong mạng
• Các quy trình hoạt động
• Người Pháp chứng viên cần sử dụng thành thạo các
công cụ nhằm tìm được các bằng chứng số liên quan
đến yêu cầu của mình.
Giao thức TCP/IP
• TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải
(Transmission Control Protocol - TCP) và Giao thức
Internet (Internet Protocol - IP).
• Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối
với Internet như thế nào và dữ liệu được truyền tải ra sao
giữa chúng.
• Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN,
mạng WAN và mạng Internet.
• Số lượng tội phạm Công nghệ cao dùng máy tính với giao
thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để
truy cập vào Internet
Mạng với giao thức TCP/IP
Địa chỉ IP
• Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử
dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP.
• Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên
Mạng TCP/IP mà Pháp chứng viên cần quan tâm.
• Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động
• Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua
Access Point: Tại các nơi công cộng, hay công ty có nhiều
máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả
các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh
khi kết nối với mạng Internet.
• Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính
dùng chung địa chỉ IP tĩnh và động.
Cấu trúc gói IP
DHCP Server
Cấu trúc gói Ethernet
Các công cụ dùng điều tra với các gói tin
trong mạng TCP/IP
• Người Pháp chứng viên cần hiểu yêu cầu mình
muốn, các thông số nào mình cần biết.
• Xác định mục đích khi thu thập thông tin làm gì
như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm
nhập.
• Xác định yêu cầu phân tích dữ liệu dựa trên các gói
tin TCP/IP thu thập được.
• Các công cụ pháp chứng mạng như:
Tcpdump/windump, Wireshark
TCP/IP Packet sniffer
SPAN port
• Switched Port Analyzer port
• Cho phép cấu hình để Switch tự động sao chép các gói tin
qua lại giữa các cổng đến một cổng được gọi là cổng giám
sát (SPAN port ).
• Các phần mềm sniffer hay các hệ thống phân tích sẽ cần
phải được kết nối với một SPAN port để có thể xem xét
đưọc lưu lượng qua Switch
Switch với SPAN port
Bắt gói tin bằng Sniffer
• Sniffer là một chương trình cho phép nghe các lưu
lượng thông tin trên một hệ thống mạng.
• Tương tự như là thiết bị cho phép nghe lén trên
đường dây điện thoại.
• Việc bắt gói tin bằng Sniffer là thụ động và thường
sẽ không tạo ra bất kỳ lưu lượng mạng nào.
Mạng cho phép Sniffer thu thập thông tin
Các phương thức sử dụng Sniffer
• Các phương thức "Catch-it-as-you-can": Tất cả các gói
chuyển qua một điểm traffic nào đó đều được bắt lại và
rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích.
• Cách tiếp cận này yêu cầu một lượng lớn thiết bị lưu trữ,
thường sử dụng các hệ thống RAID.
• Các phương thức "Stop, look and listen": Mỗi gói tin
được phân tích sơ bộ ngay trong bộ nhớ, chỉ một vài
thông tin nào đó là được lưu trữ cho quá trình phân tích
sau này.
• Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại
cần các processor có tốc độ nhanh hơn để có thể xử lý hết
các traffics đi vào.
Phân tích gói tin trong điều tra
• Phân tích gói tinlà việc nghe các gói tin và phân tích
giao thức, mô tả quá trình bắt và khôi phục định
dạng thông tin nhằm hiểu rõ hơn điều gì đang diễn
ra trên mạng.
• Phân tích gói tin có thể giúp Pháp chứng viên hiểu
cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc
cái gì đang sử dụng băng thông, chỉ ra những thời
điểm mà việc sử dụng mạng đạt cao điểm,
• Phân tích gói tin có thể giúp Pháp chứng viên chỉ
ra các khả năng tấn công và các hành vi phá hoại,
và tìm ra các ứng dụng không được bảo mật.
Pháp chứng viên phân tích gói tin
• Điều tra viên tiến hành phân tích gói tin để xác định
các gói tin liên quan và hiểu được cấu trúc và mối
quan hệ của chúng để thu thập chứng cứ và tạo điều
kiện phân tích sâu hơn.
• Kiểm tra nội dung siêu dữ liệu (thông tin mô tả nội
dung của cơ sở dữ liệu) của một hoặc nhiều gói tin.
• Tiến hành xác định các gói tin liên quan và phát
triển một chiến lược để phân tích lưu lượng và xây
dựng lại nội dung của gói tin.
Các kỹ thuật phân tích gói tin
• Có ba kỹ thuật cơ bản khi tiến hành phân tích gói
tin:
• Pattern Matching (theo mô hình): xác định các
gói tin liên quan bằng cách kết hợp các giá trị cụ
thể trong các gói tin bắt được.
• Parsing Protocol Fields (phân tích các thành
phần giao thức): rút trích ra nội dung của các
giao thức trong các lĩnh vực.
• Packet Filtering (lọc gói tin)- lọc các gói riêng
biệt dựa trên giá trị của các thành phần trong
siêu dữ liệu.
Pattern Matching - theo mô hình
• Giống như trong pháp chứng máy tính, các thông tin
tìm kiếm nhậy cảm "dirty word search" được dùng
để tìm kiếm các dữ liệu quan tâm.
• Thiết lập một danh sách các chuỗi nhậy cảm (“dirty
word list") như tên, mô hình, vv, có thể liên quan
đến các hoạt động đáng ngờ đang được điều tra.
• Các nhà điều tra có thể tận dụng các thông tin chung
về một "dirty word list" để xác định các gói dữ liệu
hoặc dữ liệu cần quan tâm trong một lưu lượng
mạng bắt được.
Ví dụ phân tích mã độc
Phân tích các thành phần giao thức
• Phân tích các thành phần giao thức là tìm ra các nội
dung công việc trong các gói tin liên quan.
• Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp
từ gói bắt được .
Dùng Sniffer phát hiện việc download qua mạng
MSBlaster Worm
Dựa trên các gói tin ghi nhận, khôi phục định dạng
MSBlaster Worm
Phát hiện việc máy tính bị nhiễm worm tấn công các
máy khác trong mạng
Lọc gói tin
• Lọc gói là phương pháp tách gói dựa trên các
giá trị của các trường trong giao thức siêu dữ
liệu hoặc tải trọng.
• Thông thường, các Pháp chứng viên lọc các gói
tin bằng cách sử dụng bộ lọc BPF hoặc bộ lọc
hiển thị Wireshark
Ví dụ: điều tra tấn công mật khẩu
• Tấn công mật khẩu là một kỹ thuật phá mã hoặc
vượt qua một cơ chế xác thực bằng cách thử các
khóa mã hay mật khẩu trong một từ điển rộng lớn.
• Kỹ thuật tấn công mật khẩu tấn công bằng cách thử
tất cả các từ trong một danh sách dài gọi là từ điển
(được chuẩn bị trước).
• Tấn công mật khẩu thử trong vùng có nhiều khả
năng thành công nhất, thường xuất phát từ một danh
sách các từ ví dụ như một từ điển
• Có thể dùng Sniffer để phân tích các gói tin
và lưu lượng khi điều tra.
Các giao thức dễ bị tấn công mật khẩu
• Hiện có những giao thức dễ bị tấn công do gửi mật
khẩu không mã hóa qua mạng
• Internet - HTTP / NNTP
• File transfer - FTP / TFTP
• Email - POP3 / IMAP / SMTP
• Network Monitoring - SNMP / RMON
• Telnet
• VoIP – Signaling Set-up (SIP, Megaco, SCCP,
H.323, and Others?
Những mật khẩu thường dùng dễ bị đoán
Gói tin có thông tin không mã hóa

Một bộ lọc đơn giản cho các từ USER hoặc PASS

vào đầu gói tin (byte 54 -59) tìm thấy các giao thức
sử dụng mật khẩu dạng rõ ràng
Phát hiện tấn công mật khẩu với FTP
Chứng cớ số do Sniffer thu thập
• Bằng thông tin lưu lượng của hệ thống cho phép Pháp
chứng viên có thể phân tích những vấn đề đang mắc phải
trong hoạt động của hệ thống mạng.
• Sniffer có thể tự động phát hiện và cảnh báo các cuộc tấn
công đang được thực hiện vào hệ thống mạng mà nó đang
hoạt động (Intrusion Detecte Service) qua đó Pháp chứng
viên có thể triển khai việc thu thập chứng cứ số.
• Sniffer có thể ghi lại thông tin về các gói dữ liệu, các phiên
truyền. Tương tự như hộp đen của máy bay, giúp các Pháp
chứng viên có thể xem lại thông tin về các gói dữ liệu, các
phiên truyền sau sự cố…
Pháp chứng viên sử dụng công cụ Sniffer
• Pháp chứng viên cần các thông tin thống kế liên
quan đến lưu lượng mạng và Sniffer là một trong
những công cụ cần thiết.
• Pháp chứng viên có thể sử dụng Sniffer còn phục vụ
cho công việc phân tích, khắc phục các sự cố trên hệ
thống mạng.
• Có thể sử dụng các tính năng Sniffer khi điều tra
nhiều dạng sự cố mạng như phát hiện các gói tin
chứa thông tin nguy hiểm
Dùng Sniffer phát hiện các gói tin chứa thông tin nguy
hiểm về Malware , qua đó phát hiện nguồn gốc tấn
công
Điều tra tấn công bằng botnet
• Botnet là từ chỉ một tập hợp các robot phần mềm
hoặc các bot hoạt động một cách tự chủ.
• Một chương trình chỉ huy botnet (botnet's originator
hay bot herder) có thể điều khiển cả nhóm bot từ xa,
thường là qua một phương tiện chẳng hạn như IRC,
và thường là nhằm các mục đích bất chính.
• Mỗi bot thường chạy ẩn và tuân theo chuẩn RFC
1459 (IRC).
Một chương trình chỉ huy botnet (botnet's originator
hay bot herder) có thể điều khiển cả nhóm bot từ xa
Dùng Sniffer phát hiện các gói tin chứa thông tin liên
quan đến Botnet
Dựa trên các gói tin ghi nhận, khôi phục định dạng
thông tin để phát hiện bot
Các công cụ Sniffer
• Sniffer đầu tiên là sản phẩm của Network Associates
với tên là Sniffer Network Analyzer
• Có rất nhiều công cụ Sniffer được phát triển như:
• tcpdump/windump: công cụ cụ viết trên linux/windows
• Wireshark (Ethereal): công cụ thông dụng và nhiều tính
năng mạnh hỗ trợ việc phân tích.
• Kismet: hiệu quả để Sniffer gói tin trên mạng Wireless.
• Ettercap: hoạt động hiệu quả và bảo mật
• NetStumbler: thực hiện Sniffer trên chuẩn 802.11
• Ngrep: tính năng lọc tốt và thường dùng với tcpdump
• KisMAC: thực hiện Sniffer trên hệ điều hành Mac OS X.
tcpdump/windump
• tcpdump (www.tcpdump.org) là một trong các phần mềm
mã nguồn mở sniffer đầu tiên. Nó được viết vào năm 1987
bởi Van Jacobson, Craig Leres, và Steven McCanne tại
Phòng thí nghiệm Lawrence Berkeley.
• tcpdump đã từng là công cụ được các chuyên gia trên khắp
thế giới tín nhiệm về sự hữu dụng trong việc gỡ rối và kiểm
tra vấn đề kết nối mạng và bảo mật .
• tcpdump là phần mềm trên các hệ thống có họ Unix bao
gồm Linux, Solaris, AIX, Mac OS X, BSD, and HP UX,
dùng để theo dõi các gói dữ liệu lưu thông qua Card mạng.
• Windump là phiên bản chạy trên Windows của tcpdump.
Cú pháp của tcpdump
Sử dụng tcpdump/windump
• tcpdump là phần mềm chạy bằng dòng lệnh, dùng để theo
dõi băng thông mạng thông qua việc lưu trữ các gói tin
(packet) truyền tải mà máy có thể bắt được và ghi vào file
để phục vụ công việc phân tích và điều tra.
• Tcpdump mặc định để nắm bắt được 68 bytes đầu tiên của
tất cả lưu lượng truy cập cho một giao diện mạng. Điều này
rất hữu ích để nắm bắt các ID người dùng và mật khẩu
không được mã hóa hoặc ghi lại tất cả các kết nối, nhưng
không hữu ích nếu ta đang quan tâm đến nội dung các gói
tin trên mạng.
Một số hạn chế của tcpdump/windump
• tcpdump/windump là phần mềm chạy bằng dòng lệnh.
Người sử dụng cần phải biết tất cả các tùy chọn để sàng lọc
các gói dữ liệu cụ thể, vì vậy không có giao diện thuận tiện
cho người dùng.
• tcpdump/windump có thể không nhìn thấy được những gói
tin bị chặn bởi tường lửa gateway, router, hoặc Switch.
• Các Switch hiện đại có thể ngăn chặn các máy tính nhìn
thấy tất cả lưu lượng không được dành cho nó ngay cả khi
mạng ở chế độ hỗn tạp
(promiscuous mode).
Công cụ Wireshark
• Wireshark hiện là một trong những phần mềm phân
tích giao thức mạng phổ biến nhất trên thế giới.
• Wireshark có một bộ tính năng phong phú và mạnh
mẽ và chạy trên hầu hết các nền tảng máy tính bao
gồm cả Windows, OS X, Linux, và UNIX.
• Wireshark là một bộ phân tích gói dữ liệu mạng có
thể được sử dụng để bắt các gói tin mạng và hiển thị
các thông số và dữ liệu của gói tin.
Các giao thực được hỗ trợ bởi WireShark
• WireShark có ưu thế vượt trội về khả năng hỗ trợ
các giao thức (khoảng 850 loại), từ những loại phổ
biến như TCP, IP đến những loại đặc biệt như là
AppleTalk và Bit Torrent.
• Wireshark được phát triển trên mô hình mã nguồn
mở, những giao thức mới sẽ được cộng đồng của
Wireshark thêm vào.
• Cộng đồng của Wireshark là một trong những cộng
đồng tốt và năng động nhất của các dự án mã nguồn
mở.
Lựa chọn phần cứng để thu thập thông tin
Các gói tin được thu thập
Mầu sắc các gói tin
• Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da
trời và đen.. , để giúp người dùng phân biệt được các loại
traffic khác nhau.
• Màu xanh lá cây là traffic TCP,
• Mầu xanh da trời đậm là traffic DNS,
• Mầu xanh da trời nhạt là traffic UDP
• Màu đen là gói TCP có vấn đề.
Lọc gói tin theo yêu cầu
• Pháp chứng viên có thể lọc các gói tin thu thập được
theo các yêu cầu của mình.
• Ví dụ:
not (tcp.port == 80) and not (tcp.port == 25) and
ip.addr == 192.168.1.104

ip.addr == 192.168.1.104
Lọc gói tin theo ip.addr == 192.168.1.104
Phân tích gói tin với địa chỉ IP 192.168.1.104
Xem nội dung gói tin
Hết bài 6