Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải

Bài giảng "Pháp chứng kỹ thuật số - Bài 7: Điều tra lưu lượng trên Mạng máy tính" bao gồm các nội dung: Điều tra lưu lượng Mạng, hoạt động của mạng Internet, tấn công từ chối dịch vụ, tấn công từ chối dịch vụ, điều tra lưu lượng mạng,... Mời các bạn cùng tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng Pháp chứng kỹ thuật số: Bài 7 - TS. Đàm Hồng Hải PHÁPCHỨNGKỸTHUẬTSỐ Bài7:ĐiềutralưulượngtrênMạng máytínhGiảngviên:TS.ĐàmQuangHồngHảiĐiềutralưulượngMạng• Phântíchthôngkêlưulượngngàycàngtrởnên quantrọngtrongphântíchphápchứng.• Sửdụngkỹthuậtphápchứngdựatrênmáyảo mẫu,sẽchophépđiềutradựatrêncácquátrình hànhđộngcótươngquanvớilưulượnggóitin đượcghilại.• Ngoàiviệcdùngđểgiámsátvàcảithiệnhiệu suất,thôngtinlưulượngcònlàcácchứngcớsố trongphápchứng.HoạtđộngcủamạngInternetVídụmộtmạngmáytínhdoanhnghiệpTấncôngtừchốidịchvụ• Tấncôngtừchốidịchvụgâyraviệcngừnghoạt độngcácdịchvụ,chươngtrìnhhoặcngănchặn ngườikhácsửdụngdịchvụhoặcchươngtrình.• Tấncôngtừchốidịchvụcóthểđượcthựchiệntại lớpmạngbằngcáchgửimộtcáchcótínhtoáncácgói tinvàphầnmềmđộchạilàmchocáckếtnốimạng trởnênthấtbại.• Tấncôngtừchốidịchvụcũngcóthểđượcthựchiện ởlớpứngdụng,cáclệnhứngdụngđượctraocho mộtchươngtrìnhkiểmsoátmộtcáchcótínhtoánlàm chochúngtrởnênvôcùngbậnrộnhoặcngừnglàm việc.TấncôngtừchốidịchvụGhinhậntấncôngMạngcủaNORSEĐiềutralưulượngmạng• Địnhdanhvàphânloạinhữngloạitấncôngnhư Dos,DDos,virus,wormtheothờigianthựcdựa vàonhữngsựhànhvithayđổibấtthườngtrong mạng.PhântíchlưulượngtấncôngDDoSCácthôngtinlưulượngphápchứng• MộtbảnghilưulượngbaogồmđịachỉIPnguồn và đích, cổng nguồn và đích (nếu có), giao thức, ngày,giờvàsốlượngdữliệutruyềnđitrongmỗi dòng.• Bản ghi lưu lượng là một tập hợp thông tin về mộtdònglưulượng.• Hệthốngxửlý bảnghilưulượngVídụbáocáolưulượngThốngkêbảnghilưulượngCảmbiến(sensor)• Ghibằngthiếtbịtrênmạng:Mộtsốthiếtbịnhư CISCORouter,Switch,Firewallđãcóhỗtrợviệc tạoravàghidữliệumạng.• Càiđặtthiếtbịđộclập:Triểnkhaiserverghibằng phầnmềmxửlýởbấtcứnơinàotrênmạngmà cóthểbắtthôngtinlưulượng.• Giaothứctraođổithôngtinlưulượng:NetFlow, IPFIX,sFlowPhầnmềmcảmbiến• ARGUS(AuditRecordGenerationandUtilizationSystem) • Máychủ:dùngđểđọccácgóitintừgiaodiệnmạnghoặcgói bắttừfile.Cáccôngcụngườidùng:sửdụngđểthuthập,phân phối,xửlívàphântíchdữliệu.Cóthểxuấtlưulượngdữliệu đầuraởđịnhdạngnénArgus,cáctậptinđiquamạngthôngqua UDP.• YAF(YetAnotherFlowmeter): • Đọcgóitintừgiaodiệntrựctiếphoặcgóitinbịbắt,xuấtlưu lượngdữliệutheođịnhdạngIPFIX,trêngiaothứcSCTP,TCP, UDPcủatầngvậnchuyển,hỗtrợcácbộlọcBPFchomụcđích lọclưulượngtruycậpđến,hỗtrợviệcmãhóaxuấtlưulượng sửdụngTLS.• Softflowd:Theodõimộtcáchthụđộnglưulượngtruycậpvà xuấtbảnghilưulượngdữliệuởđịnhdạngNetFlow.CácyếutốcầnxemxétkhiđặtcảmbiếnĐiềuchỉnhmôitrường• Tậndụngtrangthiếtbịhiệncó:Thayđổicấuhình cácthiếtbị,đảmbảorằngcácchứcnăngmạngkhông bịảnhhưởngxấuvàcũngnhưbộthuthậpcácbản ghilưulượngsẽvừađủ.• Nângcấpthiếtbịmạng:Tùythuộcvàoloạithiếtbị mạng,quátrìnhchuyểnđổinàycóthểđơngiảnhoặc cóthểyêucầucấuhìnhlạinhiềuhơn.• Bổsungcácphầnmềmcảmbiến:Bộcảmbiếnđộc lập(nhưArgushoặcSoftflowd),Phápchứngviêncó thểlựachọnđểthaythếmộtnhánhmạngvàgửidữ liệuđếnbộcảmbiếnđộclậpđểthuthậpbảnghi lưulượng.GiaothứcNetFlow• Là một Giao thức giám sát lượng truy cập của Cisco.Lưubộnhớđệmvàxuấtcácthôngtinmật độlưulượng.• Các gói tin “NetFlow Export” có thể được truyền quaUDP,TCP,hoặcthậmchíSCTP. o NetFlow V.5: đơngiản và đượcsử dụngrộngrãitrên nhiềuloạithiếtbịcủacácnhàsảnxuấtkhácnhau,chỉ hỗ trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải đượcvẫnchuyểnquaUDP. o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận chuyển.VídụNetFlowSửdụnggiaothứcNetFlow• Nhậnbiếtđượcdấuhiệuhaynguycơcủanhững cuộctấncôngtừchốidịchvụ(DoS),Việcpháttán virus• Phântíchcácứngdụngmớivàảnhhưởngcủa chúnglênhệthốngmạng:nhậndạngcácứng dụngmạngmớinhưVoice,Video…• Pháthiệnđượccácsựcốbấtthườngliênquan đếnđườngtruyền• GiảmsựquátảicủalưulượngWAN,Phânchia băngthônghợplíchotừngloạidịchvụmạngkhác ...