BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO BÀI TẬP LỚN

THU THẬP VÀ PHÂN TÍCH CHỨNG TỪ ROUTER

Ngành: An tồn thơng tin
Người hướng dẫn:
ThS. Nguyễn Mạnh Thắng
Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã


LỜI CẢM ƠN
Trong quá trình thực hiện đề tài này, chúng em đã nhận được sự giúp đỡ tận tình
của cán bộ hướng dẫn là ThS. Nguyễn Mạnh Thắng– Khoa Công nghệ thông tin
Học viện Kỹ thuật Mật mã.
Xin cảm ơn tất cả mọi người đã tạo những điều kiện tốt nhất để chúng em hoàn
thành đề tài này!

I


Mục Lục
LỜI CẢM ƠN .................................................................................................................................I
Mục Lục .................................................................................................................................... II
Danh mục hình vẽ .................................................................................................................... III
Danh mục từ viết tắt .................................................................................................................IV
LỜI NÓI ĐẦU .......................................................................................................................... V
CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ ROUTER ................................ 1

1.1 Tìm hiểu về chứng cứ điện tử .......................................................................................... 1
1.1.1 Khái niệm .................................................................................................................. 1
1.1.2 Đặc điểm của chứng cứ điện tử ................................................................................. 1
1.1.3 Các thuộc tính của chứng cứ điện tử ......................................................................... 1
1.2 Tổng quan về Router ........................................................................................................ 2
1.2.1 Giới thiệu về Router .................................................................................................. 2
1.2.2 Chức năng và vai trò của Router ............................................................................... 3
1.2.2.1 Chức năng ........................................................................................................... 3
1.2.2.2 Vai trò ................................................................................................................. 4
1.2.3 Bảng định tuyến ......................................................................................................... 5
1.2.3.1 Khái niệm ............................................................................................................ 5
1.2.3.2 Các thành phần của bảng định tuyến .................................................................. 5
1.2.4 Giao thức định tuyến Router ..................................................................................... 6
1.2.4.1 RIP ...................................................................................................................... 7
1.2.4.2 OSPF ................................................................................................................... 7
CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER ............................... 8
2.1 Thu thập và phân tích chứng cứ từ mạng ......................................................................... 8
2.1.1 Phân tích gói tin ......................................................................................................... 8
2.1.2 Phân tích thống kê lưu lượng ..................................................................................... 8
2.2 Các loại tấn công Router .................................................................................................. 9
2.2.1

Lỗ hổng Router .................................................................................................... 9

2.2.2 Các loại tấn công Router ........................................................................................... 9
2.2.2.1 Tấn công từ chối dịch vụ (DoS) .......................................................................... 9
2.2.2.2 Routing Table Poisoning .................................................................................. 11
2.2.2.3 Tấn công Hit-and-Run ...................................................................................... 11
2.2.2.4 Tấn công dai dẳng ............................................................................................. 11
2.3 Các bước điều tra tấn công Router ................................................................................. 11

2.3.1 Điều tra tấn công Router .......................................................................................... 11
2.3.1.1 Thu giữ Bộ định tuyến và duy trì chuỗi hành trình sản phẩm .......................... 12
II


2.3.1.2 Thực hiện ứng phó sự cố và ghi phiên .............................................................. 13
2.3.1.3 Truy cập Bộ định tuyến..................................................................................... 14
2.3.1.4 Thu thập bằng chứng dễ bị mất......................................................................... 15
2.3.1.5 Xác định cấu hình bộ định tuyến ...................................................................... 16
2.3.1.6 Kiểm tra và phân tích ........................................................................................ 16
2.3.1.7 Tạo một báo cáo ................................................................................................ 18
2.4. Công cụ NetFlow collector Cisco ASA ........................................................................ 18
2.4.1 Netflow .................................................................................................................... 18
2.4.2 NetFlow collector Cisco ASA ................................................................................. 19
CHƯƠNG 3: THỰC NGHIỆM ............................................................................................... 21
3.1 Mô tả thực nghiệm ......................................................................................................... 21
3.2 Tiến hành thực nghiệm ................................................................................................... 21
KẾT LUẬN .............................................................................................................................. 28
TÀI LIỆU THAM KHẢO ....................................................................................................... 29
Bảng phân cơng........................................................................................................................ 29

Danh mục hình vẽ
Hình 1.1: Chức năng của Router ............................................................................................... 4
Hình 1.2: Vị trí của Router trong mơ hình OSI ......................................................................... 4
Hình 1.3: Dữ liệu hiển thị trên bảng định tuyến ........................................................................ 6
Hình 3.1: Mơ hình mạng hệ thống ........................................................................................... 21
Hình 3.2: Kiểm tra lưu lượng trước khi thực hiện ................................................................... 23
Hình 3.3: Telnet từ R1 - R3 ...................................................................................................... 24
Hình 3.4: PC0 truy cập vào Server .......................................................................................... 24
Hình 3.5: Ping R3 đến R1 ........................................................................................................ 25

Hình 3.6: Kiểm tra lưu lượng sau khi thực hiện ...................................................................... 25
Hình 3.7: Show version ............................................................................................................ 25
Hình 3.8: Show running-config................................................................................................ 26
Hình 3.9: Show flash ................................................................................................................ 26
Hình 3.10: Show interface ....................................................................................................... 26
Hình 3.11: Show ip route ......................................................................................................... 27
Hình 3.12: Show ip route con .................................................................................................. 27
Hình 3.13: Show clock ............................................................................................................. 27

III


Danh mục từ viết tắt
STT Từ viết tắt
1
USB
2
IP
4

DHCP

5

OSI

6
7
8


LAN
OSPF
AD

9

HTTP

10

NTP

11

SNMP

12

ICMP

13

TCP

14

UDP

15


Dos

16

DDos

17

TFTP

Tên đầy đủ
Universal Serial Bus
Internet Protocol
Dynamic Host Configuration
Protocol
Open Systems
Interconnection Reference
Model
Local Area Network
Open Shortest Path First
Administrative Distance

Dịch Tiếng Việt
Giao thức Internet
giao thức cấu hình động
máy chủ
Mơ hình tham chiếu kết
nối các hệ thống mở
Mạng nội bộ


Giao thức Truyền tải
Siêu Văn Bản
Giao thức đồng bộ thời
Network Time Protocol
gian mạng
Simple Network Monitoring
Giao thức giám sát
Protocol
mạng đơn giản
Internet Control Message
Giao thức điều khiển
Protocol
truyền tin trên mạng
Transmission Control
Giao thức điều khiển
Protocol
truyền nhận
Giao thức dữ liệu người
User Datagram Protocol
dùng
Tấn công từ chối dịch
Denial Of Service
vụ
Tấn công từ chối dịch
Distributed Denial Of Service
vụ phân tán
Giao thức truyền file
Trivial File Transfer Protocol
đơn giản
Hypertext Transfer Protocol


IV


LỜI NÓI ĐẦU
Hiện nay ở Việt Nam đã xuất hiện nhiều loại tội phạm mới, như tấn công
hạ tầng thông tin quốc gia, cơ sở dữ liệu của cơ quan nhà nước, ngân hàng, doanh
nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù
hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, tấn công từ chối dịch vụ. Cuộc
đấu tranh chống các loại tội phạm trong lĩnh vực công nghệ thông tin, viễn
thơng thường rất khó khăn và phức tạp vì các đối tượng không chỉ sử dụng các
công nghệ mới nhất vào việc tấn cơng, gây án, mà cịn triệt để lợi dụng để xóa
dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã
hóa dữ liệu, dùng ngơn ngữ đặc biệt để lập trình mã độc, chống phát hiện và dịch
ngược mã độc...Tin tặc thường sử dụng máy tính, điện thoại di động, các thiết bị
lưu trữ và kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu. Khi nghi ngờ bị điều
tra, theo dõi, chúng rất cảnh giác, lập tức xóa hết dấu vết, dữ liệu có liên quan,
thậm chí format thiết bị lưu trữ dữ liệu.
Router là một thiết bị thiết yếu trong mỗi hệ thống mạng (Hộ gia đình,
Cơng ty…v..v). Chức năng của router là điều chế và giải điều chế tín hiệu, hay
nói một cách dễ hiểu là thiết bị giúp chuyển đổi tín hiệu truyền trên đường dây
điện thoại, cáp quang thành tín hiệu số mà máy tính có thể hiểu được và ngược
lại. Vậy nên đây chính là cánh cổng giữa người dùng và internet và nó đang tiềm
ẩn những nguy cơ về an ninh mà người dùng không ngờ đến. Với mục đích tìm
hiểu về router và điều tra chứng cứ điện tử, nhóm em chọn đề tài “ Thu thập và
phân tích chứng cứ từ Router “ sẽ giúp chúng ta hiểu hơn về router và các điều
tra tấn công router. Bài báo cáo gồm 3 phần:
Chương 1: Tổng quan về chứng cứ điện tử và Router
Chương 2: Thu thập và phân tích chứng cứ từ Router
Chương 3: Thực nghiệm


V


CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN
TỬ VÀ ROUTER
1.1 Tìm hiểu về chứng cứ điện tử
1.1.1 Khái niệm
“Chứng cứ điện tử” là chứng cứ thu được từ dữ liệu có trong hoặc được tạo
ra bởi bất kỳ thiết bị nào mà chức năng của nó phụ thuộc vào chương trình phần
mềm hoặc từ dữ liệu được lưu trữ hoặc truyền tải qua hệ thống máy tính hoặc
mạng truyền thơng.
Từ những quan điểm về Chứng cứ điện tử, có thể khái quát “Chứng cứ điện
tử” là tất cả những thông tin, dữ liệu được thu thập từ các thiết bị điện tử như máy
tính và các thiết bị lưu trữ thông tin, dữ liệu hay các thông tin, dữ liệu từ mạng
máy tính, điện thoại di động, máy ảnh kỹ thuật số... cũng như từ Internet.

1.1.2 Đặc điểm của chứng cứ điện tử
Khai thác địa chỉ IP, các email logs, web server logs, "cookies", "URL",
website, thông tin truy cập tài khoản do máy tính tự động tạo ra, là cách hữu hiệu
để chứng minh nguồn gốc truy cập trái phép, địa chỉ tấn cơng, các hành vi tấn
cơng mạng…
Hình thành tự động dưới dạng tín hiệu số và thời gian tồn tại có giới hạn,
phụ thuộc vào thiết bị và phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ và
bảo quản). Dễ bị tác động, bị xóa hoặc thay đổi trong quá trình lưu trữ, truyền tải,
sao chép..., bởi các tác nhân như virus, dung lượng bộ nhớ, lệnh lưu trữ của phần
mềm, phương pháp truy cập, mở, mã hóa, truyền tải trên mạng, sao lưu, cố ý hoặc
vơ ý sửa đổi, xóa…
Về giá trị pháp lý của dữ liệu điện tử làm chứng cứ: chứng cứ điện tử có
thể phục hồi, phân tích, tìm được dữ liệu, kể cả đã bị xóa, bị ghi đè, dưới dạng

ẩn, đã mã hóa và làm cho có thể đọc được, nhìn thấy được, ghi lại, sử dụng làm
chứng cứ.

1.1.3 Các thuộc tính của chứng cứ điện tử
Tính khách quan: Dữ liệu này có thật, tồn tại khách quan, có nguồn gốc rõ
ràng, không bị làm cho sai lệnh, biến dạng, đã được tìm thấy và đang lưu trên
máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang,
email, website, điện toán đám mây, account, nickname của đối tượng, server của
nhà cung cấp dịch vụ internet...

1


Tính liên quan: Dữ liệu thu được có liên quan đến hành vi phạm tội, được
sử dụng để xác định các tình tiết của vụ án. Tính liên quan thể hiện ở ngun lý,
cơng nghệ hình thành dấu vết điện tử, thơng tin về khơng gian, thời gian hình
thành dữ liệu (logfile, IP, siêu dữ liệu, hàm hash), địa chỉ lưu trữ, nội dung dữ
liệu chứa thông tin về đối tượng, hành vi phạm tội, nơi hoạt động của đối tượng,
cookies truy cập, nguồn gốc và nội dung email, chat, tin nhắn, cơng nghệ thanh
tốn thẻ, nạn nhân, thiệt hại...
Tính hợp pháp: Chứng cứ phải được thu thập đúng luật, trong cả quá trình
khám xét, thu giữ vật chứng, sử dụng công nghệ (thiết bị phần cứng và phần mềm)
được cơ quan pháp luật công nhận, để sao lưu dữ liệu, bảo quản, phục hồi, phân
tích, tìm kiếm và giám định dữ liệu làm chứng cứ. Cơ quan điều tra phải thu thập
theo đúng thủ tục tố tụng hình sự: Máy tính, máy điện thoại, email, USB, đĩa
CD/DVD, dữ liệu thu từ máy chủ, chặn thư trên đường truyền... phải được ghi
vào biên bản, niêm phong theo đúng quy định, không bị tác động làm thay đổi dữ
liệu kể từ khi thu giữ hợp pháp và không thể can thiệp để thay đổi. Chuyên gia
phục hồi dữ liệu sử dụng công nghệ và phần mềm phục hồi dữ liệu, như thiết bị
chống ghi (Read Only- chỉ đọc) sao chép dữ liệu và chỉ sử dụng bản sao này để

phục hồi, phân tích, tìm kiếm dữ liệu, chuyển thành dạng đọc được, nghe được,
nhìn thấy được.

1.2 Tổng quan về Router
1.2.1 Giới thiệu về Router
Router (Bộ định tuyến) là một thiết bị mạng chuyển tiếp các gói dữ
liệu giữa các mạng máy tính. Router thực hiện các chức năng chỉ đạo hướng đi
trên Internet. Dữ liệu được gửi qua internet, chẳng hạn như trang web hoặc email,
ở dạng gói dữ liệu. Một gói dữ liệu thường được chuyển tiếp từ Router này sang
Router khác thông qua các mạng tạo thành một mạng nội bộ (ví dụ: Internet) cho
đến khi đến được đích.
Một bộ định tuyến được kết nối với hai hoặc nhiều dòng dữ liệu từ
các mạng IP khác nhau. Khi một gói dữ liệu xuất hiện, bộ định tuyến sẽ đọc thơng
tin địa chỉ mạng trong tiêu đề gói để xác định đích cuối cùng. Sau đó, bằng cách
sử dụng thơng tin trong bảng định tuyến hoặc chính sách định tuyến, nó sẽ hướng
gói tin đến mạng tiếp theo trên hành trình của nó.

2


1.2.2 Chức năng và vai trò của Router
1.2.2.1 Chức năng
Một số chức năng chính của Router:
− Để tạo phân đoạn: Bộ định tuyến đóng vai trị chính để phân đoạn
mạng internet hình thành mạng nội bộ trong khu vực cư trú hoặc doanh
nghiệp. Bộ định tuyến di chuyển đến tất cả các gói từ mạng nội bộ đến
Internet. Chức năng chính của bộ định tuyến là lưu lượng truy cập web
dành riêng cho internet bên ngoài vào mạng internet như một mối quan
tâm an tồn. Nó cũng giúp bỏ qua thiệt hại của dữ liệu từ một gói dữ
liệu được chuyển đến mạng sai.

− Để gán địa chỉ IP: IP (Internet Protocol) là yếu tố rất cần thiết cho mọi
hệ thống máy tính vì địa chỉ IP có nghĩa là địa chỉ nào được gán cho
máy tính qua mạng. Với sự trợ giúp của IP, tất cả các gói truyền thơng
được gửi và nhận qua mạng. Giao thức cấu hình máy chủ động
(DHCP) cho phép chuyển địa chỉ IP đến từng máy tính được liên kết
với mạng. Hầu hết các bộ định tuyến được kích hoạt với giao thức
DHCP qua internet được sử dụng cho các loại mạng nhỏ gia đình và
văn phịng.
− Như một Tường lửa: Tường lửa giúp cung cấp khả năng bảo vệ khỏi
những kẻ xâm nhập và người dùng độc hại qua các mạng nội bộ.
Tường lửa cho phép chặn lưu lượng truy cập trái phép hoặc không
mong muốn. Tường lửa là phần mềm được cài đặt trên mỗi máy tính
qua mạng, nhưng các bộ định tuyến được xác định qua internet cùng
với phần mềm và phần mềm tường lửa.
− Chia sẻ tài nguyên: Bộ định tuyến cũng giúp nhiều người dùng chia
sẻ tài nguyên như fax, máy quét, máy in và thư mục tệp trên ổ đĩa
được đặt từ xa. Không cần phải cài đặt máy in cho mọi người dùng
qua mạng, vì vậy nó giúp tiết kiệm thêm tiền và không gian cho việc
đặt máy in. Tất cả các tệp và thư mục được lưu trữ trên ổ cứng của
người dùng có thể được chia sẻ trên tồn bộ mạng mà khơng cần in
hoặc sao chép.

3


Hình 1.1: Chức năng của Router
1.2.2.2 Vai trị
Router là thiết bị hoạt động trên lớp mạng của mơ hình OSI, có chức năng
chính là định tuyến dữ liệu giữa các mạng/ LAN. Nó chứa bảng định tuyến dựa
trên giao thức định tuyến tĩnh/ động. Gói tin mà bộ định tuyến nhận được sẽ được

kiểm tra địa chỉ IP đích của nó, dựa trên đó gói tin sẽ được chuyển tiếp đến mạng
đích sau khi kiểm tra chéo trong bảng định tuyến của nó.

Hình 1.2: Vị trí của Router trong mơ hình OSI
4


1.2.3 Bảng định tuyến
1.2.3.1 Khái niệm
Trong mạng IP sử dụng chuyển mạch gói, khi số lượng người dùng và số
node mạng trung chuyển là rất lớn, yêu cầu đặt ra là các node mạng phải thơng
minh hơn, tự động tìm được tuyến đường tốt nhất để đi đến đích (best route). Vì
vậy, người ta đã sinh ra các giao thức định tuyến (Routing Protocol) để tìm được
best route. Và các best route này sẽ được lưu lại trong một database để khi có gói
tin đến, Router sẽ tra database và tìm ra được đường đi cho gói tin => database
này chính là bảng định tuyến (Routing Table).
1.2.3.2 Các thành phần của bảng định tuyến
Một bảng định tuyến gồm nhiều entry, mỗi entry chứa thông tin về các
tuyến đường đến các đích khác nhau. Cấu trúc của một entry bao gồm:
− Địa chỉ IP đích (destination IP): Địa chỉ này có thể là địa chỉ của một
host cụ thể, hoặc là một địa chỉ của một mạng. Nếu là địa chỉ host,
entry này sẽ có host-ID khác 0 để nhận diện một host. Nếu là địa chỉ
mạng, phần host-ID = 0.
− Địa chỉ IP của next-hop Router (next-hop IP), hoặc địa chỉ của một
mạng kết nối trực tiếp (directly connected IP address): Là địa chỉ của
đích đến tiếp theo (Router) có thể chuyển tiếp gói tin đến đích.
− Network interface: Là cổng của Router được sử dụng để gửi gói tin
đến next-hop.
− Cờ (flags): Cho biết nguồn cập nhật của tuyến (route). Ví dụ: S – Static
Route, C – Connected Route, O – OSPF Route…

− Metric: Là thông tin về metric của một tuyến đường, thể hiện “khoảng
cách” từ Router hiện tại đến destination IP. Giá trị này chỉ có ý nghĩa
so sánh khi các route sử dụng cùng một giao thức định tuyến.
− Administrative Distance (AD): Tham số ưu tiên mà người quản trị đặt
cho các tuyến trong bảng định tuyến, được gán cho các giao thức. Nếu
tuyến được cập nhật từ giao thức, nó sẽ mang giá trị AD của giao thức
đó. Giá trị này nằm trong khoảng từ 0 đến 255, càng bé càng ưu tiên.
255 có nghĩa là tuyến không bao giờ được sử dụng.

5


Hình 1.3: Dữ liệu hiển thị trên bảng định tuyến
Bảng Routing lưu trữ thông tin về:
− Các Router kết nối trực tiếp với nó: Các tuyến này chính là các tuyến
kết nối trực tiếp với các giao diện (interface) cổng của Router
− Các Router từ xa: Là các Router kết nối với các Router khác trên
mạng. Bộ định tuyến có thể đc cấu hình static, hoặc học qua giao thức
định tuyến động dynamic routing bằng cách để các Router trên mạng
trao đổi thông tin các route mà chúng biết.
− Tuyến đường default Route: Khi một đích nào đó khơng có tuyến
đường đến trong bảng định tuyến, Router sẽ sử dụng default route (là
phương án cuối cùng-tuyến đường cuối cùng) để chuyển gói tín ra.
Bảng định tuyến cũng có thơng tin về cách thức học tuyến, mức độ đáng
tin cậy và đánh giá tuyến đường.

1.2.4 Giao thức định tuyến Router
Giao thức định tuyến là tập hợp các quy tắc xác định được sử dụng bởi các
bộ định tuyến để giao tiếp giữa nguồn và đích. Nó khơng di chuyển thơng tin từ
nguồn đến đích mà chỉ cập nhật bảng định tuyến có chứa thơng tin.

Các giao thức của Bộ định tuyến mạng giúp xác định cách các bộ định
tuyến giao tiếp với nhau. Nó cho phép mạng chọn các tuyến giữa hai nút bất kỳ
trên mạng máy tính.
Các giao thức định tuyến được chia thành hai loại cơ bản:

6


− Định tuyến tĩnh: Định tuyến tĩnh hoạt động tốt nhất khi mạng nhỏ và
lưu lượng truy cập có thể dự đoán được.
− Định tuyến động: Sử dụng các chỉ số để xác định đường dẫn mà bộ
định tuyến nên sử dụng gửi một gói tin về đích của nó. Các giao thức
định tuyến động bao gồm: Routing Information Protocol (RIP),
Border Gateway Protocol (BGP), Interior Gateway Routing Protocol
(IGRP), and Open Shortest Path First (OSPF). Định tuyến động có thể
được chia thành hai loại lớn: link-state hoặc định tuyến vectơ khoảng
cách (DVR).
1.2.4.1 RIP
Routing Information Protocol (RIP) là giao thức định tuyến vector khoảng
cách. Mỗi router sẽ gửi toàn bộ bảng định tuyến của nó cho router láng giềng theo
định kỳ 30s/lần. Thông tin này lại tiếp tục được láng giềng lan truyền tiếp cho các
láng giềng khác và cứ thế lan truyền ra mọi router trên toàn mạng. RIP chỉ sử
dụng metric là hop-count để tính ra tuyến đường tốt nhất tới mạng đích. Vì sử
dụng tiêu chí định tuyến là hop-count và bị giới hạn ở số hop là 15 nên giao thức
này chỉ được sử dụng trong các mạng nhỏ dưới 15 hop (15 router). RIP có 2 phiên
bản là RIP version 1 (RIPv1) và RIP version 2 (RIPv2).
1.2.4.2 OSPF
OSPF là giao thức định tuyến link-state điển hình, nó được sử dụng như
một phương thức định tuyến thay thế cho RIP. Mỗi router khi chạy giao thức sẽ
gửi các trạng thái đường link của nó cho tất cả các router trong vùng (area). Sau

một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu trạng thái
đường link (Link State Database – LSDB) với nhau, mỗi router đều có được bản
đồ mạng của cả vùng. Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính toán ra
một cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để xây dựng
nên bảng định tuyến.

7


CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH
CHỨNG CỨ TỪ ROUTER
2.1 Thu thập và phân tích chứng cứ từ mạng
Có 2 phương pháp để thu thập và phân tích chứng cứ từ mạng là:
− Phân tích gói tin
− Phân tích thống kê lưu lượng mạng

2.1.1 Phân tích gói tin
Phân tích gói tin thơng thường được quy vào việc nghe các gói tin và phân
tích giao thức, mơ tả q trình bắt và phiên dịch các dữ liệu sống như là luồng
đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên
mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công
cụ được sử dụng để bắt dữ liệu thô và đang lưu chuyển trên đường dây. Phân tích
gói tin có thể giúp chúng ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định au
hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng
mạng đạt cao điểm, chỉ ra các khả năng tấn cơng và các hành vi phá hoại và tìm
ra các ứng dụng không được bảo mật.
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương
ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn
giản là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính. Việc
nghe các gói tin khơng đơn giản chỉ là cắm một máy xách tay vào mạng và bắt

gói. Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các
gói tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng
phần cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết
bị chính (hub, switch, router) có nguyên lý hoạt động rất khác nhau. Và điều này
đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích.

2.1.2 Phân tích thống kê lưu lượng
Ngồi phân tích gói tin vi, việc phân tích thống kê lưu lượng cũng cần thiết
để điều tra tội phạm máy tính. Có thể các tội phạm mạng thực hiện tấn công lên
băng thông mạng (tấn công từ chối dịch vụ), hoặc lợi dụng mộ các thông tin từ
các máy trong hệ thống (tấn công ARP). Như vậy, khi thực hiện phân tích thống
kê lưu lượng mạng có thể dễ dàng phát hiện ra kẻ tấn cơng.
Thơng lượng của một mạng có thể được đo bằng các cơng cụ có sẵn trên
các nền tảng khác nhau. Lý do để đo thông lượng trong mạng là mọi người thường
quan tâm đến dữ liệu tối đa trong mỗi giây của một liên kết thông tin liên lạc hay
8


một truy cập mạng. Một phương pháp điển hình thực hiện việc đo đạc này là
chuyện một tập tin lớn từ một hệ thống sang một hệ thống khác và đo thời gian
cần thiết để hoàn tất việc chuyển giao hay sao chép tập tin. Thơng lượng sau đó
được tính bằng cách chia kích thước tập tin theo thời gian để có được kết quả theo
megabit, kilobit hay bịt trên mỗi giây. Tuy nhiên, kết quả của một lần tính như
vậy sẽ dẫn đến việc thông lượng trên thực tế ít hơn thông lượng dữ liệu tối đa trên
lý thuyết, làm người ta tin rằng liên kết thông tin liên lạc của họ là khơng chính
xác. Trên thực tế, có rất nhiều các chi phí chiếm trong thơng lượng ngồi các chi
phí truyền tải, bao gồm cả độ trễ, kích thước cửa sổ và hạn chế của hệ thống, có
nghĩa là các kết quả không phản ánh được thông lượng tối đa đạt được.

2.2 Các loại tấn công Router

Các bộ định tuyến có thể bị tấn cơng bằng cách giành quyền truy cập vào
bộ định tuyến và thay đổi tệp cấu hình, khởi chạy các cuộc tấn cơng DoS, làm
ngập băng thông hoặc nhiễm độc bảng định tuyến. Các cuộc tấn cơng này có thể
là tấn cơng và chạy hoặc liên tục. Từ chối dịch vụ các cuộc tấn công nhắm vào
các bộ định tuyến. Nếu kẻ tấn cơng có thể buộc bộ định tuyến ngừng chuyển tiếp
các gói, sau đó tất cả các máy chủ phía sau bộ định tuyến bị vơ hiệu hóa một cách
hiệu quả.

2.2.1 Lỗ hổng Router
Các lỗ hổng Router phổ biến có khả năng là con đường để tấn công:
− Lỗ hổng xác thực HTTP
− Lỗ hổng NTP
− Lỗ hổng phân tích cú pháp SNMP
Kẻ xâm nhập chiếm quyền điều khiển Router có thể thực hiện nhiều cuộc
tấn cơng khác nhau trên một mạng. Có thể có được kiến thức về tất cả các lỗ hổng
có thể có trong một mạng khi Router đã được truy cập.
Kẻ tấn công đã giành được quyền truy cập vào Router có thể ngắt liên lạc,
vơ hiệu hóa Router, dừng giao tiếp giữa các mạng bị xâm nhập,cũng như quan sát
và ghi lại nhật ký trên cả hai đến và đi của luồng mạng.

2.2.2 Các loại tấn công Router
2.2.2.1 Tấn công từ chối dịch vụ (DoS)
Các cuộc tấn công từ chối dịch vụ (DoS) được chia thành ba loại:
− Sự phá hủy: Các cuộc tấn công phá hủy khả năng hoạt động của bộ
định tuyến.

9


− Tiêu thụ tài nguyên: Làm ngập bộ định tuyến với nhiều kết nối đang

mở đồng thời.
− Tiêu thụ băng thông: Các cuộc tấn công cố gắng tiêu thụ dung lượng
băng thông của mạng của bộ định tuyến.
Các cuộc tấn cơng DoS có thể nhắm vào một người dùng hoặc tồn bộ tổ
chức và có thể ảnh hưởng đến tính khả dụng của các hệ thống mục tiêu hoặc toàn
bộ mạng của các hoạt động bình thường và sự gián đoạn của thơng tin liên lạc
bình thường. Nó dễ dàng hơn nhiều đối với kẻ tấn công để thực hiện điều này hơn
là giành quyền truy cập vào mạng trong hầu hết các trường hợp.
Smurf là một ví dụ về một cuộc tấn công DoS thông thường. Smurf khai
thác Giao thức ICMP bằng cách gửi một gói ping giả mạo được gửi đến địa chỉ
phát sóng và có địa chỉ nguồn được liệt kê là nạn nhân. Trên một mạng đa truy
cập, nhiều hệ thống có thể trả lời. Nạn nhân bị ngập trong các phản hồi ping.
Một ví dụ khác về cuộc tấn công DoS là SYN flood. SYN làm gián đoạn
giao thức TCP bằng cách gửi một lượng lớn số lượng gói tin giả với cờ SYN được
đặt. Số lượng lớn TCP nửa mở này kết nối lấp đầy bộ đệm trên hệ thống của nạn
nhân và ngăn nó chấp nhận các kết nối hợp pháp. Hệ thống kết nối với Internet
cung cấp các dịch vụ như HTTP hoặc SMTP đặc biệt dễ bị tấn công.
Tấn công DDoS là kiểu tấn công DoS thứ hai và được coi là tấn công đa
giao thức. Các cuộc tấn công DDoS sử dụng các gói ICMP, UDP và TCP. Một
trong những điểm khác biệt giữa DoS và DDoS là một cuộc tấn công DDoS bao
gồm hai các giai đoạn. Đầu tiên, trong quá trình pre attack, hacker phải xâm nhập
các máy tính nằm rải rác trên Internet và tải phần mềm lên các máy khách này để
hỗ trợ trong cuộc tấn công.
Mục tiêu cho một cuộc tấn công như vậy bao gồm người dùng băng thơng
rộng, người dùng gia đình, mạng cấu hình kém, trường cao đẳng và đại học.
Những đứa trẻ viết kịch bản từ khắp nơi trên thế giới có thể tiêu tốn vơ số giờ
qt các hệ thống được bảo vệ kém. Sau khi hoàn thành bước này, bước thứ hai
có thể bắt đầu. Bước thứ hai là cuộc tấn công thực sự. Tại thời điểm này, kẻ tấn
công hướng dẫn các bậc thầy giao tiếp với các thây ma để khởi động cuộc tấn
cơng.

Các gói ICMP và UDP có thể dễ dàng bị chặn tại bộ định tuyến, nhưng các
gói TCP rất khó giảm thiểu. Các cuộc tấn cơng DoS dựa trên TCP có hai dạng:
− Định hướng kết nối: Các cuộc tấn cơng này hồn thành quá trình bắt
tay 3 bên để thiết lập một kết nối. Địa chỉ IP nguồn có thể được xác
định tại đây.
− Khơng kết nối: Các gói này SYN khó theo dõi vì nguồn.
10


Một ví dụ về cơng cụ DDOS là Tribal Flood Network (TFN) .TFN là công
cụ đầu tiên công cụ DDoS dựa trên UNIX-based . FN có thể khởi chạy ICMP,
Smurf, UDP và tấn cơng SYN floods. Nó sử dụng cổng UDP 31335 và cổng TCP
27665.
2.2.2.2 Routing Table Poisoning
Loại tấn công này gửi các bản cập nhật định tuyến giả mạo hoặc sửa đổi
tuyến đường chính hãng cập nhật các gói đến các nút khác mà kẻ tấn công cố
gắng gây ra từ chối dịch vụ. Routing Table Poisoning có thể gây ra từ chối hoàn
toàn dịch vụ hoặc dẫn đến định tuyến dưới mức tối ưu hoặc tắc nghẽn trong các
phần của mạng.
2.2.2.3 Tấn công Hit-and-Run
Một trong những cuộc tấn công bộ định tuyến phổ biến nhất là tấn công
Hit-and-Run và chúng được thiết kế như một cuộc tấn công một lần vào một mạng
hoặc bộ định tuyến cụ thể.
Các cuộc tấn công Hit-and-Run thường được gọi là 'tấn công thử nghiệm'
và cũng xảy ra khi dữ liệu độc hại được đưa vào bộ định tuyến thông qua mã.
Thông thường, nếu kẻ tấn công không thành công trong lần thử đầu tiên, chúng
có thể hoặc khơng thể tiến triển và thực hiện thêm các nỗ lực khác trên hệ thống.
2.2.2.4 Tấn công dai dẳng
Các cuộc tấn công bộ định tuyến liên tục rất giống với hit-and-run, trong
đó cả hai đều tìm cách đưa các gói dữ liệu có hại thường xuyên vào bộ định tuyến

và mạng, giúp tin tặc giành quyền kiểm sốt.
Tuy nhiên, khơng giống như các cuộc tấn công hit and run các cuộc tấn
công dai dẳng đúng như tên gọi của nó. Trong khi các cuộc tấn công hit và run sẽ
bắt đầu và kết thúc như một lần duy nhất, các cuộc tấn công dai dẳng có thể xảy
ra và tiếp tục xảy ra cho đến khi kẻ tấn công đạt được mục tiêu của chúng.
Những kẻ tấn cơng sẽ tiếp tục đưa các gói có hại vào bảng định tuyến, vì vậy rất
dễ nhầm lẫn giữa một cuộc tấn công dai dẳng với một kẻ tấn công đầu độc bảng
định tuyến.

2.3 Các bước điều tra tấn công Router
2.3.1 Điều tra tấn công Router
Một cuộc tấn công phải được điều tra để thiết lập các biện pháp đối phó có
thể ngăn chặn sự thành cơng của các cuộc tấn công trong tương lai. Một điều tra
viên phải ghi nhớ rằng bộ định tuyến cần điều tra có thể ở bất kỳ trạng thái nào

11


và phải được trả về trạng thái pre attack của nó. Các hướng dẫn sau đây cần được
ghi nhớ trong thời gian điều tra bộ định tuyến:
− Bắt đầu với chính sách bảo mật và phát triển một kế hoạch bao gồm
thu thập và xác định dữ liệu.
− Tạo một phương pháp trinh sát cung cấp thông tin về mục tiêu.
− Thực hiện kiểm tra phân tích để xác định sự cố và xem lại mật khẩu
mặc định và thông tin mặc định.
− Phát triển chiến lược tấn công để phân tích các lệnh để truy cập mạng,
danh sách kiểm soát truy cập, tường lửa, và các giao thức.
− Điều tra viên phải cẩn thận trong khi truy cập bộ định tuyến, vì bằng
chứng có giá trị có thể bị mất nếu bộ định tuyến bị xử lý sai
− Phân tích xâm nhập là rất quan trọng để xác định kẻ tấn công và ngăn

chặn sự thành công của các cuộc tấn công trong tương lai.
Các bước sau đây nên được thực hiện trong quá trình điều tra một cuộc tấn
công bộ định tuyến:
Bước 1: Thu giữ bộ định tuyến và duy trì chuỗi hành trình.
Bước 2: Thực hiện phản ứng sự cố và ghi phiên.
Bước 3: Truy cập bộ định tuyến.
Bước 4: Thu thập bằng chứng dễ bay hơi.
Bước 5: Xác định cấu hình bộ định tuyến.
Bước 6: Kiểm tra và phân tích.
Bước 7: Tạo một báo cáo.
2.3.1.1 Thu giữ Bộ định tuyến và duy trì chuỗi hành trình sản phẩm
Trước khi bắt đầu quá trình điều tra, điều tra viên nên thu giữ bộ định tuyến
để không ai có thể thay đổi cấu hình của nó. Chuỗi hành trình sản phẩm phải được
duy trì trong suốt một cuộc điều tra. Chuỗi hành trình sản phẩm là một hồ sơ thu
giữ, tạm giữ, kiểm sốt, chuyển giao, phân tích và xử lý bằng chứng vật lý và điện
tử.
Điều cần thiết là duy trì chuỗi quyền tạo bản sao để ngăn chặn việc xử lý
sai bằng chứng. Làm như vậy cũng ngăn ngừa cá nhân đã thu thập và xử lý các
bằng chứng khỏi bị nhầm lẫn trong khi đưa ra lời khai trong một phiên tòa.
Hồ sơ này phải được xử lý cẩn thận để tránh khiếu nại về tham nhũng hoặc
hành vi sai trái trong một phiên tòa. Những tuyên bố này có thể có thể thỏa hiệp
một trường hợp.
Chuỗi hành trình sản phẩm phải ghi lại như sau:
− Nguồn gốc của mọi bằng chứng
12


− Khi nhận được bằng chứng
− Các cá nhân đã cung cấp bằng chứng
− Các phương pháp được áp dụng để thu thập bằng chứng

− Lý do thu giữ chứng cứ
− Người xử lý bằng chứng
Một chuỗi các hình thức lưu ký nên bao gồm các điều kiện theo đó các
bằng chứng được thu thập, người thực sự xử lý chứng cứ, thời gian thu thập, thời
gian tạm giữ, điều kiện bảo mật trong khi chứng cứ đã được xử lý và lưu trữ, và
làm thế nào các bằng chứng được chuyển giao.
2.3.1.2 Thực hiện ứng phó sự cố và ghi phiên
Những bước đầu tiên được thực hiện bởi một điều tra viên khi một sự cố
đã xảy ra tạo thành phản ứng sự cố. Các cần tuân thủ các quy tắc sau trong giai
đoạn ứng phó sự cố của một cuộc điều tra:
− Bộ định tuyến không nên được khởi động lại trừ khi thực sự cần thiết,
theo các quy tắc pháp y của bộ định tuyến. Nếu bộ định tuyến được
khởi động lại, thơng tin có giá trị có thể bị mất.
− Tất cả thơng tin và bằng chứng thu được phải được ghi lại.
− Không nên sửa đổi thông tin và bằng chứng thu được. Các sự cố sau
đây cần được xử lý theo những cách cụ thể:
− Sự cố thỏa hiệp trực tiếp
− Thao tác bảng định tuyến
− Trộm cắp thông tin
− Từ chối dịch vụ
Sự cố thỏa hiệp trực tiếp: Sau khi từ chối dịch vụ, sự cố thỏa hiệp trực tiếp
là một trong những sự cố thường gặp. Điều tra viên phải thực sự đảm nhận vai
trò của thủ phạm trong khi điều tra những sự cố để đánh giá chính xác các lỗ
hổng.
Điều tra viên phải sử dụng các dịch vụ nghe, từ đó tiết lộ các lỗ hổng có
thể xảy ra và tấn công điểm. Với sự đồng ý của quản trị viên mạng, các điểm tấn
cơng này có thể bị đóng lại, các biện pháp đối phó cho các lỗ hổng có thể được
cung cấp, hoặc các lỗ hổng có thể được để lại một mình.
Trong bước tiếp theo, bộ định tuyến phải được khởi động lại để điều tra
viên có thể có quyền truy cập vào bàn điều khiển. Phiên này phải được ghi lại

ngay khi điều tra viên truy cập bảng điều khiển. Điều tra viên cũng có thể truy
cập modem nếu có một đăng xuất khơng đúng. Mật khẩu rất quan trọng trong quá
trình điều tra. Như đã đề cập trước đó, điều tra viên pháp y phải bước vào đơi
giày của hung thủ để tìm ra cách kẻ tấn cơng bẻ khóa mật khẩu. Kẻ tấn cơng có
13


thể bẻ khóa mật khẩu bằng cách sử dụng các cơng cụ bẻ khóa mật khẩu; đánh cắp
chúng từ các tập tin cấu hình; có được chúng bằng cách đánh hơi người dùng các
giao thức như SNMP, telnet, HTTP hoặc TFTP; hoặc chỉ đơn giản là đoán chúng.
Giao thức truyền tệp đơn giản (TFTP) là một giao thức hữu ích để khám
phá những gì kẻ tấn cơng đã làm trong khi tấn công một bộ định tuyến. Giao thức
lưu trữ và tải lại các tập tin cấu hình. Kẻ tấn cơng có thể qt mạng cho bộ định
tuyến và máy chủ TFTP. Kẻ tấn cơng có thể sử dụng giao thức này để có được
tệp cấu hình và liệt kê tất cả những gì có thể mật khẩu để truy cập bộ định tuyến.
Thao tác bảng định tuyến: Bảng định tuyến phải được xem xét bằng cách
sử dụng lệnh show ip route. Điều này sẽ tiết lộ IP mà cuộc tấn cơng được hướng
đến và chính xác cách thức nó được thực hiện. Trộm cắp thông tin: Danh sách
cấu trúc liên kết và kiểm soát truy cập mạng phải được kiểm tra kỹ lưỡng trong
sự cố trộm cắp thông tin. Chúng được chứa trong bộ định tuyến. Danh sách kiểm
soát truy cập đóng một vai trị quan trọng trong điều tra bộ định tuyến.
Từ chối dịch vụ: Sự cố từ chối dịch vụ là một trong những sự cố phổ biến
nhất và điều tra viên phải cư xử một cách lâm sàng trong khi xử lý chúng. Bộ
định tuyến phải được khởi động lại để tiến hành điều tra các sự cố từ chối dịch
vụ.
Ghi lại phiên: Mỗi bước được thực hiện trong quá trình điều tra bộ định
tuyến phải được ghi lại. Các phiên điều tra phải được ghi lại bắt đầu từ thời điểm
đăng nhập bộ định tuyến. Thời gian mà mỗi bước được thực hiện phải được ghi
lại. Để hiển thị thời gian hiện tại, điều tra viên có thể sử dụng lệnh hiển thị chi
tiết đồng hồ.

2.3.1.3 Truy cập Bộ định tuyến
Một bộ định tuyến cần phải được truy cập để có được thơng tin và bằng chứng
liên quan đến vụ việc. Một điều tra viên phải cẩn thận trong khi truy cập bộ định
tuyến vì thơng tin quan trọng có thể bị mất nếu bộ định tuyến khơng được truy
cập đúng cách.
Có một số điểm cần lưu ý khi truy cập bộ định tuyến:
− Bộ định tuyến phải được truy cập thông qua bàn điều khiển. Nó khơng
được truy cập qua mạng.
− Ghi lại tồn bộ phiên giao diện điều khiển.
− Ghi lại thời gian thực tế và thời gian của bộ định tuyến.
− Chỉ hiển thị các lệnh nên được thực thi. Các lệnh cấu hình khơng được
thực thi, vì chúng có thể thay đổi trạng thái của bộ định tuyến và làm
phức tạp các vấn đề cho điều tra viên.
14


− Thông tin dễ bay hơi phải được ưu tiên hơn dữ liệu liên tục, vì thơng
tin dễ bay hơi là tạm thời trong tự nhiên và có thể bị phá hủy dễ dàng.
2.3.1.4 Thu thập bằng chứng dễ bị mất
Bằng chứng dễ bị mất là bằng chứng có thể dễ dàng bị mất trong quá trình
điều tra bình thường. Nó phải được đưa ra ưu tiên trong khi truy cập một bộ định
tuyến cho mục đích điều tra. Nó là tạm thời trong tự nhiên và có thể bị mất bất cứ
lúc nào. Do đó, điều tra viên nên thực hiện các bước để thu thập nó trong cơ hội
sớm nhất.
Một số chứng cứ điện tử dưới đây được coi là bằng chứng dễ bị mất:
− Cấu hình hiện tại
− Danh sách truy cập
− Thời gian
− Đăng nhập tập tin
Bằng chứng dễ bị mất có thể được thu thập theo hai cách sau:

− Truy cập trực tiếp
− Truy cập gián tiếp
 Truy cập trực tiếp: Truy cập trực tiếp được thực hiện bằng lệnh show. Các
bộ định tuyến được truy cập trực tiếp thông qua bảng điều khiển bộ định
tuyến. Một số lệnh show (cùng với đầu ra đi kèm cho một số) như sau:
− show clock detail
− show version
− show running-config
− show startup-config
− show ip route
− show ip arp
− show users
− show logging
− show ip interface
− show ip sockets
− show ip cache flow
 Truy cập gián tiếp: Chỉ có thể thực hiện truy cập gián tiếp nếu kẻ tấn cơng
có quyền truy cập gián tiếp Truy cập gián tiếp chỉ có thể được thực hiện nếu
kẻ tấn cơng đã thay đổi mật khẩu. Nó có thể được thực hiện bằng cách quét
cổng mọi IP bộ định tuyến.

15


Ví dụ: nếu bộ định tuyến có tên X, thì cú pháp để thực hiện quét cổng sẽ là
như sau: ed mật khẩu. Nó có thể được thực hiện bằng cách quét cổng mọi IP bộ
định tuyến.
Ví dụ: nếu bộ định tuyến có tên X, thì cú pháp để thực hiện quét cổng sẽ là
sau đây:
nmap -v -sS -P0 -p 1- X

nmap -v -sU -P0 -p 1- X
nmap -v -sR -P0 -p 1- X
Truy cập gián tiếp cũng có thể được thực hiện bằng cách quét SNMP mọi
IP của bộ định tuyến.
Ví dụ: nếu bộ định tuyến có tên X, cú pháp sẽ như sau:
snmpwalk –v1 Router.domain.com public
snmpwalk –v1 Router.domain.com private
2.3.1.5 Xác định cấu hình bộ định tuyến
Có hai cấu hình bộ định tuyến:
− Cấu hình được lưu trữ: Đây là cấu hình khơng biến đổi được lưu trữ
trong RAM khơng biến đổi (NVRAM).
− Cấu hình hiện tại: Đây là cấu hình dễ bay hơi được giữ trong RAM.
Sau đây là các bước mà điều tra viên phải thực hiện để có được cấu hình
bộ định tuyến:
Bước 1: Thiết lập kết nối với bộ định tuyến để truy xuất RAM và
NVRAM.
Bước 2: Sử dụng vỏ bảo mật giao thức được mã hóa để truy cập từ xa
vào bộ định tuyến nếu kết nối trực tiếp là không thể.
Bước 3: Đăng nhập toàn bộ phiên với HyperTerminal.
Bước 4: Nắm bắt và lưu các cấu hình bộ định tuyến dễ bay hơi và
khơng dễ bị mất cho mục đích tài liệu.
2.3.1.6 Kiểm tra và phân tích
Khi bằng chứng dễ bị mất đã được bảo mật và đã thu được cấu hình, điều
tra viên có thể bắt đầu để phân tích thơng tin lấy. Các thành phần bộ định tuyến
sau cần được kiểm tra và phân tích trong giai đoạn này:
−
−
−
−


Cấu hình bộ định tuyến
Bảng định tuyến
Danh sách điều khiển truy cập
Nhật ký bộ định tuyến
16


 Cấu hình bộ định tuyến so sánh cấu hình khởi động với cấu hình đang chạy
của bộ định tuyến. Sau đây là các lệnh được sử dụng cho mục đích này:
− Hiển thị cấu hình khởi động
− Hiển thị cấu hình đang chạy
 Bảng định tuyến: Bảng định tuyến chứa thông tin liên quan đến cách bộ
định tuyến chuyển tiếp các gói. Bảng định tuyến có thể được hiển thị bằng
cách sử dụng lệnh show ip route. Điều tra viên nên tìm kiếm một kênh
chuyển đổi chuyển hướng các gói bằng cách sử dụng một đường dẫn trái
phép.
 Danh sách điều khiển truy cập: Danh sách điều khiển truy cập được hiển thị
bằng cách sử dụng danh sách truy cập hiển thị lệnh. Điều tra viên nên kiểm
tra danh sách kiểm soát truy cập của bộ định tuyến để cố gắng xác định kẻ
tấn cơng. Kẻ tấn cơng có thể có đã nhập mạng từ một địa chỉ mạng đáng tin
cậy.
 Nhật ký bộ định tuyến: Nhật ký bộ định tuyến cung cấp thông tin về các
hoạt động của bộ định tuyến. Họ hiển thị thông tin chi tiết về những người
trên mạng và những gì họ đang làm trong mạng.
Nhật ký bộ định tuyến giúp điều tra theo các cách sau:
− Cung cấp thông tin chi tiết về những gì xảy ra trên các bộ định tuyến.
− Cho phép điều tra viên tìm ra dữ liệu đến từ đâu và xác định xem đó
có phải là mối đe dọa đối với mạng.
− Hiển thị chi tiết về địa chỉ IP của người gửi và người nhận gói.
Vì nhật ký bộ định tuyến hiển thị địa chỉ IP của cả người gửi và người nhận,

nên các lệnh ping hoặc nslookup có thể được sử dụng từ dịng lệnh để xác định
tên máy chủ lưu trữ.
Các loại nhật ký bộ định tuyến sau có các chức năng quan trọng và khác
nhau:
− Nhật ký nhật ký hệ thống: Tin nhắn nhật ký được nhận và lưu trữ trong
máy chủ nhật ký hệ thống. Điều tra viên phải kiểm tra syslog máy chủ
cho các thơng điệp tường trình.
− Bộ đệm nhật ký: Bộ đệm nhật ký bộ định tuyến lưu trữ các thơng điệp
tường trình. Những thơng điệp tường trình phải được xác định bởi điều
tra viên. Lệnh kiểm tra các thông điệp tường trình trong bộ đệm nhật
ký là hiển thị ghi nhật ký. Lệnh này tiết lộ nội dung của bộ đệm nhật
ký bộ định tuyến.

17


− Nhật ký bảng điều khiển: Các phiên bảng điều khiển được ghi lại trong
loại nhật ký này. Nhật ký này tiết lộ ai đã đăng nhập vào giao diện
điều khiển trong một khoảng thời gian cụ thể.
− Nhật ký đầu cuối: Nhật ký này hoàn toàn ngược lại với ghi nhật ký
bàn điều khiển. Tất cả các phiên nonconsole là được ghi lại, và điều
tra viên có thể xem các thông điệp nhật ký không vô thức này.
− Nhật ký SNMP: Loại nhật ký này chấp nhận tất cả các bẫy SNMP và
ghi lại chúng.
− Nhật ký vi phạm ACL: Danh sách kiểm sốt truy cập đóng vai trị
quan trọng trong việc điều tra các bộ định tuyến. Chúng có thể được
cấu hình để ghi nhật ký các gói phù hợp với quy tắc của chúng. đệm
log của một Router và máy chủ syslog cả nhận và lưu trữ các thơng
điệp tường trình trong loại hình đăng nhập này.
2.3.1.7 Tạo một báo cáo

Các bước sau đây phải được thực hiện bất cứ khi nào tạo báo cáo thu thập
và phân tích chứng cứ cho bộ định tuyến:
Bước 1: Lưu ý tên của điều tra viên.
Bước 2: Liệt kê bằng chứng bộ định tuyến.
Bước 3: Tài liệu bằng chứng và các mặt hàng hỗ trợ khác.
Bước 4: Cung cấp một danh sách các công cụ được sử dụng để điều tra.
Bước 5: Liệt kê các thiết bị và thiết lập được sử dụng trong kỳ thi.
Bước 6: Đưa ra một mô tả ngắn gọn về các bước kiểm tra.
Bước 7: Cung cấp các chi tiết sau đây về những phát hiện:
a. Thông tin về các tập tin
b. Bằng chứng liên quan đến Internet
c. Phân tích dữ liệu và hình ảnh
Bước 8: Đưa ra kết luận cho cuộc điều tra.

2.4. Công cụ NetFlow collector Cisco ASA
2.4.1 Netflow
Để đáp ứng lại các nhu cầu về quá trình hoạt động của mạng là rất quan
trọng. NetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân
tích hoạt động của mạng giúp giải quyết vấn đề này.
Nó cho phép người quản trị mạng có đầy đủ các cơng cụ để biết được thời
gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.
Netflow giúp người quản trị chuyên nghiệp nhận biết và giải quyết các vấn đề:
18


− Chất lượng dịch vụ(QoS)
− Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối
dịch vụ (DoS), Việc phát tán virus
− Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống
mạng: nhận dạng các ứng dụng mạng mới như VoIP chẳng hạn…

− Giảm sự quá tải của lưu lượng WAN
− Xử lý sự cố và nhận biết được điểm yếu của hệ thống mạng
− Phát hiện các lưu lượng WAN trái phép
− Bảo mật hệ thống mạng, phát hiện được các sự cố bất thường
− Phân chia băng thông hợp lý cho từng loại dịch vụ mạng khác nhau
Bắt đầu từ Asa version 8.2(1) đã hỗ trợ NetFlow SecureEvent Logging
(NSEL). Version hiện tại của NetFlow là version 9.

2.4.2 NetFlow collector Cisco ASA
NetFlow collector có nhiệm vụ thu thập thơng tin về luồng và tổng hợp
chúng lại để tạo ra một report. Không giống như SNMP, NetFlow thường xuyên
gửi thông tin một cách định kỳ tới NetFlow reporting collector.
NetFlow cache liên tục cập nhập các bản ghi từ Router, SW...nó sẽ tìm
trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow
collector server. Luồng sẽ kết thúc khi giao tiếp mạng kết thúc. Lượng dữ liệu gửi
tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong router. Những ghi
nhận chi tiết của NetFlow về từng packet cung cấp một cái nhìn đầy đủ và chi tiết
về tồn bộ lưu lượng mạng đã chuyển qua router hoặc switch.
Sau đây là các bước cơ bản để thực hiện một report của NetFlow:
− NetFlow được cấu hình để bắt luồng vào NetFlow cache
− NetFlow export được cấu hình để để gửi các luồng tới Collector
− NetFlow cache tìm kiếm luồng đã kết thúc và gửi thơng tin về luồng
đó tới NetFlow collector server.
− Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới
NetFlow collector server.
− Phần mềm NetFlow collector tạo ra real-time và historical report từ
dữ liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow
Collector:
Một luồng sẵn sàng được export khi nó ko hoạt động trong một khoảng

thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian hoạt động
cho phép.

19