PHÁP CHỨNG KỸ THUẬT SỐ
Bài 6: Điều tra lưu lượng trên Mạng
máy tính
Giảng viên: TS. Đàm Quang Hồng Hải
Điều tra lưu lượng Mạng
• Phân tích thông kê lưu lượng ngày càng trở nên
quan trọng trong phân tích pháp chứng.
• Sử dụng kỹ thuật pháp chứng dựa trên máy ảo mẫu,
sẽ cho phép điều tra dựa trên các quá trình hành
động có tương quan với lưu lượng gói tin được ghi
lại.
• Ngoài việc dùng để giám sát và cải thiện hiệu suất,
thông tin lưu lượng còn là các chứng cớ số trong
pháp chứng.
2
Tấn công từ chối dịch vụ
• Tấn công từ chối dịch vụ gây ra việc ngừng hoạt động
các dịch vụ , chương trình hoặc ngăn chặn người khác
sử dụng dịch vụ hoặc chương trình.
• Tấn công từ chối dịch vụ có thể được thực hiện tại lớp
mạng bằng cách gửi một cách có tính toán các gói tin và
phần mềm độc hại làm cho các kết nối mạng trở nên
thất bại.
• Tấn công từ chối dịch vụ cũng có thể được thực hiện ở
lớp ứng dụng, các lệnh ứng dụng được trao cho một
chương trình kiểm soát một cách có tính toán làm cho
chúng trở nên vô cùng bận rộn hoặc ngừng làm việc.
Tấn công từ chối dịch vụ
4
Ghi nhận tấn công Mạng của NORSE
5

Điều tra lưu lượng mạng
• Định danh và phân loại những loại tấn công như
Dos, DDos, virus, worm theo thời gian thực dựa vào
những sự hành vi thay đổi bất thường trong mạng.
6
Phân tích lưu
lượng Mạng
Xác định máy
chủ bị tổn
thương
Xác nhận hoặc bác
bỏ dữ liệu nhậy
cảm
Hồ sơ nghi
phạm
Phân tích lưu lượng tấn công DDoS
7
Các thông tin lưu lượng pháp chứng
• Một bản ghi lưu lượng bao gồm địa chỉ IP nguồn và
đích, cổng nguồn và đích (nếu có), giao thức, ngày,
giờ và số lượng dữ liệu truyền đi trong mỗi dòng.
• Bản ghi lưu lượng là một tập hợp thông tin về một
dòng lưu lượng.
• Hệ thống xử lý
bản ghi lưu lượng
Hệ thống
xử lý bản
ghi lưu
lượng
Cảm

biến
Thu
thập
Tổng
hợp
Phân
thích
8
Thống kê bản ghi lưu lượng
9
Cảm biến (sensor)
• Ghi bằng thiết bị trên mạng: Một số thiết bị như
CISCO Router, Switch, Firewall đã có hỗ trợ việc
tạo ra và ghi dữ liệu mạng.
• Cài đặt thiết bị độc lập: Triển khai server ghi bằng
phần mềm xử lý ở bất cứ nơi nào trên mạng mà có
thể bắt thông tin lưu lượng.
• Giao thức trao đổi thông tin lưu lượng: NetFlow,
IPFIX, sFlow
10
Phần mềm cảm biến
• ARGUS (Audit Record Generation and Utilization System)
• Máy chủ: dùng để đọc các gói tin từ giao diện mạng hoặc gói bắt
từ file. Các công cụ người dùng: sử dụng để thu thập, phân phối,
xử lí và phân tích dữ liệu. Có thể xuất lưu lượng dữ liệu đầu ra ở
định dạng nén Argus, các tập tin đi qua mạng thông qua UDP.
• YAF (Yet Another Flowmeter):
• Đọc gói tin từ giao diện trực tiếp hoặc gói tin bị bắt, xuất lưu lượng
dữ liệu theo định dạng IPFIX, trên giao thức SCTP, TCP, UDP của
tầng vận chuyển, hỗ trợ các bộ lọc BPF cho mục đích lọc lưu

lượng truy cập đến, hỗ trợ việc mã hóa xuất lưu lượng sử dụng
TLS.
• Softflowd: Theo dõi một cách thụ động lưu lượng truy cập và xuất
bản ghi lưu lượng dữ liệu ở định dạng NetFlow.
11
Các yếu tố cần xem xét khi đặt cảm biến
12
Sự trùng lặp
• Làm tăng
nguồn cần
thiết để phân
tích, và gây
ra tắc nghẽn
mạng trong
quá trình
tổng hợp.
Đồng bộ hóa
thời gian
• Nếu thời
gian trên một
cảm biến
không chính
xác, rất khó
để tương
quan lưu
lượng được
xuất bởi thiết
bị này với
các thiết bị
khác.

Lưu lượng
ngoài so với bên
trong
• Lưu lượng
dữ liệu nội
bộ có thể
giúp xác
định các máy
trạm bị xâm
nhập đang
tìm cách lan
truyền tới
những mục
tiêu mới, bao
gồm cả bên
trong và bên
ngoài.
Tài nguyên
• Xem lại các
biểu đồ
mạng một
cách cẩn
thận và chọn
điểm nút thắt
mà nó sẽ tối
đa hóa khả
năng thu
thập, trong
khi nó vẫn
phù hợp với

phạm vi
ngân sách và
khả năng để
xử lí và phân
tích.
Năng lực
• Việc kích
hoạt xử lí
bản ghi lưu
lượng và
xuất chúng
có thể ảnh
hưởng đến
hiệu suất của
thiết bị
mạng, đặc
biết là nếu
nó được sử
dụng quá
mức.
Điều chỉnh môi trường
• Tận dụng trang thiết bị hiện có: Thay đổi cấu hình các
thiết bị, đảm bảo rằng các chức năng mạng không bị
ảnh hưởng xấu và cũng như bộ thu thập các bản ghi lưu
lượng sẽ vừa đủ.
• Nâng cấp thiết bị mạng: Tùy thuộc vào loại thiết bị
mạng, quá trình chuyển đổi này có thể đơn giản hoặc có
thể yêu cầu cấu hình lại nhiều hơn.
• Bổ sung các phần mềm cảm biến: Bộ cảm biến độc lập
(như Argus hoặc Softflowd), điều tra viên có thể lựa

chọn để thay thế một nhánh mạng và gửi dữ liệu đến bộ
cảm biến độc lập để thu thập bản ghi lưu lượng.
13
Giao thức NetFlow
• Là một Giao thức giám sát lượng truy cập của Cisco.
Lưu bộ nhớ đệm và xuất các thông tin mật độ lưu
lượng.
• Các gói tin “NetFlow Export” có thể được truyền
qua UDP, TCP, hoặc thậm chí SCTP.
o NetFlow V.5: đơn giản và được sử dụng rộng rãi trên
nhiều loại thiết bị của các nhà sản xuất khác nhau, chỉ hỗ
trợ IPv4, không hỗ trợ IPv6 và gói tin xuất phải được vẫn
chuyển qua UDP.
o NetFlow V.9: được lựa chọn bởi IETF làm cơ sở cho
chuẩn IPFIX, hỗ trợ IPv6 và xuất độc lập tầng vận
chuyển.
14
Ví dụ NetFlow
15
Sử dụng giao thức NetFlow
• Nhận biết được dấu hiệu hay nguy cơ của những
cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán
virus
• Phân tích các ứng dụng mới và ảnh hưởng của
chúng lên hệ thống mạng: nhận dạng các ứng dụng
mạng mới như Voice, Video …
• Phát hiện được các sự cố bất thường liên quan đến
đường truyền
• Giảm sự quá tải của lưu lượng WAN, Phân chia
băng thông hợp lí cho từng loại dịch vụ mạng khác

nhau
16
Hoạt động của Netflow
• NetFlow hoạt động bằng cách tạo ra một NetFlow
cache trong đó chứa thông tin về tất cả các
luồng(flow) đang hoạt động.
• NetFlow cache được xây dựng bằng cách xử lý
packet trong luồng thông qua một đường chuyển
mạch chuẩn.
• Trong 1 luồng, NetFlow ghi lại các packet đầu tiên
và nó sử dụng lại records này cho các packet khác
trong luồng đó cho đến khi luồng đó kết thúc.
• Các records sẽ được lưu trong Netflow Cache.
17
Hoạt động NetFlow cache
18
NetFlow cache
• Mỗi một record trong NetFlow cache chứa các
trường thuộc tính. Mỗi bản ghi luồng được tạo ra
bằng cách so sánh
• Thuộc tính của các packet
• Đếm số packet và số byte của mỗi luồng.
• NetFlow cache liên tục cập nhập các bản ghi từ
Router, SW nó sẽ tìm trong cache những luồng đã
kết thúc và những luồng này sẽ được gửi ra NetFlow
collector server.Luồng sẽ kết thúc khi giao tiếp
mạng kết thúc.
19
Thu thập dữ liệu lưu lượng NetFlow
20

NetFlow Reporting Collector
• NetFlow collector có nhiệm vụ thu thập thông tin về
luồng và tổng hợp chúng
• NetFlow export được cấu hình để để gửi thông tin
các luồng tới Collector. NetFlow cache tìm kiếm
luồng đã kết thúc và gửi thông tin về luồng đó tới
NetFlow collector server.
• Có khoảng từ 30-50 luồng được đóng gói và gửi
dưới dạng UDP tới NetFlow collector server.
• Phần mềm NetFlow collector có thể tạo ra các báo
cáo lưu lượng từ cơ sở dữ liệu.
21
Ví dụ báo cáo lưu lượng
22
NetFlow trong Cisco IOS
• NetFlow là một giao thức nhúng vào trong phần
mềm Cisco IOS trên router và switch.
• Cisco IOS NetFlow cho phép các thiết bị mạng được
chuyển tiếp lưu lượng truy cập để tổng hợp dữ liệu
về lưu lượng giao thông qua chúng.
• Cisco IOS NetFlow cho phép người quản trị mạng
có đầy đủ các công cụ để biết được thời gian, địa
điểm,đối tượng cũng như cách thức lưu thông của
lưu lượng mạng.
23
Cấu hình NetFlow trên Cisco Router
• Lưu lượng từ cổng s0 sẽ đổ về máy 20.1.1.2 qua port
9996
Router1(config)#int s0
Router1(config-if)#ip route-cache flow

Router1(config-if)#ex
Router1(config)#ip flow-export destination 20.1.1.2 9996
Router1(config)#ip flow-export source s0
Router1(config)#ip flow-export version 5
Router1(config)#ip flow-cache timeout active 1
Router1(config)#ip flow-cache timeout inactive 15
Router1(config)#snmp-server ifindex persist
24
Xem thông tin lưu lượng trên Router
25