PHÁP CHỨNG KỸ THUẬT SỐ

Bài 6: Điều tra tội phạm Mạng - Pháp
chứng Mạng máy tính

Giảng viên: TS. Đàm Quang Hồng Hải


Pháp chứng Mạng máy tính và pháp chứng
kỹ thuật số


Pháp chứng Mạng là gì?
• Pháp chứng mạng là một nhánh của pháp chứng kỹ
thuật số liên quan:
• Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu
lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây
là một cuộc điều tra với thời gian chủ động.
• Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay
phá hoại thơng tin.
• Thu thập các bằng chứng trên Mạng như trên các Website, từ
các dấu vết xâm nhập của Malware ... để tìm ra các chứng cứ
pháp lý về hoạt động của các đối tượng trên mạng.

• Việc thực hiện pháp chứng mạng cũng cần thiết cho cả
những người làm quản trị mạng.


Nhiệm vụ bảo vệ không gian Mạng

Một số khác biệt với Pháp chứng máy tính
• Khác biệt với Pháp chứng máy tính truyền thống
• Điều tra thơng qua một q trình xây dựng lại một
sự kiện mạng

• Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố
khác như một mạng khơng rõ ngun nhân hoặc cơ sở hạ
tầng xuống cấp hoặc bị cúp điện.
• Cung cấp các mảnh cịn thiếu trong phân tích pháp chứng

• Dựa trên việc sử dụng các phần mềm chụp lại các
tập tin khi có sự cố Mạng
• Một cách nhìn mới về phân tích dấu vết tập tin
• Tiếp tục cùng phương thức xử lý sự cố
truyền thống


Các hướng điều tra của Pháp chứng mạng
• Hướng điều tra liên quan đến an toàn mạng: khi giám sát
một mạng máy tính có lưu lượng truy cập bất thường và xác
định sự xâm nhập.
• Một kẻ tấn cơng có thể có thể có khả năng xóa tất cả các
tập tin đăng nhập trên một máy chủ bị tấn công, do vậy
bằng chứng dựa trên lưu lượng mạng có thể là bằng
chứng duy nhất để phân tích pháp chúng.
• Hướng điều tra liên quan đến thông tin tội phạm trên
mạng: Trong trường hợp phân tích các gói tin thu được có
thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao,
tìm kiếm cho các từ khóa và phân tích thơng tin liên lạc như
email hoặc các buổi trị chuyện.



Các câu hỏi với Pháp chứng viên
• Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào
các biện pháp phịng ngừa an ninh hiện hành?
• Những gì thiệt hại đã xảy ra?
• Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng
đã để lại điều gì trên hệ thống như một tài khoản
người dùng mới, một Trojan hoặc Worm hoặc phần
mềm Bot?
• Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân
tích và mơ phỏng lại cuộc tấn công và minh xác cho
việc sửa chữa?


E-Detective


Các q trình ứng phó sự cố mạng
• Việc sử dụng thông tin các bản ghi tường lửa, các
bản ghi hệ thống, và các bản ghi trên các thiết bị
mạng có liên quan đến một thời gian truy cập, địa
điểm, và địa chỉ IP cho phép xác định sự kiện liên
quan đến an tồn mạng.
• Pháp chứng viên có thể thơng qua giám sát lưu
lượng mạng để có thể cơ lập số lượng máy chủ để
đưa cho triển khai pháp chứng máy tính.


Điều tra với các kỹ thuật thông thường



Điều tra với phần mềm giám sát lưu lượng mạng
• Phần mềm giám sát lưu lượng và phân tích mạng cho phép
kiểm tra và đánh giá thực tế chuyển động các gói tin để
hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại
một phiên làm việc.
• Phân tích pháp chứng các gói tin với các chức năng của nó
nhằm phân tích được lịch sử thời gian để giải quyết các vấn
đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ.
• Phịng chống sự cố trong không gian số cho phép một sự
hiểu biết về bối cảnh của một phiên làm việc để xác định
điểm vào, đường dẫn và ứng dụng thực hiện và các thành
phần mạng liên quan.


Điều tra với các kỹ thuật phân tích mạng


Pháp chứng Mạng và giao thức Mạng
• Người Pháp chứng viên khi tiến hành điều tra trên
Mạng cần hiểu biết rõ giao thức của Mạng mà mình
đang điều tra.
• Các thơng tin cần hiểu biết:
• Cấu trúc các gói tin của các tầng giao thức
• Các giao thức của bộ giao thức trong mạng
• Các quy trình hoạt động
• Người Pháp chứng viên cần sử dụng thành thạo các
công cụ nhằm tìm được các bằng chứng số liên quan
đến yêu cầu của mình.



Giao thức TCP/IP
• TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải
(Transmission Control Protocol - TCP) và Giao thức
Internet (Internet Protocol - IP).
• Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối
với Internet như thế nào và dữ liệu được truyền tải ra sao
giữa chúng.
• Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN,
mạng WAN và mạng Internet.
• Số lượng tội phạm Cơng nghệ cao dùng máy tính với giao
thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để
truy cập vào Internet


Mạng với giao thức TCP/IP


Địa chỉ IP
• Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử
dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP.
• Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên
Mạng TCP/IP mà Pháp chứng viên cần quan tâm.
• Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động
• Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua
Access Point: Tại các nơi công cộng, hay cơng ty có nhiều
máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả
các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh
khi kết nối với mạng Internet.

• Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính
dùng chung địa chỉ IP tĩnh và động.


Cấu trúc gói IP


DHCP Server


Cấu trúc gói Ethernet


Các cơng cụ dùng điều tra với các gói tin
trong mạng TCP/IP
• Người Pháp chứng viên cần hiểu yêu cầu mình
muốn, các thơng số nào mình cần biết.
• Xác định mục đích khi thu thập thơng tin làm gì
như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm
nhập.
• Xác định yêu cầu phân tích dữ liệu dựa trên các gói
tin TCP/IP thu thập được.
• Các cơng cụ pháp chứng mạng như:
Tcpdump/windump, Wireshark


TCP/IP Packet sniffer


SPAN port

• Switched Port Analyzer port
• Cho phép cấu hình để Switch tự động sao chép các gói tin
qua lại giữa các cổng đến một cổng được gọi là cổng giám
sát (SPAN port ).
• Các phần mềm sniffer hay các hệ thống phân tích sẽ cần
phải được kết nối với một SPAN port để có thể xem xét
đưọc lưu lượng qua Switch


Switch với SPAN port


Bắt gói tin bằng Sniffer
• Sniffer là một chương trình cho phép nghe các lưu
lượng thông tin trên một hệ thống mạng.
• Tương tự như là thiết bị cho phép nghe lén trên
đường dây điện thoại. 
• Việc bắt gói tin bằng Sniffer là thụ động và thường
sẽ không tạo ra bất kỳ lưu lượng mạng nào.


Mạng cho phép Sniffer thu thập thông tin