Tài liệu Bài 5: pháp chứng mạng máy tính

  • Số trang: 63 |
  • Loại file: PDF |
  • Lượt xem: 251 |
  • Lượt tải: 0
tranphuong

Đã đăng 59174 tài liệu

Mô tả:

PHÁP CHỨNG KỸ THUẬT SỐ Bài 5: Pháp chứng Mạng máy tính Giảng viên: TS. Đàm Quang Hồng Hải Pháp chứng Mạng máy tính và pháp chứng kỹ thuật số Pháp chứng Mạng là gì? • Pháp chứng mạng là một nhánh của pháp chứng kỹ thuật số liên quan: • Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây là một cuộc điều tra với thời gian chủ động. • Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay phá hoại thông tin. • Thu thập các bằng chứng trên Mạng như trên các Website, từ các dấu vết xâm nhập của Malware ... để tìm ra các chứng cứ pháp lý về hoạt động của các đối tượng trên mạng. • Việc thực hiện pháp chứng mạng cũng cần thiết cho cả những người làm quản trị mạng. Nhiệm vụ bảo vệ không gian Mạng Một số khác biệt với Pháp chứng máy tính • Khác biệt với Pháp chứng máy tính truyền thống • Điều tra thông qua một quá trình xây dựng lại một sự kiện mạng • Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ tầng xuống cấp hoặc bị cúp điện. • Cung cấp các mảnh còn thiếu trong phân tích pháp chứng • Dựa trên việc sử dụng các phần mềm chụp lại các tập tin khi có sự cố Mạng • Một cách nhìn mới về phân tích dấu vết tập tin • Tiếp tục cùng phương thức xử lý sự cố truyền thống Các hướng điều tra của Pháp chứng mạng • Hướng điều tra liên quan đến an toàn mạng: khi giám sát một mạng máy tính có lưu lượng truy cập bất thường và xác định sự xâm nhập. • Một kẻ tấn công có thể có thể có khả năng xóa tất cả các tập tin đăng nhập trên một máy chủ bị tấn công, do vậy bằng chứng dựa trên lưu lượng mạng có thể là bằng chứng duy nhất để phân tích pháp chúng. • Hướng điều tra liên quan đến thông tin tội phạm trên mạng: Trong trường hợp phân tích các gói tin thu được có thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao, tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như email hoặc các buổi trò chuyện. Các câu hỏi với Điều tra viên • Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào các biện pháp phòng ngừa an ninh hiện hành? • Những gì thiệt hại đã xảy ra? • Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng đã để lại điều gì trên hệ thống như một tài khoản người dùng mới, một Trojan hoặc Worm hoặc phần mềm Bot? • Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân tích và mô phỏng lại cuộc tấn công và minh xác cho việc sửa chữa? E-Detective Các quá trình ứng phó sự cố mạng • Việc sử dụng thông tin các bản ghi tường lửa, các bản ghi hệ thống, và các bản ghi trên các thiết bị mạng có liên quan đến một thời gian truy cập, địa điểm, và địa chỉ IP cho phép xác định sự kiện liên quan đến an toàn mạng. • Điều tra viên có thể thông qua giám sát lưu lượng mạng để có thể cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính. Điều tra với các kỹ thuật thông thường Điều tra với phần mềm giám sát lưu lượng mạng • Phần mềm giám sát lưu lượng và phân tích mạng cho phép kiểm tra và đánh giá thực tế chuyển động các gói tin để hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại một phiên làm việc. • Phân tích pháp chứng các gói tin với các chức năng của nó nhằm phân tích được lịch sử thời gian để giải quyết các vấn đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ. • Phòng chống sự cố trong không gian số cho phép một sự hiểu biết về bối cảnh của một phiên làm việc để xác định điểm vào, đường dẫn và ứng dụng thực hiện và các thành phần mạng liên quan. Điều tra với các kỹ thuật phân tích mạng Pháp chứng Mạng và giao thức Mạng • Người điều tra viên khi tiến hành điều tra trên Mạng cần hiểu biết rõ giao thức của Mạng mà mình đang điều tra. • Các thông tin cần hiểu biết: • Cấu trúc các gói tin của các tầng giao thức • Các giao thức của bộ giao thức trong mạng • Các quy trình hoạt động • Người điều tra viên cần sử dụng thành thạo các công cụ nhằm tìm được các bằng chứng số liên quan đến yêu cầu của mình. Giao thức TCP/IP • TCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải (Transmission Control Protocol - TCP) và Giao thức Internet (Internet Protocol - IP). • Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối với Internet như thế nào và dữ liệu được truyền tải ra sao giữa chúng. • Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN, mạng WAN và mạng Internet. • Số lượng tội phạm Công nghệ cao dùng máy tính với giao thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để truy cập vào Internet Mạng với giao thức TCP/IP Địa chỉ IP • Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP. • Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên Mạng TCP/IP mà điều tra viên cần quan tâm. • Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động • Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua Access Point: Tại các nơi công cộng, hay công ty có nhiều máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh khi kết nối với mạng Internet. • Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính dùng chung địa chỉ IP tĩnh và động. Cấu trúc gói IP DHCP Server Cấu trúc gói Ethernet Các công cụ dùng điều tra với các gói tin trong mạng TCP/IP • Người điều tra viên cần hiểu yêu cầu mình muốn, các thông số nào mình cần biết. • Xác định mục đích khi thu thập thông tin làm gì như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm nhập. • Xác định yêu cầu phân tích dữ liệu dựa trên các gói tin TCP/IP thu thập được. • Các công cụ pháp chứng mạng như: Tcpdump/windump, Wireshark
- Xem thêm -