Thạc Sĩ Nghiên cứu xây dựng công cụ hỗ trợ phân tích gói tin trong điều tra mạng

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
ii

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ KỸ THUẬT ĐIỀU TRA SỐ VÀ ĐIỀU
TRA MẠNG . 3
1.1. GIớI THIệU Về ĐIềU TRA Số . 3
1.1.1. Lịch sử điều tra số . 3
1.1.2. Ứng dụng của điều tra số 5
1.1.3. Quy trình thực hiện điều tra số . 6
1.1.4. Các loại hình điều tra số phổ biến 7
1.2. GIớI THIệU Về PHÂN TÍCH ĐIềU TRA MạNG (NETWORK FORENSICS) 13
1.2.1. Vai trò và ứng dụng của phân tích điều tra mạng 15
1.2.2. Nền tảng kỹ thuật cho phân tích điều tra mạng 16
1.2.3. Các kỹ thuật tấn công mạng máy tính . 28
CHƯƠNG 2. PHÂN TÍCH ĐIỀU TRA MẠNG VÀ PHÂN TÍCH GÓI
TIN TRONG ĐIỀU TRA MẠNG 33
2.1.QUY TRÌNH TổNG QUAN TRONG PHÂN TÍCH ĐIềU TRA MạNG . 33
2.1.1. Giai đoạn 1: Chuẩn bị và ủy quyền 33
2.1.2. Giai đoạn 2: Phát hiện sự cố hoặc hành vi phạm tội . 34
2.1.3. Giai đoạn 3: Ứng phó sự cố 34
2.1.4. Giai đoạn 4: Thu thập các vết tích mạng 35
2.1.5. Giai đoạn 5: Duy trì và bảo vệ . 35
2.1.6. Giai đoạn 6: Kiểm tra . 35
2.1.7. Giai đoạn 7: Phân tích 36
2.1.8. Giai đoạn 8: Điều tra và quy kết trách nhiệm 36
2.1.9. Giai đoạn 9: Tổng kết đánh giá 37
2.2. Kỹ THUậT PHÂN TÍCH ĐIềU TRA MạNG 37
2.2.1. Phân tích gói tin 37
2.2.2. Phân tích thống kê lưu lượng 38
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
iii

2.2.3. Phân tích nhật ký, sự kiện . 39
2.3. CÔNG Cụ Sử DụNG TRONG PHÂN TÍCH ĐIềU TRA MạNG 40
2.3.1. Wireshark 40
2.3.2. NetworkMiner . 40
2.3.3. Snort 41
2.3.4. Tcpxtract & TCPflow 42
2.3.5. Foremost . 42
2.3.6. Scapy . 43
2.4. CÁCH THứC PHÂN TÍCH GÓI TIN TRONG ĐIềU TRA MạNG . 43
2.4.1. Đặc điểm gói tin mạng 43
2.4.2. Cách thức phân tích gói tin mạng . 53
CHƯƠNG 3: XÂY DỰNG CÔNG CỤ HỖ TRỢ PHÂN TÍCH GÓI TIN 62
3.1. MụC TIÊU CÔNG Cụ Hỗ TRợ PHÂN TÍCH GÓI TIN 63
3.2. PHÂN TÍCH, THIếT Kế CÔNG Cụ Hỗ TRợ PHÂN TÍCH GÓI TIN THEO GIAO THứC
MạNG 63
KẾT LUẬN . 71
TÀI LIỆU THAM KHẢO . 72
PHỤ LỤC . 73




Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
iv

DANH MỤC CÁC TỪ VIẾT TẮT















STT Tên viết tắt Tên tiếng Anh
1 ARP Address resolution protocol
2 CPU Central Processing Unit
3 DHCP Dynamic Host Configuration Protocol
4 DNS Domain Name System
5 DoS Denial of Service
6 HTTP Hypertext Transfer Protocol
7 ICMP Internet control message protocol
8 IDS Intrusion Detection System
9 IP Internet Protocol
10 TCP Tranmission Control Protocol
11 RARP Reserve address resolution protocol
12 OSI Open Systems Interconnection Reference Model
13 UDP User Datagram Protocol
14 URL Uniform Resource Locator
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
v


DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1.1. Các bước thực hiện điều tra số . 6
Hình 1.2. Các bước thực hiện điều tra di động 10
Hình 1.3. Network Forensics trong Forensics Sciences . 13
Hình 2.1. Quy trình chung trong phân tích điều tra mạng . 33
Hình 2.2. Tcp header . 44
Hình 2.3. UDP header 46
Hình 2.4. IP Header 47
Hình 2.5. Type of Services . 47
Hình 2.6. Vị trí gói ICMP header . 50
Hình 2.7. ICMP header . 51
Hình 2.8. ARP Header 52
Hình 2.9. Nghe trong mạng hub 55
Hình 2.10. Xung đột trong mạng hub 56
Hình 2.11. Nghe trong mạng Switch . 56
Hình 2.12. Bắt lưu lượng của thiết bị mục tiêu trên mạng Switch bằng Port
Mirroring . 57
Hình 2.13. Bắt lưu lượng của thiết bị mục tiêu trên mạng Switch bằng Hubbing
Out .58
Hình 2.14. Bắt lưu lượng của thiết bị mục tiêu trên mạng Switch bằng ARP
Cache Poisoning . 60
Hình 2.15. Nghe trong mạng sử dụng Router . 61
Hình 3.1. Mô hình hoạt động 64
Hình 3.2. Các bước hoạt động của công cụ 64
Hình 3.3. Thống kê ban đầu của các gói tin . 65
Hình 3.4. Thống kê gói tin theo địa chỉ IP của tất cả các giao thức 66
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
vi

Hình 3.5. Thống kê gói tin theo địa chỉ MAC của tất cả các giao thức . 67
Hình 3.6. Thống kê gói tin theo địa chỉ IP của giao thức TCP 69
Hình 3.7. Thống kê gói tin theo địa chỉ MAC của giao thức TCP 69































1

MỞ ĐẦU
Sự phát triển mạnh mẽ của Công nghệ thông tin nói chung và mạng
Internet nói riêng đã tạo điều kiện thuận lợi cho việc cung cấp đa dạng các
dịch vụ hữu ích đến với con người. Trong vài năm gần đây, nó không ngừng
phát triển để phù hợp với một cộng đồng rộng lớn hơn nhiều, đem lại rất
nhiều dịch vụ với các lợi ích thương mại, kinh tế, xã hội . Tuy nhiên, nó cũng
trở thành môi trường cho các cuộc chiến tranh không gian số, nơi mà các cuộc
tấn công của nhiều loại hình khác nhau (liên quan tài chính, tư tưởng, hành vi
trả đũa .) đang được phát động. Các giao dịch thương mại điện tử được thực
hiện trực tuyến là mối quan tâm chính của tội phạm mạng. Những hacker ăn
cắp tài khoản của người dùng để thực hiện ý đồ xấu như mua bán trực tuyến,
thỏa hiệp với một website hay máy chủ, phát động tấn công lên các hệ thống
khác. Chính vì thế, hệ thống máy tính cần phải được bảo vệ khỏi các cuộc tấn
công và phản ứng một cách thích hợp để tạo ra những xử lý nhằm giảm thiểu
thiệt hại do tội phạm gây ra. Quá trình xử lý sự cố, phục hồi chứng cứ và truy
tìm dấu vết tội phạm liên quan đến ngành khoa học điều tra số (digital
forensics).
Phân tích điều tra mạng(Network Forensics) là một nhánh của ngành
khoa học điều tra số đề cập đến việc chặn bắt, ghi âm và phân tích lưu lượng
mạng cho mục đích điều tra và ứng phó sự cố. Có rất nhiều kỹ thuật cũng như
công cụ hỗ trợ trong việc chặn bắt các dữ liệu lan truyền trên mạng để một
cuộc tấn công hay một ý đồ xấu có thể bị điều tra, ngăn chặn.
Công cụ hỗ trợ phân tích gói tin trong điều tra mạng là một vấn đề rất
quan trọng và luôn cấp thiết. Để cho quá trình điều tra mạng được nhanh và
chính xác thì một chương trình hỗ trợ cần phải được xây dựng một cách chính
xác cung cấp nhiều thông tin cần thiết cho người điều tra.
2

Nhận thấy được mức độ cấp thiết của vấn đề, học viên đã triển khai
nghiên cứu thực hiện luận văn: “Nghiên cứu xây dựng công cụ hỗ trợ phân
tích gói tin trong điều tra mạng” nhằm đưa ra những hiểu biết chung về
ngành khoa học điều tra, cùng với chương trình phục vụ quá trình điều tra
mong một phần nào đó sẽ giúp cho quá trình điều tra phân tích mạng được hỗ
trợ một cách dễ dàng và nhanh chóng hơn.
Luận văn được triển khai thành 3 chương với nội dung như sau:
Chương I – Tổng quan về kỹ thuật điều tra số và điều tra mạng
Chương II – Phân tích điều tra mạng và phân tích gói tin trong điều tra mạng
Chương III – Xây dựng công cụ hỗ trợ phân tích gói tin
Xây dựng công cụ hỗ trợ phân tích gói tin trong điều tra mạng
(network forensic) là một đề tài còn khá mới mẻ, mang tính chất thời đại, cần
được cập nhật, chỉnh sửa và bổ sung thường xuyên. Với thời gian tìm hiểu và
kiến thức còn hạn chế nên đề tài khó tránh khỏi những thiếu sót. Em rất mong
được sự góp ý của thầy cô để luận văn thêm hoàn thiện.
Em xin gửi lời cảm ơn chân thành nhất đến thầy giáo hướng dẫn thực
hiện đồ án, thầy Ts. Trần Đức Sự đã dành nhiều thời gian quan tâm, đôn đốc
và giúp đỡ em trong quá trình làm luận văn.
Em xin được bày tỏ lòng tri ân sâu sắc đến tất cả các thầy cô giảng dạy
lớp cao học CK12I đã giúp em tích lũy được nhiều kinh nghiệm cùng những
kiến thức chuyên môn trong quá trình dài học tập, nghiên cứu.