Luận Văn Ứng dụng Network Forensics trong điều tra và phân tích tấn công mạng

LỜI NÓI ĐẦU
Sự phát triển mạnh mẽ của CNTT nói chung và mạng Internet nói riêng đã tạo điều kiện thuận lợi cho việc cung cấp đa dạng các dịch vụ hữu ích đến với con người. Trong vài năm gần đây, nó không ngừng phát triển để phù hợp với một cộng đồng rộng lớn hơn nhiều, đem lại rất nhiều dịch vụ với các lợi ích thương mại, kinh tế, xã hội . Tuy nhiên, nó cũng trở thành môi trường cho các cuộc chiến tranh không gian số, nơi mà các cuộc tấn công của nhiều loại hình khác nhau (liên quan tài chính, tư tưởng, hành vi trả đũa .) đang được phát động. Các giao dịch thương mại điện tử được thực hiện trực tuyến là mối quan tâm chính của tội phạm mạng. Những hacker ăn cắp tài khoản của người dùng để thực hiện ý đồ xấu như mua bán trực tuyến, thỏa hiệp với một website hay máy chủ, phát động tấn công lên các hệ thống khác. Chính vì thế, hệ thống máy tính cần phải được bảo vệ khỏi các cuộc tấn công và phản ứng một cách thích hợp để tạo ra những xử lý nhằm giảm thiểu thiệt hại do tội phạm gây ra. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm liên quan đến ngành khoa học điều tra số (digital forensics).
Điều tra số không đơn thuần chỉ là yếu tố kỹ thuật, nó còn yêu cầu người thực hiện giữ được một cái đầu rõ ràng, nhận thức được những gì nên và không nên làm. Các bộ phận CNTT đang trở thành đối tượng cụ thể của bất kỳ một tổ chức nào nhằm phân tích một máy tính hay mạng máy tính có thể là trung tâm của một cuộc điều tra nội bộ. Kết quả là, có một nhu cầu ngày càng tăng cho thấy không chỉ có các kỹ năng kỹ thuật mà còn là việc ra quyết định một cách chính xác và chuyên môn điều tra nhằm giúp giải quyết một loạt các vấn đề nhanh chóng, kín đáo.
Phân tích điều tra mạng (Network Forensics) là một nhánh của ngành khoa học điều tra số đề cập đến việc chặn bắt, ghi âm và phân tích lưu lượng mạng cho mục đích điều tra và ứng phó sự cố. Có rất nhiều kỹ thuật cũng như công cụ hỗ trợ trong việc chặn bắt các dữ liệu lan truyền trên mạng để một cuộc tấn công hay một ý đồ xấu có thể bị điều tra, ngăn chặn.
Nhận thấy được mức độ cấp thiết của vấn đề, em đã triển khai thực hiện đồ án: “Ứng dụng Network Forensics trong điều tra và phân tích tấn công mạng” nhằm đưa ra những hiểu biết chung về ngành khoa học điều tra, các dạng tấn công lên mạng máy tính cũng như quy trình điều tra, phát hiện và ngăn chặn các hành vi vi phạm góp phần xây dựng một hệ thống mạng an toàn, trong sạch.
Đồ án được triển khai thành năm chương với nội dung như sau:
Chương I – Tổng quan về phân tích điều tra số: trình bày khái niệm, lịch sử phát triển và ứng dụng thực tế của ngành khoa học điều tra số cùng quy trình thực hiện phân tích điều tra số.
Chương II – Phân tích điều tra mạng và nền tảng kỹ thuật phân tích điều tra mạng: đưa ra những hiểu biết chung, cái nhìn tổng quan về các kiến thức căn bản liên quan đến phân tích điều tra mạng cũng như đặc điểm của các dạng tấn công mạng phổ biến.
Chương III –Quy trình và kỹ thuật phân tích điều tra mạng: giới thiệu về một quy trình chung để áp dụng cho công tác phân tích điều tra mạng, những kỹ thuật và công cụ sử dụng trong việc phân tích.
Chương IV – Ứng dụng của Network Forensics trong điều tra phân tích tấn công mạng: trình bày về những ràng buộc pháp lý trong quá trình điều tra, mô tảcác bước thực hiện phân tích điều tra một tình huống tấn công mạng xảy ra trên thực tế.
Chương V – Đánh giá và kết luận: trình bày ý nghĩa thực tiễn của phân tích điều tra mạng, những vấn đề đã thực hiện được cũng như những hạn chế trong nội dung đồ án và định hướng phát triển cho đồ án trong tương lai.
“Ứng dụng Network Forensics trong điều tra và phân tích tấn công mạng” là một đề tài còn khá mới mẻ, mang tính chất thời đại, cần được cập nhật, chỉnh sửa và bổ sung thường xuyên. Với thời gian tìm hiểu và kiến thức còn hạn chế nên đề tài khó tránh khỏi những thiếu sót.Em rất mong được sự góp ý của thầy cũng như mọi người để đồ án thêm hoàn thiện.
Em xin gửi lời cảm ơn chân thành nhất đến thầy giáo hướng dẫn thực hiện đồ án, thầy ThS. Vũ Đình Thuđã dành nhiều thời gian quan tâm, đôn đốc và giúp đỡ em trong quá trình học tập, định hướng nghề nghiệp cũng như hoàn thành đồ án.
Em xin được bày tỏ lòng tri ân sâu sắc đến tất cả các thầy cô giảng dạy tại trường Học viện Kỹ thuật Mật mã đã giúp em tích lũy được nhiều kinh nghiệm cùng những kiến thức chuyên môn trong cả một quá trình dài học tập, nghiên cứunhằm tạo điều kiện tốt nhất cho em phát triển bản thân và thực hiện đồ án.
Em cũng xin cảm ơn sự quan tâm, chia sẻ và động viên của gia đình, bạn bè cùng các anh chị đồng nghiệp ở cơ quan đã giúp em có thêm thật nhiều động lực phấn đấu, vượt qua những khó khăn, trở ngại trong cuộc sống, tìm được niềm vui trong học tập cũng như công việc, góp phần quan trọng trong quá trình hoàn thiện đồ án này.

MỤC LỤC
MỤC LỤC i
DANH MỤC CÁC TỪ VIẾT TẮT v
DANH MỤC CÁC BẢNG vi
DANH MỤC CÁC HÌNH VẼ vii
LỜI NÓI ĐẦU viii
CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH ĐIỀU TRA SỐ 11
1.1. Giới thiệu về điều tra số 11
1.2. Lịch sử điều tra số 11
1.3. Ứng dụng của điều tra số 12
1.4. Quy trình thực hiện điều tra số 13
1.5. Các loại hình điều tra số phổ biến 14
1.5.1. Điều tra máy tính 14
1.5.2. Điều tra mạng 15
1.5.3. Điều tra thiết bị di động 15
Kết luận chương I 16
CHƯƠNG II: PHÂN TÍCH ĐIỀU TRA MẠNG VÀ NỀN TẢNG KỸ THUẬT PHÂN TÍCH ĐIỀU TRA MẠNG 17
2.1. Giới thiệu về phân tích điều tra mạng (Network Forensics) 17
2.2. Vai trò và ứng dụng của phân tích điều tra mạng 18
2.3. Nền tảng kỹ thuật cho phân tích điều tra mạng 19
2.3.1. Hệ điều hành và các dịch vụ mạng phổ biến 19
2.3.1.1.Các dạng hệ điều hành 19
2.3.1.2.Các định dạng file của hệ điều hành 20
2.3.1.3.Các dịch vụ mạng phổ biến 21
2.3.2. Giao thức mạng 24
2.3.2.1.Các giao thức mạng phổ biến 24
2.3.2.2.Giao thức TCP/IP 27
2.3.2.2.1.IP v4 27
2.3.2.2.2.IP v6 28
2.3.3. Dữ liệu của mạng 29
2.3.3.1.Các dạng gói tin mạng 29
2.3.3.2.Lưu lượng mạng 32
2.3.3.3.Định dạng Nhật ký 32
2.3.4.Các kỹ thuật tấn công mạng máy tính 37
2.3.4.1.Nghe trộm (Eavesdropping) 37
2.3.4.2.Giả mạo (Spoofing) 37
2.3.4.3.Tấn công từ chối dịch vụ (Denial of Service) 38
2.3.4.4.Tấn công kẻ đứng giữa (MITM - Man-in-the-middle) 40
2.3.4.5.Tấn công chặn bắt (Sniffer) 40
2.3.4.6.Tấn công lớp ứng dụng (Application-layer) 40
Kết luận chương II 41
CHƯƠNG III: QUY TRÌNH VÀ KỸ THUẬT PHÂN TÍCH ĐIỀU TRA MẠNG 42
3.1. Quy trình tổng quan trong phân tích điều tra mạng 42
3.1.1. Giai đoạn 1: Chuẩn bị và ủy quyền 43
3.1.2. Giai đoạn 2: Phát hiện sự cố hoặc hành vi phạm tội 43
3.1.3. Giai đoạn 3: Ứng phó sự cố 43
3.1.4. Giai đoạn 4: Thu thập các vết tích mạng 44
3.1.5. Giai đoạn 5: Duy trì và bảo vệ 44
3.1.6. Giai đoạn 6: Kiểm tra 44
3.1.7. Giai đoạn 7: Phân tích 45
3.1.8. Giai đoạn 8: Điều tra và quy kết trách nhiệm 45
3.1.9. Giai đoạn 9: Tổng kết đánh giá 45
3.2. Kỹ thuật phân tích 46
3.2.1 Phân tích gói tin 46
3.2.2. Phân tích thống kê lưu lượng 47
3.2.3. Phân tích nhật ký, sự kiện 47
3.2.3.1. Nhật ký phần mềm bảo mật 48
3.2.3.2. Nhật ký hệ điều hành 51
3.2.3.3. Nhật ký ứng dụng 52
3.3. Công cụ sử dụng trong phân tích điều tra mạng 54
3.3.1. Wireshark 54
3.3.2. NetworkMiner 54
3.3.4. Tcpxtract & TCPflow 55
3.3.5. Foremost 56
3.3.6. Scapy 56
Kết luận chương III 57
CHƯƠNG IV: ỨNG DỤNG NETWORK FORENSICS TRONG ĐIỀU TRA PHÂN TÍCH TẤN CÔNG MẠNG 58
4.1. Tính pháp lý của phân tích điều tra mạng và các ràng buộc 58
4.2. Các chú ý khi thực hiện phân tích điều tra 61
4.3. Ứng dụng Network Forensics vào điều tra phân tích tấn công cụ thể 62
4.3.1. Giới thiệu tình huống 62
4.3.2. Các bước thực hiện 62
4.3.3. Kết quả phân tích điều tra 63
Kết luận chương IV 68
CHƯƠNG V: ĐÁNH GIÁ VÀ KẾT LUẬN 69
5.1. Ý nghĩa thực tiễn của phân tích điều tra mạng 69
5.2. Những vấn đề đã thực hiện được trong đồ án 69
5.3. Hạn chế 70
5.4. Định hướng phát triển 70
TÀI LIỆU THAM KHẢO 73
PHỤ LỤC I 792
PHỤ LỤC II 772