Tài liệu biên soạn bởi CEH VIETNAM theo outline EC Council CHFI v11
Thu thập bằng chứng thông qua giám sát mạng
Sniffer là phần mềm hoặc phần cứng máy tính có thể chặn và ghi lại lưu lượng đi qua mạng kỹ thuật số hoặc một phần của mạng
Quản trị viên nên cấu hình sniffer cho kích thước khung cần được thu thập
Sniffer, đặt NIC ở chế độ không phân biệt, được sử dụng để thu thập bằng chứng kỹ thuật số ở lớp vật lý
Sniffer thu thập lưu lượng từ các lớp mạng và vận chuyển ngoài lớp vật lý và liên kết dữ liệu
Các cổng được mở rộng, phần cứng tap giúp đánh hơi trong mạng chuyển mạch
Một máy tính được kết nối với LAN có hai địa chỉ. Một là địa chỉ MAC xác định cụ thể từng nút trong mạng và được lưu trữ trên chính card mạng. Giao thức ethernet sử dụng địa chỉ MAC khi xây dựng các “khung” để trao đổi dữ liệu giữa các hệ thống. Địa chỉ còn lại là địa chỉ IP được sử dụng bởi các ứng dụng. Lớp liên kết dữ liệu sử dụng tiêu đề ethernet với địa chỉ MAC của máy đích thay vì địa chỉ IP.
Lớp mạng chịu trách nhiệm ánh xạ địa chỉ mạng IP với địa chỉ MAC, theo yêu cầu của giao thức liên kết dữ liệu. Ban đầu nó tìm kiếm địa chỉ MAC của máy đích trong một bảng, thường được gọi là bộ nhớ đệm ARP. Khi không tìm thấy mục nhập cho địa chỉ IP, một gói yêu cầu ARP quảng bá được gửi đến tất cả các máy trên mạng con cục bộ. Máy có địa chỉ cụ thể đó phản hồi cho máy nguồn bằng địa chỉ MAC của nó và địa chỉ MAC được thêm vào bộ nhớ đệm ARP của máy nguồn. Sau đó máy nguồn sử dụng địa chỉ MAC này trong tất cả các giao tiếp của nó với máy đích.
Có hai loại môi trường ethernet cơ bản, và sniffer hoạt động hơi khác nhau trong cả hai môi trường này. Hai loại môi trường ethernet là ethernet chia sẻ và ethernet chuyển mạch.
Công cụ giám sát mạng: Wireshark
Quản trị viên mạng | Công cụ Wireshark | Mạng
Nó thu thập lưu lượng mạng trực tiếp từ Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI
Nó cho phép bạn thu thập và duyệt tương tác lưu lượng đang chạy trên mạng máy tính
Wireshark sử dụng Winpcap để thu thập gói tin, do đó nó chỉ có thể thu thập các gói trên các mạng được Winpcap hỗ trợ
Các tệp đã thu thập có thể được chỉnh sửa theo chương trình thông qua dòng lệnh
Một tập hợp các bộ lọc để hiển thị dữ liệu tùy chỉnh có thể được tinh chỉnh bằng cách sử dụng bộ lọc hiển thị
Wireshark là một trình phân tích giao thức mạng GUI. Nó cho phép người dùng duyệt tương tác dữ liệu gói từ một mạng trực tiếp hoặc từ một tệp thu thập đã lưu trước đó. Định dạng tệp thu thập gốc của Wireshark là định dạng libpcap, cũng là định dạng được sử dụng bởi tcpdump và các công cụ khác nhau khác. Ngoài ra, Wireshark có thể đọc các tệp thu thập từ snoop và atmsnoop, Shomiti/Finisar Surveyor, Network General/Network Associates DOS-based Sniffer (nén hoặc chưa nén), Microsoft Network Monitor, và nhiều hơn nữa.
Wireshark không yêu cầu xác định loại tệp mà người dùng đang đọc; nó sẽ tự xác định loại tệp. Wireshark cũng có khả năng đọc bất kỳ định dạng tệp nào được nén bằng gzip. Wireshark nhận ra điều này trực tiếp từ tệp; phần mở rộng .gz không bắt buộc cho mục đích này. Giống như các trình phân tích giao thức khác, cửa sổ chính của Wireshark hiển thị ba chế độ xem của một gói. Nó hiển thị một dòng tóm tắt, mô tả ngắn gọn gói là gì. Nó hiển thị cây giao thức cho phép người dùng đi sâu vào giao thức hoặc trường cụ thể mà họ quan tâm. Cuối cùng, một bản dump hex hiển thị cho người dùng chính xác gói trông như thế nào khi đi qua dây.
Ngoài ra, Wireshark có các tính năng khác. Nó có thể tập hợp tất cả các gói trong một cuộc hội thoại TCP và hiển thị cho người dùng dữ liệu ASCII (hoặc EBCDIC, hoặc hex) trong cuộc hội thoại đó. Bộ lọc hiển thị trong Wireshark rất mạnh mẽ. Thư viện pcap thực hiện việc thu thập gói. Cú pháp bộ lọc thu thập tuân theo các quy tắc của thư viện pcap. Cú pháp này khác với cú pháp bộ lọc hiển thị. Hỗ trợ tệp nén sử dụng thư viện zlib. Nếu thư viện zlib không có mặt, Wireshark sẽ biên dịch, nhưng sẽ không thể đọc các tệp nén. Tùy chọn -r có thể được sử dụng để chỉ định tên đường dẫn cho việc đọc tệp đã thu thập hoặc để chỉ định tên đường dẫn như một đối số dòng lệnh.
Các tính năng bao gồm:
- Cho phép duyệt dữ liệu mạng đã thu thập
- Thu thập các tệp được nén bằng gzip và có thể giải nén chúng
- Có thể áp dụng các quy tắc màu sắc vào danh sách gói để phân tích nhanh chóng, trực quan
- Cho phép xuất đầu ra sang XML, PostScript, CSV hoặc văn bản thuần túy
Theo dõi luồng TCP trong Wireshark
Khi làm việc với các giao thức dựa trên TCP, có thể hữu ích để xem dữ liệu từ một luồng TCP theo cách mà lớp ứng dụng nhìn thấy nếu điều tra viên đang tìm kiếm mật khẩu trong một luồng Telnet hoặc cố gắng hiểu một luồng dữ liệu. Chỉ cần một bộ lọc hiển thị có thể cần thiết để chỉ hiển thị các gói của luồng TCP đó. Nếu vậy, khả năng theo dõi luồng TCP của Wireshark sẽ hữu ích.
Người dùng chỉ cần chọn một gói TCP trong danh sách gói của luồng/kết nối thích hợp và sau đó chọn mục menu Follow TCP Stream từ menu Tools của Wireshark. Wireshark sẽ đặt một bộ lọc hiển thị thích hợp và hiện một hộp thoại với tất cả dữ liệu từ luồng TCP được sắp xếp theo thứ tự, như trong hình dưới đây.
Nội dung luồng được hiển thị theo cùng trình tự như nó xuất hiện trên mạng. Lưu lượng từ A đến B được đánh dấu màu đỏ, trong khi lưu lượng từ B đến A được đánh dấu màu xanh. Tuy nhiên các màu có thể được thay đổi. Những màu này trong trang “Colors” của hộp thoại “Preferences”.
Các ký tự không in được sẽ được thay thế bằng dấu chấm.
Nội dung luồng sẽ không được cập nhật khi đang thực hiện thu thập trực tiếp. Để có nội dung mới nhất, người dùng cần mở lại hộp thoại.
Bạn có thể chọn từ các hành động sau:
Lưu dưới dạng: Lưu dữ liệu luồng ở định dạng hiện được chọn. In: In dữ liệu luồng ở định dạng hiện được chọn. Hướng: Chọn hướng luồng để hiển thị (“Toàn bộ cuộc hội thoại”, “chỉ dữ liệu từ A đến B” hoặc “chỉ dữ liệu từ B đến A”). Lọc ra luồng này: Áp dụng bộ lọc hiển thị loại bỏ dữ liệu luồng TCP hiện tại khỏi màn hình. Đóng: Đóng hộp thoại này, để lại bộ lọc hiển thị hiện tại có hiệu lực.
Bạn có thể chọn xem dữ liệu ở một trong các định dạng sau:
ASCII: Trong chế độ xem này, bạn thấy dữ liệu từ mỗi hướng ở dạng ASCII. Rõ ràng là tốt nhất cho các giao thức dựa trên ASCII, ví dụ: HTTP. EBCDIC: Dành cho những người hâm mộ máy tính lớn. HEX Dump: Điều này cho phép bạn xem tất cả dữ liệu. Điều này sẽ yêu cầu nhiều không gian màn hình và tốt nhất được sử dụng với các giao thức nhị phân. C Arrays: Điều này cho phép bạn nhập dữ liệu luồng vào chương trình C của riêng bạn. Raw: Điều này cho phép bạn tải dữ liệu luồng không thay đổi vào một chương trình khác để kiểm tra thêm. Màn hình sẽ trông giống như cài đặt ASCII, nhưng “Lưu dưới dạng” sẽ dẫn đến một tệp nhị phân.
HÌNH 7.3: Ảnh chụp màn hình hiển thị các gói đã lọc
HÌNH 7.4: Ảnh chụp màn hình hiển thị phân tích luồng TCP
Bộ lọc hiển thị trong Wireshark
Nguồn: http://wiki.wireshark.org
Wireshark có một loạt các bộ lọc hiển thị rộng lớn. Chúng cho phép đi sâu vào chính xác lưu lượng cần thiết và là cơ sở của nhiều tính năng Wireshark.
- Lọc hiển thị theo giao thức: Nhập giao thức vào hộp Bộ lọc, ví dụ: arp, http, tcp, udp, dns
- Giám sát các cổng cụ thể: tcp.port==23 ip.addr==192.168.1.100 machine ip.addr==192.168.1.100 && tcp.port=23
- Lọc theo nhiều địa chỉ IP: ip.addr == 10.0.0.4 or ip.addr == 10.0.0.5
- Lọc theo địa chỉ IP: ip.addr == 10.0.0.4
- Các bộ lọc khác: ip.dst == 10.0.1.50 && frame.pkt_len > 400 ip.addr == 10.0.1.12 && icmp && frame.number > 15 && frame.number < 30 ip.src==205.153.63.30 or ip.dst==205.153.63.30
Các bộ lọc Wireshark bổ sung
!(arp or icmp or dns) Lọc ra arp, icmp, dns hoặc các giao thức khác và cho phép bạn xem lưu lượng quan tâm
udp contains 33:27:58
Đặt bộ lọc cho các giá trị HEX 0x33 0x27 0x58 ở bất kỳ offset nào
tcp contains traffic Hiển thị tất cả các gói TCP chứa từ ‘traffic’
tcp.analysis.retransmission Hiển thị tất cả các lần truyền lại trong dấu vết
http.request Hiển thị tất cả các yêu cầu HTTP GET
tcp.flags.reset==1 Hiển thị tất cả các reset TCP
Công cụ đánh hơi: SteelCentral Packet Analyzer
SteelCentral Packet Analyzer cung cấp bảng điều khiển đồ họa để phân tích gói tin tốc độ cao
SteelCentral Packet Analyzer là giải pháp phân tích và báo cáo gói tin với giao diện người dùng đồ họa trực quan. Chúng ta có thể sử dụng công cụ này với các tệp dấu vết được trình bày cục bộ hoặc các thiết bị SteelCentral™ NetShark từ xa, hoặc SteelHead/SteelFusion chạy NetShark. SteelCentral Packet Analyzer xác định và khắc phục sự cố hiệu suất mạng và ứng dụng đến cấp độ bit thông qua tích hợp đầy đủ của Packet Analyzer với Wireshark.
Tính năng:
- Phân tích gói tin tốc độ cao để nhanh chóng phát hiện vấn đề
- Phân tích nhanh các tệp nhiều terabyte
- Báo cáo chuyên nghiệp mà mọi người có thể hiểu
- Không tính phí cho phân tích đa phân đoạn
- Tích hợp liền mạch với Wireshark
Nguồn: http://www.riverbed.com
Công cụ đánh hơi: Tcpdump/Windump
TCPdump là giao diện dòng lệnh đánh hơi gói tin chạy trên Linux và Windows
Tcpdump Nguồn: http://www.tcpdump.org
Tcpdump in ra mô tả nội dung của các gói trên giao diện mạng khớp với biểu thức Boolean. Nó có thể chạy với cờ -w, khiến nó lưu dữ liệu gói vào một tệp để phân tích sau, và/hoặc với cờ -r, khiến nó đọc từ một tệp gói đã lưu thay vì đọc các gói từ giao diện mạng. Trong mọi trường hợp, tcpdump chỉ xử lý các gói khớp với biểu thức.
Tcpdump sẽ, nếu không chạy với cờ -c, tiếp tục thu thập các gói cho đến khi bị gián đoạn bởi tín hiệu SIGINT (được tạo ra, ví dụ, bằng cách gõ ký tự ngắt của bạn, thường là control-C) hoặc tín hiệu SIGTERM (thường được tạo ra với lệnh kill(1)); nếu chạy với cờ -c, nó sẽ thu thập các gói cho đến khi bị gián đoạn bởi tín hiệu SIGINT hoặc SIGTERM hoặc nếu số lượng gói được chỉ định đã được xử lý.
Khi tcpdump kết thúc thu thập các gói, nó sẽ báo cáo số lượng:
- Gói “được thu thập” – Đây là số lượng gói mà tcpdump đã nhận và xử lý.
- Gói “được nhận bởi bộ lọc” – Ý nghĩa của điều này phụ thuộc vào hệ điều hành chạy tcpdump, và có thể phụ thuộc vào cách hệ điều hành được cấu hình. Nếu một bộ lọc được chỉ định trên dòng lệnh: o Trên một số hệ điều hành, nó đếm các gói bất kể biểu thức bộ lọc có khớp với chúng hay không và, ngay cả khi chúng được khớp bởi biểu thức bộ lọc, bất kể tcpdump đã đọc và xử lý chúng chưa. o Trên một số hệ điều hành, nó chỉ đếm các gói khớp với biểu thức bộ lọc bất kể tcpdump đã đọc và xử lý chúng chưa. o Trên một số hệ điều hành, nó chỉ đếm các gói khớp với biểu thức bộ lọc và được xử lý bởi tcpdump).
- Gói “bị loại bỏ bởi kernel” là số lượng gói bị loại bỏ do thiếu không gian bộ đệm, bởi cơ chế thu thập gói trong hệ điều hành chạy tcpdump, nếu hệ điều hành báo cáo thông tin đó cho ứng dụng; nếu thông tin không được báo cáo, nó sẽ được báo cáo là 0.
Trên các nền tảng hỗ trợ tín hiệu SIGINFO, chẳng hạn như hầu hết các BSD (bao gồm Mac OS X) và Digital/Tru64 UNIX, nó sẽ báo cáo số lượng đó khi nhận được tín hiệu SIGINFO (được tạo ra, ví dụ, bằng cách gõ ký tự “trạng thái”, thường là control-T, mặc dù trên một số nền tảng, chẳng hạn như Mac OS X, ký tự “trạng thái” không được đặt theo mặc định; trong trường hợp đó, người dùng phải đặt nó bằng sty (1) để sử dụng nó) và sẽ tiếp tục thu thập các gói.
tcpdump -i eth0 13:13:48.437836 10.20.21.03.router > RIP2-ROUTERS.MCAST.NET.router: RIPv2 13:13:48.438364 10.20.21.23 > 10.20.21.55: icmp: RIP2-ROUTERS.MCAST.NET udp 13:13:54.947195 vmt1.endicott.juggyboy.com.router > RIP2-ROUTERS.MCAST.NET.rou 13:13:58.313192 :: > ff02::1:ff00:11: icmp6: neighbor sol: who has fe80:: 13:13:59.313573 fe80::26f:5a00:100:11 > ipv6-allrouters: icmp6: router so 13:14:05.179268 :: > ff02::1:ff00:14: icmp6: neighbor sol: who has fe80:: 13:14:06.179453 fe80::26f:5a00:100:14 > ipv6-allrouters: icmp6: router so 13:14:18.473315 10.20.21.55.router > RIP2-ROUTERS.MCAST.NET.router: RIPv2 13:14:18.473950 10.20.21.23 > 10.20.21.55: icmp: RIP2-ROUTERS.MCAST.NET udp 13:14:20.628769 10.20.21.64.filenet-tms > btvdns01.srv.juggyboy.com.domain: 49 13:14:24.982405 vmt1.endicott.juggyboy.com.router > RIP2-ROUTERS.MCAST.NET.rou
WinDump Nguồn: http://www.winpcap.org
WinDump là phiên bản Windows của tcpdump, trình phân tích mạng dòng lệnh cho UNIX. WinDump hoàn toàn tương thích với tcpdump và được sử dụng để xem, chẩn đoán và lưu vào đĩa lưu lượng mạng theo các quy tắc phức tạp khác nhau. Nó có thể chạy trên Windows 95, 98, ME, NT, 2000, XP, 2003 và Vista.
Công cụ đánh bắt gói tin: Capsa Network Analyzer
Capsa Network Analyzer thu thập tất cả dữ liệu được truyền qua mạng và cung cấp một loạt các thống kê phân tích theo cách trực quan và đồ họa
Capsa là một trình phân tích mạng di động cho cả LAN và WLAN thực hiện việc bắt gói tin, giám sát mạng, phân tích giao thức nâng cao, giải mã gói tin sâu và chẩn đoán chuyên gia tự động. Nó cung cấp khả năng hiển thị cho toàn bộ mạng và giúp các quản trị viên mạng hoặc kỹ sư mạng xác định và giải quyết các vấn đề ứng dụng khác nhau.
Tính năng:
- Xác định và phân tích hơn 300 giao thức mạng, cũng như các ứng dụng mạng dựa trên các giao thức.
- Giám sát băng thông và mức sử dụng mạng bằng cách thu thập các gói dữ liệu được truyền qua mạng và cung cấp thông tin tóm tắt và giải mã về các gói này.
- Xem thống kê mạng, cho phép thu thập và diễn giải dữ liệu sử dụng mạng.
- Giám sát lưu lượng Internet, email và tin nhắn tức thời, giúp duy trì năng suất của nhân viên ở mức tối đa.
- Chẩn đoán và xác định chính xác các vấn đề mạng bằng cách phát hiện và xác định vị trí các máy chủ đáng ngờ.
- Lập bản đồ chi tiết, bao gồm lưu lượng, địa chỉ IP và MAC của từng máy chủ trên mạng, cho phép dễ dàng xác định từng máy chủ và lưu lượng đi qua mỗi máy.
- Trực quan hóa toàn bộ mạng trong một hình elip hiển thị các kết nối và lưu lượng giữa từng máy chủ.
Nguồn: http://www.colasoft.com
Trình phân tích gói mạng: OmniPeek Network Analyzer
Sniffer OmniPeek hiển thị bản đồ Google trong cửa sổ thu thập OmniPeek cho thấy vị trí của tất cả các địa chỉ IP công cộng của các gói bị thu thập
Tính năng này là một cách tuyệt vời để giám sát mạng trong thời gian thực và theo dõi lưu lượng đó
OmniPeek cung cấp cho các kỹ sư mạng khả năng hiển thị và phân tích chuyên gia trong thời gian thực vào mọi phần của mạng từ một giao diện duy nhất, bao gồm Ethernet, Gigabit, 10 Gigabit, mạng không dây 802.11a/b/g/n, VoIP và video đến các văn phòng từ xa. Bằng cách sử dụng giao diện người dùng trực quan của OmniPeek và cách tiếp cận “từ trên xuống” để trực quan hóa các điều kiện mạng, các kỹ sư mạng có thể phân tích, đi sâu và khắc phục các điểm nghẽn hiệu suất trên nhiều phân đoạn mạng, tối đa hóa thời gian hoạt động và sự hài lòng của người dùng.
Tính năng:
- Quản lý hiệu suất và giám sát mạng, bao gồm các phân đoạn mạng tại các văn phòng từ xa
- Giám sát các thống kê mạng chính trong thời gian thực, tổng hợp nhiều tệp và ngay lập tức đi sâu vào các gói bằng cách sử dụng bảng điều khiển tương tác “Compass”
- Quản lý liền mạch tất cả các đầu dò phần mềm OmniEngine và bộ ghi mạng Omnipliance và TimeLine trong mạng
- Hỗ trợ tích hợp cho Ethernet, Gigabit, 10 Gigabit, mạng không dây 802.11a/b/g/n (bao gồm 3 luồng), VoIP, video, MPLS và VLAN
- Đi sâu trực quan để hiểu các nút đang giao tiếp, các giao thức và giao thức phụ nào đang được truyền và các đặc điểm lưu lượng nào đang ảnh hưởng đến hiệu suất mạng
- Giám sát âm thanh và video qua IP trong thời gian thực hoàn chỉnh, bao gồm bảng điều khiển đa phương tiện cấp cao, bản ghi dữ liệu cuộc gọi (CDR) và phân tích tín hiệu và phương tiện toàn diện
Nguồn: http://www.wildpackets.com
Trình phân tích gói mạng: Observer
http://www.networkinstruments.com
Observer cung cấp một cái nhìn sâu sắc toàn diện vào lưu lượng mạng và cung cấp phân tích quay lùi thời gian, báo cáo, xu hướng, cảnh báo, công cụ ứng dụng và khả năng giám sát định tuyến
Observer là phần mềm được sử dụng để khắc phục sự cố trong mạng. Nó có các tính năng như phân tích chuyên gia, công cụ VoIP, phân tích ứng dụng sâu, động lực kết nối, tái tạo luồng và hơn thế nữa, ngoài việc cung cấp hỗ trợ cho quản lý thiết bị SNMP và RMON.
Người dùng có thể tạo và chia sẻ báo cáo qua web, thêm mô-đun giải mã tùy chỉnh để sử dụng trong môi trường độc quyền và trích xuất dữ liệu từ các nguồn bên ngoài bằng SOAP.
Nguồn: http://www.netinst.com
Công cụ tạo gói TCP/IP: Colasoft Packet Builder
Colasoft Packet Builder cho phép người dùng chọn một trong các mẫu được cung cấp: Gói Ethernet, Gói ARP, Gói IP, Gói TCP và Gói UDP, và thay đổi các tham số trong trình chỉnh sửa giải mã, trình chỉnh sửa thập lục phân hoặc trình chỉnh sửa ASCII để tạo một gói
Colasoft Packet Builder cho phép tạo các gói mạng tùy chỉnh; người dùng có thể sử dụng công cụ này để kiểm tra bảo vệ mạng chống lại các cuộc tấn công và kẻ xâm nhập. Công cụ bao gồm tính năng chỉnh sửa. Ngoài việc cho phép chỉnh sửa HEX thông thường của dữ liệu thô, nó còn có trình chỉnh sửa giải mã cho phép chỉnh sửa các giá trị trường giao thức cụ thể.
Người dùng có thể chỉnh sửa thông tin giải mã trong hai trình chỉnh sửa: Trình chỉnh sửa giải mã và Trình chỉnh sửa Hex. Công cụ cho phép người dùng chọn một trong các mẫu được cung cấp Gói Ethernet, Gói ARP, Gói IP, Gói TCP và Gói UDP, và thay đổi các tham số trong trình chỉnh sửa giải mã, trình chỉnh sửa thập lục phân hoặc trình chỉnh sửa ASCII để tạo một gói.
Nguồn: http://www.colasoft.com
Trình phân tích gói mạng: RSA NetWitness Investigator
RSA NetWitness Investigator thu thập lưu lượng trực tiếp và xử lý các tệp gói từ hầu hết mọi thiết bị thu thập mạng hiện có
Nguồn: http://www.emc.com
NetWitness Investigator thu thập lưu lượng trực tiếp và xử lý các tệp gói từ hầu hết mọi thiết bị thu thập mạng hiện có để phân tích. Công cụ có thể xử lý cục bộ các tệp gói và ghi trong thời gian thực từ một tap mạng hoặc cổng span với thông tin chi tiết ngay lập tức về lưu lượng mạng. Công cụ là ứng dụng tương tác chính của NetWitness AppSuite.
Ngoài ra còn có :
Ace Password Sniffer là một tiện ích khôi phục mật khẩu giúp thu thập các mật khẩu đã quên. Nó được sử dụng để giám sát các hoạt động web và giám sát lạm dụng mật khẩu. Công cụ hỗ trợ và thu thập mật khẩu thông qua http, ftp, smtp, pop3 và telnet, bao gồm một số mật khẩu webmail. Ace Password Sniffer hoạt động thụ động và không tạo ra bất kỳ lưu lượng mạng nào; do đó, rất khó để người khác phát hiện. Công cụ không yêu cầu bất kỳ phần mềm bổ sung nào trên các PC hoặc trạm làm việc mục tiêu nếu mạng được kết nối thông qua switch, do đó cho phép người dùng chạy sniffer trên gateway hoặc máy chủ proxy, chịu tất cả lưu lượng mạng.
Nó cũng hoạt động như một tiện ích giám sát bí mật và hữu ích để khôi phục mật khẩu mạng, nhận mật khẩu mạng của trẻ em cho cha mẹ và giám sát lạm dụng mật khẩu cho quản trị viên máy chủ.
IPgrab Nguồn: http://ipgrab.sourceforge.net
IPgrab là một sniffer gói chi tiết cho các máy chủ UNIX.
Big Mother Nguồn: http://www.tupsoft.com
Big Mother là một switchsniff với cấu hình bằng không được sử dụng như một công cụ giám sát hoạt động internet. Big Mother là một chương trình nghe trộm sử dụng sniffer switch để thu thập và phân tích lưu lượng giao tiếp qua mạng. Công cụ không chỉ ghi nhật ký các lượt truy cập URL, email, chat, trò chơi, FTP và luồng dữ liệu trong thời gian thực mà còn chụp ảnh trang web, sao chép email và FTP, ghi lại nội dung MSN messenger và cung cấp báo cáo thống kê. Nó hạn chế các hoạt động trực tuyến miễn phí với lịch trình thời gian và theo các quy tắc lọc Internet tùy chỉnh.
Chương trình sẽ tự thiết lập và thực hiện giám sát nội dung và kiểm soát truy cập để giữ cho các thành viên gia đình hoặc nhân viên chịu trách nhiệm về hành động của họ.
EtherDetect Packet Sniffer Nguồn: http://www.etherdetect.com
EtherDetect Packet Sniffer là một công cụ đánh hơi có thể thu thập các gói đầy đủ được tổ chức theo kết nối TCP hoặc luồng UDP và giám sát mạng thụ động, mà không cần cài đặt chương trình trên các PC mục tiêu. Công cụ cho phép xem gói ở định dạng Hex và trình xem làm nổi bật cú pháp.
Tính năng:
- Tổ chức các gói bị thu thập trong chế độ xem theo hướng kết nối
- Thu thập các gói IP trên LAN với gần như không mất gói nào.
- Hoạt động như một trình phân tích thời gian thực, cho phép xem nội dung ngay lập tức trong khi thu thập và phân tích.
- Cho phép phân tích cú pháp và giải mã nhiều giao thức mạng.
- Hỗ trợ lưu các gói đã thu thập để mở lại sau đó.
- Cho phép làm nổi bật cú pháp cho dữ liệu ứng dụng ở định dạng HTML, HTTP và XML.
dsniff Nguồn: http://monkey.org
dsniff là một công cụ để kiểm tra và thâm nhập mạng. Dsniff giám sát thụ động một mạng để biết dữ liệu, mật khẩu, email, tệp, v.v. Ngoài ra, arpspoof, dnsspoof và macof tạo điều kiện cho việc chặn lưu lượng mạng thường không có sẵn cho kẻ tấn công. Hơn nữa, sshmitm và webmitm thực hiện các cuộc tấn công man-in-the-middle chủ động chống lại các phiên SSH và HTTPS được chuyển hướng bằng cách khai thác các ràng buộc yếu trong PKI ad-hoc.
EffeTech HTTP Sniffer Nguồn: http://www.effetech.com
EffeTech HTTP Sniffer là một sniffer gói HTTP, trình phân tích giao thức và phần mềm tái tạo tệp dựa trên nền tảng windows. Không giống như hầu hết các sniffer khác, sniffer này dành riêng để thu thập các gói IP chứa giao thức HTTP, xây dựng lại các phiên HTTP và tái tạo các tệp được gửi thông qua giao thức HTTP. Trình phân tích thời gian thực thông minh của nó cho phép xem nội dung ngay lập tức và thu thập, phân tích, phân tích cú pháp và giải mã giao thức HTTP.
Bằng cách cung cấp một tiện ích giám sát HTTP dễ sử dụng và đoạt giải thưởng, EffeTech HTTP sniffer đã trở thành lựa chọn ưa thích của các nhà quản lý, quản trị viên mạng và nhà phát triển trên toàn thế giới. Thông tin về lưu lượng HTTP có thể nhận được bởi tất cả qua LAN.
Ntopng Nguồn: http://www.ntop.org
Ntopng là một đầu dò lưu lượng mạng hiển thị việc sử dụng mạng, tương tự như những gì lệnh top phổ biến trong Unix làm. Ntopng dựa trên libpcap và nó chạy trên mọi nền tảng Unix, MacOSX và trên Windows. Người dùng ntopng sử dụng trình duyệt web để điều hướng qua thông tin lưu lượng của ntop (hoạt động như một máy chủ web) và nhận một bản dump về trạng thái mạng. Trong trường hợp sau, ntopng hoạt động như một tác nhân giống RMON đơn giản với giao diện web tích hợp.
Tính năng:
- Sắp xếp lưu lượng mạng theo nhiều tiêu chí, bao gồm địa chỉ IP, cổng, giao thức L7, thông lượng, AS.
- Hiển thị lưu lượng mạng và các máy chủ IPv4/v6 đang hoạt động.
- Tạo báo cáo về các số liệu mạng khác nhau như thông lượng, giao thức ứng dụng
- Lưu trữ trên đĩa thống kê lưu lượng liên tục ở định dạng RRD
- Định vị địa lý các máy chủ và hiển thị báo cáo theo vị trí máy chủ
- Đặc trưng lưu lượng HTTP bằng cách tận dụng các dịch vụ đặc trưng được cung cấp bởi Google và HTTP Blacklist.
- Hiển thị phân phối lưu lượng IP giữa các giao thức khác nhau
- Phân tích lưu lượng IP và sắp xếp nó theo nguồn/đích.
- Tạo thống kê lưu lượng mạng HTML5/AJAX.
Ettercap Nguồn: http://ettercap.sourceforge.net
Ettercap là một bộ toàn diện cho các cuộc tấn công man-in-the-middle. Công cụ có tính năng đánh hơi các kết nối trực tiếp, lọc nội dung ngay lập tức và nhiều thủ thuật thú vị khác. Ettercap hỗ trợ phân tích chủ động và thụ động của nhiều giao thức và bao gồm nhiều tính năng để phân tích mạng và máy chủ.
SmartSniff Nguồn: http://www.nirsoft.net
SmartSniff là một tiện ích giám sát mạng thu thập các gói TCP/IP đi qua bộ điều hợp mạng và hiển thị dữ liệu đã thu thập dưới dạng chuỗi các cuộc hội thoại giữa khách hàng và máy chủ. Công cụ cho phép xem các cuộc hội thoại TCP/IP ở dạng Ascii hoặc dưới dạng dump hex.
EtherApe Nguồn: http://etherape.sourceforge.net
EtherApe là một trình giám sát mạng đồ họa cho UNIX được mô hình hóa sau etherman. Công cụ có tính năng chế độ lớp liên kết, IP và TCP, và hiển thị hoạt động mạng theo đồ họa. Các máy chủ và liên kết thay đổi kích thước với lưu lượng. Hiển thị các giao thức được mã hóa màu. EtherAPE hỗ trợ các thiết bị Ethernet, FDDI, Token Ring, ISDN, PPP, SLIP và WLAN, cộng với một số định dạng đóng gói. Nó có thể lọc lưu lượng và có thể đọc các gói từ một tệp cũng như trực tiếp từ mạng. Nó cũng có thể xuất thống kê nút.
Network Probe là công cụ giám sát lưu lượng mạng và phân tích giao thức để giám sát lưu lượng mạng. Nó có thể tìm ra nguồn gốc của bất kỳ sự chậm trễ nào trên mạng. Công cụ hiển thị các giao thức được sử dụng trên mạng của bạn, máy chủ nào đang gửi và nhận dữ liệu, lưu lượng đến từ đâu và khi nào tất cả điều này xảy ra. Network Probe cho phép cấu hình để thông báo nếu có bất cứ điều gì bất thường xảy ra và có thể chủ động khắc phục sự cố trước khi nó phát triển thành vấn đề nghiêm trọng.
WebSiteSniffer Nguồn: http://www.nirsoft.net
WebSiteSniffer là công cụ đánh hơi gói để thu thập tất cả các tệp trang web được tải xuống bởi trình duyệt Web khi duyệt Internet và lưu trữ chúng trên ổ cứng của bạn dưới thư mục cơ sở mà bạn chọn. WebSiteSniffer cho phép người dùng thu thập bất kỳ loại tệp trang web nào cần thiết: Tệp HTML, Tệp Văn bản, Tệp XML, Tệp CSS, Tệp Video/Audio, Hình ảnh, Tập lệnh và tệp Flash (.swf). Trong khi thu thập các tệp trang web, cửa sổ chính của WebSiteSniffer hiển thị thống kê chung về các tệp đã tải xuống cho mọi trang web/tên máy chủ, bao gồm tổng kích thước của tất cả các tệp (nén và không nén) và tổng số tệp cho mỗi loại tệp.
ICQ Sniffer Nguồn: http://www.etherboss.com
ICQ Sniffer là một tiện ích mạng có thể thu thập và ghi nhật ký cuộc trò chuyện ICQ từ các máy tính trong cùng một LAN. Nó hỗ trợ nhắn tin thông qua máy chủ ICQ với định dạng văn bản thuần túy, RTF hoặc HTML. Nó cung cấp hệ thống báo cáo để xuất các cuộc hội thoại ICQ đã thu thập dưới dạng tệp HTML để phân tích và tham khảo sau này.
MaaTec Network Analyzer Nguồn: http://www.maatec.com
MaaTec Network Analyzer là công cụ cho phép thu thập, lưu và phân tích lưu lượng mạng trên LAN hoặc kết nối internet DSL. Chúng ta có thể sử dụng công cụ này để khắc phục sự cố mạng, phân tích cơ sở hạ tầng mạng hiện có hoặc giám sát mạng dài hạn.
Tính năng:
- Hiển thị thông tin gói duy nhất mới trong cửa sổ chia
- Hỗ trợ nhiều card mạng trong một hoặc nhiều cửa sổ
- Báo cáo với biểu đồ và nhiều bảng dữ liệu
- Cung cấp hỗ trợ cho các tệp lớn hơn 2 GB
- Cho phép xem trực tuyến các gói đến
Alchemy Network Monitor Nguồn: http://www.mishelpers.com
Alchemy Eye giám sát khả năng sẵn sàng và hiệu suất của máy chủ mạng. Nó hỗ trợ hơn 50 loại giám sát, bao gồm nhưng không giới hạn ở ICMP ping, giám sát nhật ký sự kiện NT, kiểm tra URL HTTPS/FTP, giám sát dung lượng ổ đĩa trống, v.v. Alchemy Eye thông báo cho quản trị viên mạng về các sự kiện trục trặc máy chủ. Nó ghi nhật ký các sự kiện ứng dụng vào một tệp nhật ký. Có thể cấu hình các mức chi tiết tệp nhật ký khác nhau (không/bình thường/đầy đủ) và các định dạng tệp nhật ký (văn bản, HTML, CSV, cơ sở dữ liệu SQL) bằng cách sử dụng ứng dụng.
CommView Nguồn: http://www.alchemy-lab.com
CommView là một trình giám sát và phân tích mạng được thiết kế cho quản trị viên LAN, chuyên gia bảo mật, lập trình viên mạng, người dùng gia đình và bất kỳ ai muốn có bức tranh đầy đủ về lưu lượng đi qua PC hoặc phân đoạn LAN. Ứng dụng thu thập mọi gói trên dây để hiển thị thông tin quan trọng như danh sách các gói và kết nối mạng, thống kê quan trọng và biểu đồ phân phối giao thức.
CommView cho phép người dùng kiểm tra, lưu, lọc, nhập và xuất các gói đã thu thập, xem giải mã giao thức xuống tới lớp thấp nhất với phân tích đầy đủ các giao thức được hỗ trợ. Với thông tin này, CommView có thể giúp người dùng xác định chính xác các vấn đề mạng và khắc phục sự cố phần mềm và phần cứng.
NetResident Nguồn: http://www.tamos.com
NetResident là ứng dụng phân tích nội dung mạng được thiết kế để giám sát, lưu trữ và tái tạo các sự kiện và hoạt động mạng, chẳng hạn như tin nhắn e-mail, trang web, tệp đã tải xuống, tin nhắn tức thời và cuộc hội thoại VoIP. NetResident lưu dữ liệu vào cơ sở dữ liệu, tái tạo nó và hiển thị nội dung ở định dạng đơn giản.
Tính năng
- Chế độ xem chi tiết, thời gian thực của lưu lượng mạng và lưu trữ dữ liệu trong cơ sở dữ liệu
- Kiểm tra gói sâu: công nghệ tiên tiến để tìm kiếm, xác định và tái tạo nhiều giao thức và loại dữ liệu: HTTP, POP3, SMTP, FTP, News, VoIP (SIP, H.323), IM (MSN, Yahoo, ICQ, v.v.), Web Mail (Gmail, Hotmail, v.v.), Telnet
- Cảnh báo có thể tùy chỉnh: cửa sổ bật lên, thông báo email, trap SNMP, chỉ để kể tên một vài
- Nhập tệp nhật ký ở các định dạng phổ biến để phân tích pháp y sau khi thu thập: PCAP, CommView, v.v.
Kismet Nguồn: http://www.kismetwireless.net
Kismet là một công cụ phát hiện mạng không dây, đánh hơi và phát hiện xâm nhập. Kismet hoạt động chủ yếu với mạng Wi-Fi; tuy nhiên, nó có thể được mở rộng thông qua các plugin để xử lý các loại mạng khác.
Tính năng bao gồm:
- Ghi nhật ký PCAP tiêu chuẩn và hỗ trợ nhiều nguồn thu thập
- Kiến trúc plugin để mở rộng các tính năng cốt lõi
- Xuất trực tiếp các gói sang các công cụ khác thông qua giao diện ảo tun/tap
- Đầu ra XML để tích hợp với các công cụ khác
AIM Sniffer Nguồn: http://www.effetech.com
AIM Sniffer là một tiện ích mạng để thu thập và ghi nhật ký cuộc trò chuyện AIM (AOL Instant Messenger) từ các máy tính trong cùng một LAN. Công cụ hỗ trợ nhắn tin thông qua máy chủ AIM và nhắn tin kết nối trực tiếp. Tất cả các tin nhắn bị chặn được tổ chức tốt theo người dùng AIM với các bạn bè và hiển thị ngay lập tức trên cửa sổ chính. Nó cung cấp hệ thống báo cáo có tính năng để xuất các cuộc hội thoại AIM đã thu thập dưới dạng tệp HTML để phân tích và tham khảo sau này.
NetworkMiner Nguồn: http://www.netresec.com
NetworkMiner là một công cụ phân tích pháp y mạng cho Windows/Linux/Mac OS X/FreeBSD được sử dụng như một sniffer/công cụ thu thập gói thụ động để phát hiện hệ điều hành, phiên, tên máy chủ, cổng mở, v.v. mà không đặt bất kỳ áp lực lưu lượng nào lên mạng. NetworkMiner cũng có thể phân tích các tệp PCAP để phân tích ngoại tuyến và để tái tạo/tái tạo lại các tệp và chứng chỉ đã truyền từ các tệp PCAP.
Thu thập bằng chứng từ IDS
Một quản trị viên có thể cấu hình IDS để thu thập lưu lượng mạng khi có cảnh báo được tạo ra
Tuy nhiên, dữ liệu này không phải là nguồn bằng chứng đầy đủ vì không thể thực hiện kiểm tra tính toàn vẹn trên các tệp nhật ký
Trong một cuộc điều tra mạng, việc bảo quản bằng chứng kỹ thuật số là khó khăn, vì dữ liệu chỉ hiển thị trên màn hình trong vài giây
Các điều tra viên có thể ghi lại kết quả kiểm tra từ các thiết bị mạng như bộ định tuyến, switch và tường lửa thông qua cáp nối tiếp và phần mềm như chương trình HyperTerminal của Windows hoặc một tập lệnh trên UNIX
Nếu lượng thông tin cần thu thập lớn, điều tra viên có thể ghi lại sự kiện trên màn hình bằng camera video hoặc chương trình phần mềm liên quan
Nhược điểm của phương pháp này là không có kiểm tra tính toàn vẹn, khiến việc xác thực thông tin trở nên khó khăn
Giám sát lưu lượng mạng là rất quan trọng. Các tổ chức cài đặt IDS để giám sát xâm nhập. Để thu thập lưu lượng mạng, trước tiên hãy cấu hình IDS. Tuy nhiên, điều này không đủ như một nguồn bằng chứng, vì IDS không có khả năng thực hiện kiểm tra tính toàn vẹn trên các tệp nhật ký. Trong một cuộc điều tra mạng, việc bảo quản bằng chứng kỹ thuật số là khó khăn, vì dữ liệu hiển thị trên màn hình chỉ tồn tại trong vài giây.
Chương trình HyperTerminal của Windows hoặc Script có thể được sử dụng trên UNIX thông qua cáp nối tiếp để ghi lại kết quả kiểm tra thiết bị mạng như bộ định tuyến hoặc switch.
Nếu lượng thông tin cần thiết lớn, chúng ta có thể ghi lại sự kiện trên màn hình bằng camera video hoặc chương trình phần mềm liên quan. Kỹ thuật này rất hữu ích để thu thập bằng chứng kỹ thuật số động. Sau đó, chúng ta có thể xuất bằng chứng này dưới dạng băng video. Nhược điểm của một chương trình như vậy là nó không thực hiện kiểm tra tính toàn vẹn, khiến việc xác thực thông tin trở nên khó khăn.
Ghi chép bằng chứng thu thập được trên mạng
Việc ghi chép bằng chứng thu thập được trên mạng dễ dàng nếu nhật ký mạng nhỏ, vì có thể in và xác nhận
Việc ghi chép bằng chứng kỹ thuật số trên mạng trở nên phức tạp hơn khi bằng chứng được thu thập từ các hệ thống nằm ở xa, vì không có dấu thời gian ngày và giờ của các tệp liên quan
Nếu bằng chứng nằm trên một máy tính từ xa, cần ghi chép thông tin chi tiết về việc thu thập và vị trí. Điều tra viên nên chỉ rõ máy chủ chứa dữ liệu để tránh nhầm lẫn
Để ghi chép và duy trì tính toàn vẹn của tài liệu, nên tuân theo phương pháp tiêu chuẩn
Để hỗ trợ chuỗi giám sát, điều tra viên nên in ảnh chụp màn hình của các mục quan trọng và đính kèm bản ghi các hành động được thực hiện trong quá trình thu thập
Việc ghi chép bằng chứng thu thập được trên mạng dễ dàng nếu nhật ký mạng nhỏ, vì có thể lấy và xác nhận một bản in. Khi chúng ta thu thập bằng chứng từ các hệ thống ở những vị trí từ xa, việc ghi chép bằng chứng kỹ thuật số trên mạng trở nên phức tạp hơn vì không có dấu thời gian ngày và giờ của các tệp liên quan. Nếu bằng chứng nằm trên một máy tính từ xa, điều quan trọng là phải ghi chép thông tin chi tiết về việc thu thập và vị trí. Điều tra viên nên chỉ rõ máy chủ chứa dữ liệu để tránh nhầm lẫn.
Để ghi chép đúng cách và duy trì tính toàn vẹn của tài liệu, nên tuân theo phương pháp tiêu chuẩn. Để hỗ trợ chuỗi giám sát, điều tra viên nên in ảnh chụp màn hình của các mục quan trọng và đính kèm bản ghi các hành động được thực hiện trong quá trình thu thập.
Tái tạo bằng chứng để điều tra
Thu thập bằng chứng trên mạng rất phức tạp vì những lý do sau:
Bằng chứng không tĩnh và không tập trung tại một điểm duy nhất trên mạng. Sự đa dạng của phần cứng và phần mềm được tìm thấy trên mạng khiến quá trình thu thập bằng chứng trở nên khó khăn hơn
Sau khi thu thập bằng chứng, nó có thể được sử dụng để tái tạo tội phạm nhằm tạo ra bức tranh rõ ràng hơn về tội phạm và xác định các mắt xích còn thiếu trong bức tranh
Nguyên tắc cơ bản của việc tái tạo để điều tra tội phạm:
Phân tích thời gian : Nó tạo ra một dấu vết sự kiện tuần tự, cho thấy các yếu tố quan trọng như điều gì đã xảy ra và ai có liên quan
Phân tích quan hệ : Nó tạo ra một dấu vết sự kiện tuần tự, cho thấy các yếu tố quan trọng như điều gì đã xảy ra và ai có liên quan
Phân tích chức năng : Nó tạo ra một dấu vết sự kiện tuần tự, cho thấy các yếu tố quan trọng như điều gì đã xảy ra và ai có liên quan
Tổng kết Module
- Pháp y số mạng là việc thu thập, ghi lại và phân tích lưu lượng mạng và nhật ký sự kiện để phát hiện nguồn gốc của các cuộc tấn công bảo mật
- Có hai loại sơ đồ địa chỉ mạng, Địa chỉ LAN và Địa chỉ mạng liên mạng
- Tệp nhật ký là bản ghi chính về hoạt động của người dùng trên hệ thống và các hoạt động mạng
- Độ chính xác của tệp nhật ký quyết định độ tin cậy của chúng. Bất kỳ sửa đổi nào đối với nhật ký đều khiến tính hợp lệ của toàn bộ tệp nhật ký được trình bày bị nghi ngờ.
- Bộ định tuyến lưu trữ nhật ký kết nối mạng với các chi tiết như ngày, giờ, IP nguồn và đích và cổng được sử dụng giúp điều tra viên xác minh dấu thời gian của một cuộc tấn công và tương quan các sự kiện khác nhau để tìm nguồn và IP đích
- Các điều tra viên phân tích lưu lượng mạng để xác định lưu lượng đáng ngờ, tìm mạng tạo ra lưu lượng gây rắc rối và xác định các vấn đề mạng
- Việc ghi chép bằng chứng thu thập được trên mạng dễ dàng nếu nhật ký mạng nhỏ, vì có thể lấy và xác nhận một bản in
- Thu thập bằng chứng trên mạng rất phức tạp vì những lý do sau đây vì bằng chứng không tĩnh và không tập trung tại một điểm duy nhất trên mạng
Trong module này, chúng ta đã thảo luận về tầm quan trọng của pháp y số mạng và vai trò của nó trong việc thực hiện điều tra pháp y số. Module này giới thiệu cho bạn các chủ đề khác nhau liên quan đến pháp y số mạng, sẽ giúp bạn kiểm tra các loại nhật ký khác nhau, thu thập bằng chứng và tái tạo bằng chứng. Điều này sẽ giúp bạn tái tạo hiện trường và theo dấu người bị cáo buộc chịu trách nhiệm về sự cố.
CEH v13 AI - CEH VIETNAM 
Bình luận về bài viết này