Hiện nay ở Việt Nam đã xuất hiện nhiều loại tội phạm mới, như tấn công hạ tầng thông tin quốc gia, cơ sở dữ liệu của cơ quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thông tin bí mật quốc gia, phát tán thông tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, tấn công từ chối dịch vụ. Cuộc đấu tranh chống các loại tội phạm trong lĩnh vực công nghệ thông tin, viễn thông thường rất khó khăn và phức tạp vì các đối tượng không chỉ sử dụng các công nghệ mới nhất vào việc tấn công, gây án, mà còn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã hóa dữ liệu, dùng ngôn ngữ đặc biệt để lập trình mã độc, chống phát hiện và dịch ngược mã độc...Tin tặc thường sử dụng máy tính, điện thoại di động, các thiết bị lưu trữ và kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu. Khi nghi ngờ bị điều tra, theo dõi, chúng rất cảnh giác, lập tức xóa hết dấu vết, dữ liệu có liên quan, thậm chí format thiết bị lưu trữ dữ liệu. Router là một thiết bị thiết yếu trong mỗi hệ thống mạng (Hộ gia đình, Công ty…v..v). Chức năng của router là điều chế và giải điều chế tín hiệu, hay nói một cách dễ hiểu là thiết bị giúp chuyển đổi tín hiệu truyền trên đường dây điện thoại, cáp quang thành tín hiệu số mà máy tính có thể hiểu được và ngược lại. Vậy nên đây chính là cánh cổng giữa người dùng và internet và nó đang tiềm ẩn những nguy cơ về an ninh mà người dùng không ngờ đến. Với mục đích tìm hiểu về router và điều tra chứng cứ, nhóm em chọn đề tài “ Thu thập và phân tích chứng cứ từ Router “ sẽ giúp chúng ta hiểu hơn về router và các điều tra tấn công router. Đề tài nhóm em gồm chương:
TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG
Khái niệm dữ liệu điện tử
Theo Điều 4 của Luật Giao dịch điện tử 2005, "dữ liệu điện tử" được định nghĩa là thông tin được thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự khác.
Theo Điểm c, Khoản 1, Điều 87 của Bộ luật Tố tụng hình sự 2015, "dữ liệu điện tử" đã được bổ sung vào hệ thống nguồn chứng cứ, đánh dấu một điểm mới rất quan trọng trong bộ luật này Điều 99 của Bộ luật cũng quy định chi tiết về việc sử dụng và quản lý dữ liệu điện tử trong quá trình tố tụng.
Việc công nhận "dữ liệu điện tử" là nguồn chứng cứ pháp lý đã đáp ứng yêu cầu thực tiễn trong cuộc chiến chống tội phạm sử dụng công nghệ cao Chứng cứ mới này ngày càng trở nên phổ biến, xuất hiện trong hầu hết các loại tội phạm, và trong nhiều vụ án, chỉ có dữ liệu điện tử được thu thập làm chứng cứ Nếu không bổ sung loại chứng cứ này vào Bộ luật Tố tụng hình sự hiện hành, nhiều vụ án sẽ gặp khó khăn trong việc điều tra, truy tố hoặc xét xử thành công.
Bổ sung "dữ liệu điện tử" là nguồn chứng cứ hợp pháp theo luật pháp quốc tế và Việt Nam, đồng thời có cơ sở khoa học và công nghệ vững chắc.
Để đảm bảo hiệu quả trong quá trình tố tụng, các cơ quan liên quan như điều tra viên, kiểm sát viên và thẩm phán cần nâng cao nhận thức về dữ liệu và chứng cứ điện tử Đồng thời, cần thiết lập quy trình thống nhất cho việc thu giữ, bảo quản, phục hồi dữ liệu điện tử và chuyển hóa chúng thành chứng cứ xác thực chứng minh hành vi phạm tội.
Đặc điểm của dữ liệu điện tử
Khai thác địa chỉ IP, nhật ký email, nhật ký máy chủ web, cookie, URL và thông tin truy cập tài khoản do máy tính tự động tạo ra là phương pháp hiệu quả để xác minh nguồn gốc của việc truy cập trái phép, xác định địa chỉ tấn công và các hành vi tấn công mạng.
Tín hiệu số được hình thành tự động và có thời gian tồn tại hạn chế, phụ thuộc vào thiết bị và phần mềm lưu trữ, do đó cần kịp thời phát hiện, thu giữ và bảo quản chúng.
Dữ liệu có thể dễ dàng bị tác động, xóa hoặc thay đổi trong quá trình lưu trữ, truyền tải và sao chép Các yếu tố như virus, dung lượng bộ nhớ, lệnh lưu trữ của phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải qua mạng, và các hành động sao lưu có thể dẫn đến việc sửa đổi hoặc xóa dữ liệu một cách cố ý hoặc vô ý.
Dữ liệu điện tử có thể phục hồi và phân tích, bao gồm cả dữ liệu đã bị xóa hoặc mã hóa, và có thể được sử dụng làm chứng cứ trong các vụ án hình sự Những dữ liệu này có giá trị chứng minh hành vi phạm tội và có thể áp dụng công nghệ cùng thủ tục pháp lý để đảm bảo tính hợp lệ Tuy nhiên, do tính chất dễ bị xóa, sửa đổi hoặc thay đổi khi không được xử lý đúng cách, Luật Giao dịch điện tử đã quy định các điều kiện cần thiết để thông điệp dữ liệu có giá trị pháp lý.
Các thuộc tính của chứng cứ điện tử
Điều 86 của Bộ luật Tố tụng hình sự năm 2015 xác định rằng chứng cứ là những thông tin có thật, được thu thập theo quy trình pháp lý cụ thể Chứng cứ này được sử dụng để xác định sự tồn tại của hành vi phạm tội, danh tính của người thực hiện hành vi đó, cũng như các tình tiết quan trọng khác liên quan đến việc giải quyết vụ án.
- Điều 99, Bộ luật TTHS 2015 quy định về dữ liệu điện tử:
Dữ liệu điện tử bao gồm các ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh và các dạng tương tự, được tạo ra, lưu trữ, truyền tải hoặc nhận biết thông qua các phương tiện điện tử.
▪ Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác
Giá trị chứng cứ của dữ liệu điện tử phụ thuộc vào quy trình khởi tạo, lưu trữ và truyền gửi dữ liệu, cũng như các biện pháp bảo đảm và duy trì tính toàn vẹn của dữ liệu Ngoài ra, việc xác định người khởi tạo và các yếu tố liên quan cũng đóng vai trò quan trọng trong việc đánh giá giá trị chứng cứ này.
Để dữ liệu điện tử trở thành chứng cứ hợp pháp trong vụ án TPSDCNC, cần đảm bảo ba thuộc tính chính: tính khách quan, nghĩa là dữ liệu phải có thật và tồn tại độc lập; tính xác thực, đảm bảo rằng dữ liệu không bị chỉnh sửa; và tính liên quan, tức là dữ liệu phải có mối liên hệ trực tiếp với vụ án.
Liên quan đến vụ án, tính hợp pháp của chứng cứ được xác định dựa trên việc chứng cứ đó phải được thu thập theo đúng thủ tục và trình tự do Bộ luật Tố tụng hình sự quy định.
Dữ liệu khách quan là thông tin tồn tại thực tế, có nguồn gốc rõ ràng và không bị biến dạng hay sai lệch Những dữ liệu này có thể được tìm thấy và lưu trữ trên nhiều thiết bị như máy tính, điện thoại di động, máy tính bảng, USB, ổ cứng di động, đĩa quang, email, website, điện toán đám mây, cũng như trên tài khoản và nickname của người dùng, hoặc trên server của nhà cung cấp dịch vụ internet.
Tính liên quan của dữ liệu thu được đóng vai trò quan trọng trong việc xác định các tình tiết của vụ án hình sự Dữ liệu này bao gồm các dấu vết điện tử, thông tin về không gian và thời gian, như logfile, địa chỉ IP, siêu dữ liệu và hàm hash Ngoài ra, nó còn chứa thông tin về đối tượng, hành vi phạm tội, địa điểm hoạt động, cookies truy cập, nguồn gốc và nội dung email, chat, tin nhắn, cũng như công nghệ thanh toán thẻ, nạn nhân và thiệt hại liên quan.
Chứng cứ hợp pháp phải được thu thập đúng quy định pháp luật trong quá trình khám xét và thu giữ vật chứng, bao gồm việc sử dụng công nghệ được cơ quan pháp luật công nhận Các thiết bị như máy tính, điện thoại, email, USB, đĩa CD/DVD và dữ liệu từ máy chủ phải được ghi vào biên bản và niêm phong theo quy định, đảm bảo không bị thay đổi dữ liệu kể từ khi thu giữ Chuyên gia phục hồi dữ liệu cần sử dụng công nghệ và phần mềm chuyên dụng, như thiết bị chống ghi (Read Only), để sao chép và phục hồi dữ liệu một cách chính xác, chuyển đổi chúng thành định dạng có thể đọc, nghe và nhìn thấy được.
Để dữ liệu điện tử trong máy tính và thiết bị số trở thành chứng cứ pháp lý, nó cần phải đáp ứng ba đặc điểm đặc thù khác.
Tính “khách quan” trong dữ liệu nghĩa là chứng minh rằng thông tin đó là sản phẩm tự nhiên, được tạo ra và lưu trữ tự động bởi máy tính hoặc thiết bị số, hoặc là kết quả của hành vi của đối tượng trong quá trình thực hiện tội phạm.
+ Tính “nguyên trạng”: nghĩa là chứng minh được không có sự can thiệp từ bên ngoài nào vào nội dung của dữ liệu để thay đổi hoặc xóa bỏ
Tính “kiểm chứng được” đề cập đến khả năng lặp lại quy trình khai thác, phục hồi và giám định dữ liệu điện tử để biến chúng thành chứng cứ, đạt được kết quả tương tự như đã trình bày tại phiên tòa Khi cần, Tòa có thể yêu cầu cơ quan giám định khác thực hiện việc phục hồi và tìm kiếm chứng cứ điện tử trong tang vật để đưa ra kết luận giống nhau.
Những đặc điểm (đặc thù) này hết sức quan trọng vì chúng quyết định giá trị của chứng cứ trước tòa
12 Để “dữ liệu điện tử” bảo đảm được các thuộc tính này, có những yêu cầu bắt buộc, gồm:
Trong quá trình thu thập "dữ liệu điện tử", cần lưu ý rằng tuyệt đối không được thay đổi thông tin lưu trữ trong máy tính hoặc các thiết bị kỹ thuật số.
Chỉ những chuyên gia IT được đào tạo bài bản mới có quyền truy cập vào thông tin gốc lưu trữ trong máy tính và thiết bị kỹ thuật số để thu thập và phục hồi dữ liệu.
Việc sao chép và ghi lại dữ liệu điện tử cần được thực hiện bằng thiết bị chống ghi "Read only" để đảm bảo tính nguyên trạng và toàn vẹn của dữ liệu Đồng thời, các thiết bị và phần mềm sử dụng phải được công nhận toàn cầu và có khả năng kiểm chứng.
Trước tòa án, cần diễn giải và thao tác rõ ràng để chứng minh quá trình khôi phục dữ liệu và tìm ra "chứng cứ điện tử" Điều này nhằm xác nhận rằng dữ liệu đã thu thập tồn tại khách quan và đảm bảo nguyên trạng, không bị can thiệp hay thay đổi trong quá trình thu thập chứng cứ.
Điều tra tội phạm máy tính
1.4.1 Quy trình lấy cắp dữ liệu
Quá trình hack tuân theo một phương pháp cố định Các bước mà hacker làm theo có thểđược chia thành sáu giai đoạn:
3 Có được quyền truy cập
5 Duy trì quyền truy cập
6 Che đậy và đặt các backdoor
1 Trinh sát được coi là giai đoạn preattack đầu tiên, hacker tìm cách tìm ra càng nhiềuthông tin càng tốt về nạn nhân
2 Thứ hai là quét và liệt kê Ở bước này trong phương pháp luận, hacker đang chuyển từ thu thập thông tin thụ động sang thu thập thông tin chủ động
3 Có thể đạt được quyền truy cập bằng nhiều cách khác nhau Tintặc có thể khai thác lỗ hổng bộ định tuyến hoặc có thể kỹ nghệ xã hội giúp cung cấp
13 cho attacker một số điện thoại cho một modem Có thể đạt đượcquyền truy cập bằng cách tìm lỗ hổng trong phần mềm của máy chủ web
4 Chỉ có quyền truy cập vàomột tài khoản người dùng bình thường có lẽ sẽ không cung cấp cho kẻ tấn công nhiều quyền kiểmsoát hoặc quyền truy cập vào mạng, do đó, kẻ tấn công sẽ cố gắng nâng cấp mình lên quyền quản trị viên hoặc quyền root
5 Sau khi hoàn tất việc nâng cấp đặc quyền, kẻ tấn công sẽ tìm mọi cách để duy trì quyền truy cập vào các hệ thống mà chúng đã tấn công và xâm nhập
6 Tin tặc cũng giống nhưnhững tên tội phạm khác ở chỗ chúng muốn đảm bảo và xóa tất cả bằng chứng về các hoạt độngcủa chúng, có thể bao gồm việc sử dụng bộ công cụ gốc để che dấu vết của chúng Đây là thời điểm mà hầu hết các hoạt động pháp y bắt đầu www.syngress.com
1.4.2 Các bước thực hiện tìm kiếm bằng chứng
1 Quan sát, bảo vệ hiện trường vụ án
2 Ghi và lập tài liệu về hiện trường
5 Lập báo cáo điều tra
Bước 1: Quan sát, bảo vệ hiện trường
Hiện trường vụ án thường bao gồm máy tính, bộ định tuyến và máy chủ liên quan đến tội phạm Để bảo vệ hiện trường, cần tắt các thiết bị đang hoạt động và ngăn chặn mọi truy cập từ người không liên quan.
- Xác định khu vực phạm tội
Hạn chế số lượng người tiếp cận hiện trường vụ án và các tài liệu liên quan là rất quan trọng Trong một số trường hợp, cần theo dõi các hệ thống liên quan để đảm bảo hoạt động của nạn nhân được diễn ra một cách an toàn và hiệu quả.
Khi máy chủ CSDL của công ty bị hack và dữ liệu bị đánh cắp, việc triển khai máy chủ tạm thời là cần thiết để duy trì hoạt động kinh doanh Công ty cần sao chép dữ liệu vào ổ đĩa mới, sau đó gắn ổ đĩa mới lên máy chủ tạm thời để tiếp tục hoạt động một cách hiệu quả.
Bước 2: Ghi và lập tài liệu về hiện trường
- Không được chạm vào bát cứ gì cho tới khi bắt đầu thu thập bằng chứng
- Ghi lại các chứng cứ thu thập được:
▪ Ghi lại toàn bộ khung cảnh của hiện trường
▪ Phải luôn nêu ở đầu video người đã làm đoạn băng và chắc chắn thời gian là chính xác
Khi có những tình tiết nổi bật, cần đưa ra nhận xét về chúng, chẳng hạn như cách kết nối được thực hiện với máy tính hoặc các thiết bị khác, cũng như mô tả không gian của căn phòng.
▪ Cẩn thận với những lời nói trong video
▪ Trình bày một cách rõ nét và chi tiết: ngày tháng chụp, thời gian chụp, địa điểm chụp => đảm bảo được thiết lập đúng
▪ Với một số loại máy ảnh (máy ảnh số hoặc máy film 35mm) cần sử dụng một tài liệu để ghi lại thông tin
▪ Theo “Crime Scene and Evidence Photographer’s Guide”:
• Xây dựng quy trình hoạt động chuẩn
• Bảo vệ các hình ảnh kỹ thuật số ban đầu: nên thực hiện các thử nghiệm với 1 bản sao; không để mất tập tin ban đầu
• Bảo tồn ảnh ở định dạng ban đầu
+ Các dây cáp gắn vào máy tính có thể cần phải tô màu để tránh nhầm lẫn:
▪ Ghi lại các thiết bị gắn vào dây cáp
▪ Khi hoàn tất, ngắt kết nối các thiết bị với nhau
• Các thông tin cần được ghi lại thành 1 bảng các sự kiện – tài liệu về hiện trường:
✓ Mô tả thời gian, ngày tháng
✓ Các hành vi phạm tội
✓ Các vật chứng bị tịch thu
=> Ngăn chặn mất mát, thiệt hại vật chất, hoặc tiêu hủy chứng cứ
Bước 3: Bảo vệ chứng cứ
+ Đặt từng hạng mục thu được vào túi chứng cứ, đánh dấu đúng
Khi thu thập và đưa vào túi bằng chứng, hãy đeo găng tay chống tĩnh để đảm bảo tính toàn vẹn của bằng chứng Đồng thời, cần giữ bằng chứng nguyên vẹn cho đến khi được mang đến khu vực an toàn của bộ phận điều tra.
+ Không để nhân viên, điều tra viên không có nghĩa vụ đặt bằng chứng trong xe của họ
+ Dùng tủ khóa để bảo vệ các bằng chứng Nếu lượng bằng chứng lớn cần đến một phòng để bảo vệ
Bằng chứng cần được bảo vệ an toàn và nên được đặt ở những vị trí phù hợp Chẳng hạn, không nên để máy tính gần loa hộp lớn vì từ trường của nam châm trong loa có thể ảnh hưởng đến hoạt động của máy tính.
Lưu ý: nếu dữ liệu bị thay đổi bằng bất kỳ cách nào, nó có thể không được chấp nhận tại tòa án
Bước 4: Tiến hành điều tra
- Các công việc cần thực hiện:
+Thu thập và phân tích chứng cứ từ các linh kiện phần cứng
+Thu thập và phân tích chứng cứ từ hệ thống
+Thu thập và phân tích chứng cứ từ email, điện thoại, thiết bị mạng…
- Nhiệm vụ: tìm ra các bằng chứng phạm tội và các hành vi phạm tội, để từ đó có thể quy trách nhiệm trước tòa án
Bước 5: Lập báo cáo điều tra
- Mô tả toàn bộ các bước tiến hành điều tra từ lúc bắt đầu cho đến khi kết thúc
- Là hồ sơ lưu trữ cho các công tác xử lý về sau
1.4.3 Thu thập và phân tích chứng cứ từ mạng
Các phương pháp điều tra tội phạm máy tính
• Thu thập và phân tích chứng cứ từ các linh kiên phần cứng
• Thu thập và phân tích chứng cứ từ mạng
• Thu thập và phân tích chứng cừ từ hệ thống
• Thu thập và phân tích chứng cứ từ các nguồn khác
Có 2 phương pháp để thu thập và phân tích chứng cứ từ mạng là:
+ Phân tích thống kê lưu lượng mạng a Phân tích gói tin
Phân tích gói tin là quá trình nghe và phân tích các gói tin để hiểu rõ hơn về hoạt động của mạng Quá trình này được thực hiện bởi một packet sniffer, công cụ giúp bắt dữ liệu thô đang lưu chuyển trên mạng Thông qua phân tích gói tin, chúng ta có thể nắm bắt cấu trúc mạng, xác định các thiết bị kết nối và hiểu rõ ai hoặc cái gì đang hoạt động trên mạng.
Việc sử dụng băng thông cho phép xác định thời điểm cao điểm của mạng, phát hiện khả năng tấn công và hành vi phá hoại, cũng như tìm ra các ứng dụng không được bảo mật Để bắt gói tin trên mạng, cần xác định vị trí đặt "máy nghe" trong hệ thống đường truyền Quá trình này không chỉ đơn giản là kết nối một thiết bị vào mạng, mà còn yêu cầu hiểu rõ cấu trúc vật lý của mạng, do sự khác biệt trong nguyên lý hoạt động của các thiết bị như hub, switch và router Thách thức lớn nhất nằm ở việc xác định vị trí đúng cho "máy nghe" giữa nhiều thiết bị mạng khác nhau.
Phân tích thống kê lưu lượng mạng là một yếu tố quan trọng trong điều tra tội phạm máy tính, bên cạnh việc phân tích gói tin vi Các tội phạm mạng có thể thực hiện các cuộc tấn công như tấn công từ chối dịch vụ (DoS) nhằm vào băng thông mạng hoặc khai thác thông tin từ các máy trong hệ thống thông qua tấn công ARP Do đó, việc thực hiện phân tích lưu lượng mạng giúp dễ dàng phát hiện và xác định kẻ tấn công.
Thông lượng mạng có thể được đo bằng các công cụ trên nhiều nền tảng, với mục đích chính là xác định dữ liệu tối đa truyền tải mỗi giây qua một liên kết thông tin hay mạng Một phương pháp phổ biến để đo thông lượng là chuyển một tệp lớn giữa hai hệ thống và ghi lại thời gian cần thiết để hoàn tất quá trình Thông lượng sau đó được tính bằng cách chia kích thước tệp cho thời gian, cho kết quả tính bằng megabit, kilobit hoặc bit mỗi giây Tuy nhiên, kết quả này thường thấp hơn so với thông lượng lý thuyết tối đa, dẫn đến sự hiểu lầm về độ chính xác của liên kết thông tin Thực tế, có nhiều yếu tố ảnh hưởng đến thông lượng, bao gồm độ trễ, kích thước cửa sổ và hạn chế của hệ thống, khiến cho kết quả đo không phản ánh đúng thông lượng tối đa có thể đạt được.
PHƯƠNG PHÁP ĐIỀU TRA TỘI PHẠM MÁY TÍNH
Tìm hiểu kiến trúc Router
Bộ định tuyến là thiết bị phần cứng hoặc phần mềm có chức năng định tuyến dữ liệu giữa các mạng Nó quyết định các đường dẫn mà lưu lượng mạng sẽ đi qua, và trong trường hợp có nhiều đường truyền, bộ định tuyến sẽ xác định đường dẫn tối ưu nhất để truyền thông tin.
Router (Bộ định tuyến) là thiết bị mạng có vai trò chuyển tiếp gói dữ liệu giữa các mạng máy tính, đồng thời chỉ đạo hướng đi của dữ liệu trên Internet Dữ liệu, bao gồm trang web và email, được gửi dưới dạng gói và được chuyển tiếp từ router này sang router khác qua các mạng, hình thành nên một mạng nội bộ như Internet, cho đến khi đến được đích.
Một bộ định tuyến được kết nối với hai hoặc nhiều dòng dữ liệu từ các mạng
Khi một gói dữ liệu được gửi đi, bộ định tuyến sẽ kiểm tra địa chỉ mạng trong tiêu đề gói để xác định đích cuối cùng Sau đó, nó sẽ sử dụng thông tin từ bảng định tuyến hoặc chính sách định tuyến để chuyển hướng gói tin đến mạng tiếp theo trong hành trình của nó.
Bộ định tuyến IP phổ biến nhất là bộ định tuyến dành cho văn phòng nhỏ và gia đình, có chức năng chuyển tiếp các gói IP giữa máy tính và Internet Ví dụ điển hình là bộ định tuyến cáp hoặc DSL, kết nối trực tiếp với mạng Internet.
Internet được cung cấp thông qua các nhà cung cấp dịch vụ Internet (ISP) Những bộ định tuyến tiên tiến, như bộ định tuyến doanh nghiệp, kết nối các mạng ISP hoặc doanh nghiệp lớn với những bộ định tuyến lõi mạnh mẽ, giúp chuyển tiếp dữ liệu với tốc độ cao qua các tuyến cáp quang của đường trục Internet.
2.1.2 Cách hoạt động và Chức năng của Router a Cách hoạt động
Khi nhiều bộ định tuyến hoạt động trong các mạng kết nối, chúng có khả năng trao đổi thông tin về địa chỉ đích thông qua giao thức định tuyến Mỗi bộ định tuyến sẽ tạo ra một bảng định tuyến, trong đó liệt kê các tuyến đường ưa thích giữa các hệ thống máy tính trong mạng.
Một bộ định tuyến có hai loại thành phần thành phần mạng được tổ chức trên các mặt phẳng xử lý riêng biệt :
Mặt phẳng điều khiển của bộ định tuyến duy trì một bảng định tuyến để xác định các tuyến đường chuyển tiếp gói dữ liệu, kết nối các giao diện vật lý Nó sử dụng cấu hình nội bộ, gọi là các tuyến đường tĩnh, hoặc học hỏi các tuyến đường tự động thông qua giao thức định tuyến Cả tuyến đường tĩnh và động đều được lưu trữ trong bảng định tuyến, từ đó logic mặt phẳng điều khiển loại bỏ các chỉ thị không cần thiết và xây dựng cơ sở thông tin chuyển tiếp (FIB) cho mặt phẳng chuyển tiếp.
Mặt phẳng chuyển tiếp là bộ phận của bộ định tuyến có nhiệm vụ chuyển tiếp các gói dữ liệu giữa các kết nối giao diện vào và ra Nó thực hiện việc này bằng cách sử dụng thông tin từ tiêu đề gói để xác định loại mạng chính xác, khớp với các mục trong FIB được cung cấp bởi mặt phẳng điều khiển.
Các bộ định tuyến không chỉ là thiết bị kết nối mà còn đóng vai trò là trình dịch giao thức, liên kết các mạng khác nhau Chúng hoạt động ở lớp 3 của mô hình OSI, giúp hạn chế lưu lượng phát sóng vật lý Để xác định đường dẫn tốt nhất, các bộ định tuyến thường áp dụng giao thức định tuyến dựa trên trạng thái liên kết hoặc số bước nhảy.
Về cấu hình Router thường sẽ có cổng mạng WAN và cổng mạng LAN, anten phát sóng wifi ( anten ngoài hoặc anten ngầm )
Mỗi thiết bị trong mạng đều sở hữu một địa chỉ IP duy nhất tại một thời điểm, tránh tình trạng xung đột khi có hai thiết bị cùng IP Địa chỉ IP đóng vai trò quan trọng giúp Router xác định và truyền dữ liệu đến đúng thiết bị trong mạng.
IP giống như địa chỉ nhà, giúp Router truyền dữ liệu đến đúng nơi bạn muốn, được gọi là IP Public Dữ liệu và thông tin sẽ được gửi qua thiết bị Router wifi một cách nhanh chóng, ngay cả khi có nhiều thiết bị kết nối mạng mà không bị gián đoạn Trong mạng nội bộ, các địa chỉ IP sẽ khác nhau, nhưng khi ra Internet, chỉ có một địa chỉ IP duy nhất được sử dụng.
Router kết nối với modem qua dây LAN để định tuyến lưu lượng mạng đến các thiết bị khác Hiện nay, nhiều bộ định tuyến được trang bị anten có thể điều chỉnh nhằm cải thiện hướng sóng và tăng cường tín hiệu wifi.
Một bộ định tuyến có thể hỗ trợ nhiều loại kết nối vật lý như cáp đồng, cáp quang và truyền không dây, đồng thời tương thích với các tiêu chuẩn truyền lớp mạng khác nhau Các giao diện mạng này cho phép chuyển tiếp các gói dữ liệu giữa các hệ thống truyền khác nhau Ngoài ra, bộ định tuyến cũng có khả năng kết nối nhiều nhóm thiết bị máy tính logic, được gọi là mạng con, mỗi nhóm có một tiền tố mạng riêng biệt.
Bộ định tuyến đóng vai trò quan trọng trong việc cung cấp kết nối cho doanh nghiệp, kết nối giữa các doanh nghiệp và Internet, cũng như giữa các mạng của nhà cung cấp dịch vụ Internet (ISP) Các bộ định tuyến lớn như Cisco CRS-1 và Juniper PTX thường được sử dụng để kết nối các ISP khác nhau hoặc trong các mạng doanh nghiệp lớn, trong khi các bộ định tuyến nhỏ hơn chủ yếu phục vụ kết nối cho mạng gia đình và văn phòng điển hình.
Hình 1: Mô hình sử dụng Router
Sử dụng Router rất dễ dàng; bạn chỉ cần một đoạn dây LAN 8 lõi, cắm một đầu vào modem và một đầu vào Router wifi, từ đó có thể phát sóng wifi cho nhiều người dùng.
Danh sách các loại tấn công Router
Các lỗ hổng Router phổ biến có khả năng là con đường để tấn công:
- Lỗ hổng xác thực HTTP
- Lỗ hổng phân tích cú pháp SNMP
2.2.2 Các loại tấn công Router
2.2.2.1 Tấn công từ chối dịch vụ (DoS)
Kỹ thuật tấn công phổ biến nhất hiện nay là tấn công từ chối dịch vụ (DoS), trong đó kẻ tấn công gửi liên tục các bản tin như ICMP, làm cho router không thể xử lý kịp thời, dẫn đến tình trạng quá tải.
Các cuộc tấn công từ chối dịch vụ (DoS) được chia thành ba loại:
- Phá Hủy: Các cuộc tấn công phá hủy khả năng hoạt động của bộ định tuyến
- Tiêu thụ tài nguyên Làm ngập bộ định tuyến với nhiều kết nối đang mở đồng thời
- Tiêu thụ băng thông:Các cuộc tấn công cố gắng tiêu thụ dung lượng băng thông của mạng của bộ định tuyến
Các cuộc tấn công DoS có thể nhắm vào người dùng hoặc toàn bộ tổ chức, gây ảnh hưởng nghiêm trọng đến tính khả dụng của hệ thống và mạng Tác động chính của DoS là làm gián đoạn hoạt động và liên lạc, và kẻ tấn công thường thực hiện điều này dễ dàng hơn so với việc chiếm quyền truy cập vào mạng Một ví dụ điển hình của cuộc tấn công DoS là Smurf, trong đó kẻ tấn công khai thác giao thức ICMP bằng cách gửi gói ping giả mạo đến địa chỉ quảng bá với địa chỉ nguồn là nạn nhân, dẫn đến việc nạn nhân bị ngập trong các phản hồi ping Một ví dụ khác là cuộc tấn công SYN, làm gián đoạn giao thức TCP bằng cách gửi hàng loạt gói tin giả với cờ SYN, khiến bộ đệm của nạn nhân bị lấp đầy và ngăn chặn các kết nối hợp pháp Các hệ thống kết nối Internet, đặc biệt là những hệ thống cung cấp dịch vụ như HTTP hoặc SMTP, rất dễ bị tấn công.
+ Dịch vụ của người dùng hợp pháp bị ngưng trệ: Vì router đủ tài nguyên để xử lý các bản tin của người dùng hợp lệ
+ Làm tiêu tốn tài nguyên trên router: Việc liên tục xử lý các bản tin ICMP request được gửi dồn dập sẽ tiêu tốn tài nguyên của router
Việc tiêu thụ tài nguyên CPU quá mức trong thời gian dài có thể ảnh hưởng nghiêm trọng đến khả năng vận hành của router, dẫn đến tình trạng router bị treo, đơ và hoạt động không ổn định.
Tấn công DDoS, một dạng tấn công DoS đa giao thức, sử dụng các gói ICMP, UDP và TCP Khác với tấn công DoS, DDoS bao gồm hai giai đoạn Giai đoạn đầu tiên là tấn công trước, trong đó hacker xâm nhập vào các máy tính trên Internet và cài đặt phần mềm độc hại để tạo ra các bot Những bot này có thể quét các hệ thống có bảo mật yếu trong thời gian dài Khi giai đoạn này hoàn tất, giai đoạn thứ hai bắt đầu với cuộc tấn công thực sự, khi kẻ tấn công chỉ huy các bot để phát động tấn công.
Các cuộc tấn công này hoàn thành quá trình thiết lập kết nối qua ba bước, trong đó địa chỉ IP nguồn có thể được xác định.
- Không kết nối: Các gói này SYN khó theo dõi vì nguồn
Tribal Flood Network (TFN) là công cụ DDoS dựa trên UNIX công khai đầu tiên, cho phép khởi động các cuộc tấn công ICMP, Smurf, UDP và SYN TFN đã mở đường cho các cuộc tấn công DDoS tiên tiến hơn như Trinoo, cho phép người dùng thực hiện các cuộc tấn công lũ UDP phối hợp nhằm làm quá tải máy tính của nạn nhân Một nhóm tấn công Trinoo điển hình chỉ cần một vài máy chủ và nhiều máy khách chạy trình nền Trinoo để tấn công vào một máy tính cụ thể.
2.2.2.3 Đầu độc bộ định tuyến
Các bộ định tuyến sử dụng RIPv1 rất dễ bị tấn công nhiễm độc bảng định tuyến, khi kẻ tấn công gửi các bản cập nhật định tuyến giả mạo hoặc can thiệp vào các gói cập nhật chính hãng Hành động này có thể dẫn đến từ chối dịch vụ hoàn toàn hoặc gây ra định tuyến không tối ưu, làm tắc nghẽn một số khu vực trong mạng.
+ Một trong những kiểu tấn công nổi bật nhất
+Khi kẻ tấn công đầu độc làm thay đổi bảng định tuyến, các gói cập nhật dữ liệu định tuyến cũng bị sửa đổi
+ Các gói được cấu hình sai tạo ra các mục sai trong bảng định tuyến, chẳng hạn như một địa chỉ đích sai
Định tuyến dưới mức tối ưu có thể gây ra tắc nghẽn mạng, phân vùng dữ liệu, làm máy chủ bị tràn ngập và dẫn đến việc truy cập trái phép vào dữ liệu.
2.2.2.4 Tấn công hit-and-run
+ Xảy ra khi kẻ tấn công tiêm một số lượng nhỏ gói dữ liệu xấu vào Router để khai thác mạng
+ Tương tự như một cuộc tấn công thử nghiệm: kẻ tấn công có được kiến thức về mạng có hoạt động hay không
+ Attacker liên tục tiêm các gói dữ liệu xấu vào Router và khai thác các lỗ hổng được tiết lộ trong quá trình tiêm
+ Router có thể bị ngập trong các gói và ngừng hoạt động do tiêm gói liên tục
Các bước điều tra tấn công Router
2.3.1 Điều tra tấn công Router
- Điều tra tấn công bộ định tuyến
Một cuộc tấn công cần được điều tra để xác định các biện pháp phòng ngừa nhằm ngăn chặn các cuộc tấn công tương lai Điều tra viên cần lưu ý rằng bộ định tuyến có thể ở bất kỳ trạng thái nào và cần được khôi phục về trạng thái trước khi xảy ra tấn công Các hướng dẫn quan trọng dưới đây nên được tuân thủ trong quá trình điều tra bộ định tuyến.
+ Bắt đầu với chính sách bảo mật và phát triển một kế hoạch bao gồm thu thập và xác định dữ liệu
+ Tạo một phương pháp trinh sát cung cấp thông tin về mục tiêu
+ Thực hiện kiểm tra phân tích để xác định sự cố và xem lại mật khẩu mặc định và thông tin mặc định
+ Phát triển chiến lược tấn công để phân tích các lệnh để truy cập mạng, danh sách kiểm soát truy cập, tường lửa, và các giao thức
Điều tra viên cần thận trọng khi truy cập bộ định tuyến, vì việc xử lý sai có thể dẫn đến mất mát bằng chứng quan trọng.
+ Phân tích xâm nhập là rất quan trọng để xác định kẻ tấn công và ngăn chặn sự thành công của các cuộc tấn công trong tương lai
Các bước sau đây nên được thực hiện trong quá trình điều tra một cuộc tấn công bộ định tuyến:
1 Thu giữ bộ định tuyến và duy trì chuỗi hành trình
2 Thực hiện phản ứng sự cố và ghi phiên
3 Truy cập bộ định tuyến
4 Thu thập bằng chứng dễ bay hơi
5 Xác định cấu hình bộ định tuyến
6 Kiểm tra và phân tích
Bước 1 : Thu giữ Bộ định tuyến và Duy trì Chuỗi hành trình sản phẩm:
Trước khi tiến hành điều tra, điều tra viên cần thu giữ bộ định tuyến để bảo vệ cấu hình của nó Việc duy trì chuỗi hành trình sản phẩm là rất quan trọng, bao gồm hồ sơ thu giữ, kiểm soát, chuyển giao và xử lý chứng cứ vật lý cũng như điện tử Điều này giúp ngăn ngừa sai sót trong việc xử lý chứng cứ và đảm bảo rằng những người tham gia vào quá trình thu thập và xử lý chứng cứ không bị nhầm lẫn khi làm chứng tại tòa án.
Hồ sơ này cần được xử lý một cách cẩn thận nhằm ngăn chặn các khiếu nại liên quan đến tham nhũng hoặc hành vi sai trái trong phiên tòa, vì những tuyên bố này có thể ảnh hưởng đến kết quả của một vụ án.
Chuỗi hành trình sản phẩm phải ghi lại như sau:
- Nguồn gốc của mọi bằng chứng
- Khi nhận được bằng chứng
- Các cá nhân đã cung cấp bằng chứng
- Các phương pháp được áp dụng để thu thập bằng chứng
- Lý do thu giữ chứng cứ
- Người xử lý bằng chứng
Một chuỗi các hình thức lưu ký cần bao gồm các điều kiện liên quan đến việc thu thập và xử lý chứng cứ, bao gồm người thực hiện, thời gian thu thập và tạm giữ, cũng như các điều kiện bảo mật trong quá trình xử lý và lưu trữ Hơn nữa, cần xác định cách thức chuyển giao các bằng chứng để đảm bảo tính toàn vẹn của chúng.
Bước 2 : Thực hiện ứng phó sự cố và ghi phiên
Những bước đầu tiên mà điều tra viên thực hiện sau khi xảy ra sự cố là rất quan trọng trong phản ứng sự cố Trong giai đoạn ứng phó sự cố của một cuộc điều tra, cần tuân thủ các quy tắc nhất định để đảm bảo hiệu quả và chính xác trong quá trình điều tra.
Bộ định tuyến chỉ nên được khởi động lại khi thực sự cần thiết, vì việc này có thể dẫn đến mất mát thông tin quan trọng Tuân thủ các quy tắc pháp y của bộ định tuyến là rất quan trọng để bảo vệ dữ liệu.
- Tất cả thông tin và bằng chứng thu được phải được ghi lại
- Không nên sửa đổi thông tin và bằng chứng thu được Các sự cố sau đây cần được xử lý theo những cách cụ thể:
- Sự cố thỏa hiệp trực tiếp
- Thao tác bảng định tuyến
Sự cố thỏa hiệp trực tiếp là một trong những sự cố phổ biến sau khi từ chối dịch vụ Để đánh giá chính xác các lỗ hổng, điều tra viên cần đảm nhận vai trò của thủ phạm trong quá trình điều tra Họ sử dụng các dịch vụ nghe để phát hiện các lỗ hổng tiềm ẩn và điểm tấn công Với sự đồng ý của quản trị viên mạng, các điểm tấn công này có thể được khắc phục, các biện pháp đối phó cho lỗ hổng có thể được đưa ra, hoặc để lại không can thiệp.
Trong bước tiếp theo, bộ định tuyến phải được khởi động lại để điều tra viên có thể có quyền truy cập vào bàn điều khiển
Phiên làm việc cần được ghi lại ngay khi điều tra viên truy cập vào bảng điều khiển Ngoài ra, điều tra viên cũng có khả năng truy cập modem trong trường hợp xảy ra một đăng xuất không đúng.
Mật khẩu đóng vai trò quan trọng trong điều tra, vì điều tra viên pháp y cần hiểu cách thức kẻ tấn công bẻ khóa mật khẩu Kẻ tấn công có thể sử dụng các công cụ bẻ khóa, đánh cắp từ tập tin cấu hình, thu thập qua các giao thức như SNMP, telnet, HTTP hoặc TFTP, hoặc chỉ đơn giản là đoán mật khẩu.
Giao thức truyền tệp đơn giản (TFTP) là một công cụ quan trọng giúp xác định các hành động của kẻ tấn công khi tấn công một bộ định tuyến TFTP không chỉ hỗ trợ trong việc phân tích các cuộc tấn công mà còn cung cấp thông tin về cách thức lưu trữ và truyền tải dữ liệu trong mạng.
Kẻ tấn công có thể quét mạng để tìm bộ định tuyến và máy chủ TFTP, từ đó sử dụng giao thức này để tải lại các tập tin cấu hình Họ có khả năng lấy được tệp cấu hình và liệt kê tất cả các mật khẩu có thể để truy cập vào bộ định tuyến.
Để kiểm tra bảng định tuyến, hãy sử dụng lệnh "show ip route" Lệnh này sẽ giúp bạn xác định địa chỉ IP mà cuộc tấn công nhắm đến và cách thức thực hiện của nó.
Trong sự cố trộm cắp thông tin, việc kiểm tra kỹ lưỡng danh sách cấu trúc liên kết và kiểm soát truy cập mạng là rất cần thiết Các thông tin này thường được lưu trữ trong bộ định tuyến, và danh sách kiểm soát truy cập đóng vai trò quan trọng trong quá trình điều tra bộ định tuyến.
Sự cố từ chối dịch vụ là một trong những vấn đề phổ biến nhất mà điều tra viên cần xử lý một cách cẩn thận Để tiến hành điều tra hiệu quả, bộ định tuyến cần được khởi động lại.
DEMO
Mô Hình Thực Nghiệm
Tên thiết bị Hệ điều hành Interface IP Address
Chuẩn Bị
- Cài đặt máy ảo EVE-NG, Windows7, Kali-linux-2021.1
- Phần mềm SysLog Watcher 4.2.2, Putty,…
Syslog (System Logging Protocol) là giao thức dùng để gửi nhật ký hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, được gọi là máy chủ Syslog.
- Giao thức này hoạt động trên port UDP 514
- Cần phải có Syslog server để lưu trữ log vì các thiết bị mạng chỉ lưu trữ log trên RAM.
Các bước tiến hành
- Cấu hình IP trên máy Kali2:
- Cấu hình IP trên máy Server log:
Hình 7: Config IP Server Log
- Cấu hình IP trên máy tấn công kali linux:
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.2.0 255.255.255.0
Router(config-if)#no shutdown
Hình 12: Configure password console and enable
Hình 14: Begin install Syslog Watcher 4
Hình 19: Click Next to Start the installation
Hình 22: Select Manage Local Syslog Server
Hình 23: Nhận syslogs qua TCP,UDP
Hình 24: Remote Access sử dụng password
Hình 25: Nơi lưu trữ và thời gian lưu trữ
- Chạy Syslog Wather UI (User Interface):
Hình 28: Select Connect to Remote Server
- Chuyển sang tab “Last 5000 syslogs” để xem các messages đến ngay lập tức
Hình 29: Connect to Remote Server
- Cấu hình thu thập Syslog từ router:
Hình 31: Telnet Router từ Server log
+ Cấu hình các options của logging:Chỉ định địa chỉ IP của syslog watcher làm đích ghi nhật ký, Modify các option: facility, history,…
Hình 32: Cấu hình thu thập syslog từ Router
- Syslog giờ đã được gửi đến Server log
3.3.2 Thực nghiệm tấn công Router
- Tấn công atk6-flood_router26 eth0
Hình 33: Tấn công Atk6-flood_router26
- Quá trình Ping của máy Client không ổn định:
Hình 34: Ping không ổn định
- Thực hiện Shutdown interface e0/0 của Router:
Thu thập, phân tích
- Lệnh "show version" là một công cụ mạnh mẽ Nó có thể hiển thị:
- Phiên bản IOS trên bộ định tuyến
- phiên bản của bootstrap ROM
- "thời gian hoạt động" (tức là bộ định tuyến đã chạy được bao lâu từ lần bật nguồn cuối cùng)
- Tệp hình ảnh hệ thống là Flash
“unix:/otp/unetlab/addons/iol/bin/Router.bin, được khởi động qua flash
- Show running-config: câu lệnh kiểm tra cấu hình/ xem file chương trình chạy trên RAM
Hình 38: Lệnh Show running-config
- Show startup-config: Show cấu hình đã lưu lại trên NVRAM
Hình 39: Lệnh Show startup-config
- Show interface: Có thể kiểm tra trạng thái của giao diện trên thiết bị chuyển mạch của Cisco
Lệnh "show ip route" cho phép hiển thị bảng định tuyến của bộ định tuyến, giúp người quản trị xác định xem có thông tin định tuyến nào bị tiêm bởi kẻ tấn công hay không.
- Show clock: Show ngày giờ
Hình 47: Một đoạn log của router
- Syslogs thu thập tư Server Log:
Hình 49: Log trên Syslog Watcher
- Syslog interface e0/0 của Router chuyển sang trạng thái down:
Hình 50: Log interface e0/0 bị down
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Qua quá trình tìm hiểu và triển khai đề tài, chúng em đã nắm rõ các loại tấn công trên Router, kiến trúc Router, cùng với các bước tấn công và điều tra Những kiến thức này sẽ được ứng dụng trong việc thực hiện demo đề tài, từ đó mở ra hướng nghiên cứu về các biện pháp phòng chống và bảo vệ Router khỏi những vấn đề nghiêm trọng có thể xảy ra.
