Thu thập và phân tích chứng cứ từ mạng
Quá trình thu thập và phân tích chứng cứ từ mạng bao gồm phân tích gói tin và phân tích thống kê lưu lượng mạng.
1. Phân tích gói tin
o Lắng nghe các gói tin hoạt động trên mạng (thông qua 1 máy nghe – sniffer).
o Phân tích: các giao thức, quá trình bắt tay, các luông thông tin lưu chuyển trên mạng.
Từ quá trình phân tích chỉ ra được:
Cấu tạo mạng.
Ai đang ở trên mạng.
Ai hoặc cái gì đang sử dụng băng thông.
Khả năng bị tấn công và các hành vi phá hoại.
Các ứng dụng không được bảo mật.
o Cần lưu ý vị trí đặt máy nghe: đặt máy nghe đúng vị trí vật lý trong một mạng máy tính, nơi có số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau.
o Có nhiều công cụ hỗ trợ phân tích gói tin, phổ biến như Wireshark, Ettercap…
2. Phân tích thống kê lưu lượng mạng
o Đo lượng thông lượng trong mạng:
▪ Dữ liệu tối đa trong mỗi giây của một liên kết thông tin liên lạc hay một truy cập mạng.
▪ Ví dụ: chuyển mội tập tin lớn từ một hệ thống sang một hệ thống khác và đo thời gian cần thiết để hoàn tất. Chia kích thước tập tin theo thời gian để có được kết quả theo megabit, kilobit, bit trên mỗi giây.
Phát hiện các tấn công lên băng thông mạng (tấn công DDOS) hoặc tấn công chặn bắt thông tin trong hệ thống (tấn công ARP).
o Các công cụ sử dụng đo băng thông sử dụng để xác định băng thông tối đa của một mạng hoặc kết nối internet: NetScp, Spirent Test Center, JDSU…