Sử dụng Packet Capture (PCAP) để phân tích lưu lượng và ATTT

Khối lượng truyền thông dữ liệu liên quan đến giao thức Internet (IP) ngày càng tăng nhờ sự phổ biến của các dịch vụ truy cập băng thông rộng IP, cũng như sự gia tăng của các dịch vụ mạng xã hội và các dịch vụ mới trên nền tảng IP khác. Mặc dù chức năng của các bộ định tuyến, các thiết bị chuyển mạch Ethernet, thiết bị đầu cuối khác luôn được cải tiến, nhưng điều này đi kèm với các lỗi mạng IP làm giảm hiệu suất truyền tải dữ liệu tốc độ cao. Bên cạnh đó là các vấn đề về an toàn thông tin (ATTT) như truy cập trái phép, vi phạm dữ liệu, phần mềm độc hại,.. có xu hướng ngày càng phức tạp, gây thiệt hại lớn cho các tổ chức, doanh nghiệp và người dùng.

Để đối phó với tình trạng này, các kỹ thuật xác định nguyên nhân của những lỗi mạng và an ninh mạng đã được đẩy mạnh. Kỹ thuật Packet Capture (PCAP) này là thu thập một lượng lớn gói tin được truyền giữa các thiết bị IP thông qua việc sử dụng trình kiểm tra, phân tích lưu lượng mạng.

Mặc dù việc phân tích lưu lượng mạng có thể thực hiện được với phần mềm phân tích gói phổ biến như Wireshark, các thao tác cần thiết để xác định các gói gây ra lỗi từ một khối lượng lớn dữ liệu được thu thập có thể khá phức tạp và cực kỳ tốn thời gian. Bên cạnh đó, quản trị viên và kỹ thuật viên về mạng cũng phải học cách sử dụng các phương pháp phân tích đó, điều đó có nghĩa là kết quả phân tích có thể phụ thuộc rất lớn vào kỹ năng cá nhân.

Để giải quyết những vấn đề này, một thiết bị hoặc phần mềm chụp bắt gói tin và phân tích mạng chuyên dụng có giao diện người dùng trực quan, tính năng dễ sử dụng và báo cáo dễ hiểu được cân nhắc sử dụng. Nó phân tích dữ liệu đã thu thập được với các chức năng hỗ trợ nhập hàng loạt và phân tích khối lượng lớn dữ liệu đã thu thập để có thể nhanh chóng phát hiện ra nguyên nhân gây ra lỗi IP và các vấn đề về ATTT.

Packet Capture (PCAP) là gì?

Packet Capture đề cập đến hành động bắt các gói Giao thức Internet (IP) để xem xét hoặc phân tích. Thuật ngữ này cũng có thể được sử dụng để mô tả các tệp mà công cụ chụp bắt gói tin xuất ra, thường được lưu ở định dạng .pcap.

Bắt gói tin PCAP là một kỹ thuật phổ biến dành cho quản trị viên để kiểm tra lưu lượng truy cập mạng để tìm các vấn đề về hiệu suất, mối đe dọa bảo mật và khắc phục sự cố mạng. Chụp bắt gói tin Packet Capture cũng là giải pháp để cung cấp manh mối pháp lý quan trọng hỗ trợ điều tra.

Packet Capture (PCAP) là một giải pháp giúp quản trị viên phân tích lưu lượng mạng và khắc phục sự cố mạng chuyên sâu. Công cụ bắt gói tin PCAP sẽ ghi lại các gói dữ liệu thời gian thực truyền qua mạng để theo dõi và ghi nhật ký. Packet Capture (PCAP) là một công cụ quan trọng được sử dụng để giữ cho mạng hoạt động an toàn và hiệu quả.

Vào tay kẻ xấu, nó cũng có thể được sử dụng để đánh cắp dữ liệu nhạy cảm như tên người dùng và mật khẩu. Không giống như các kỹ thuật trinh sát chủ động như quét cổng, việc bắt gói tin có thể được thực hiện mà không để lại bất kỳ dấu vết nào cho các nhà điều tra.

Packet Capture hoạt động thế nào?

Có nhiều cách để bắt một gói tin, có thể được thực hiện từ một phần cứng chuyên dụng được gọi là Network TAP, hoặc từ một thiết bị mạng như bộ định tuyến hoặc bộ chuyển mạch, từ máy tính PC.

  • Nếu bạn đang thực hiện bắt gói tin trên một mạng lớn hoặc bận rộn thì sử dụng thiết bị chuyên dụng như Network TAP có thể là lựa chọn tốt nhất. TAP là cách tốt nhất để thu thập các gói nhưng không gây ảnh hưởng đến hiệu suất vì chúng là phần cứng chuyên dụng.
  • Bạn có thể thực hiện bắt gói tin bằng cách khác có chi phí thấp hơn như cổng SPAN (cổng phản chiếu/cổng giám sát) của thiết bị mạng như bộ định tuyến hoặc bộ chuyển mạch. Cổng SPAN cho phép quản trị viên mạng sao chép lưu lượng truy cập mạng và gửi nó đến một cổng được chỉ định, thường là để xuất sang thiết bị giám sát, phân tích mạng chuyên dụng. Nhiều thiết bị chuyển mạch và bộ định tuyến cao cấp có thể có chức năng bắt gói tin có thể được sử dụng để khắc phục sự cố nhanh chóng ngay từ giao diện web hoặc CLI của thiết bị. Các loại thiết bị mạng khác như tường lửa và điểm truy cập không dây cũng thường có chức năng bắt gói tin.

Bất kể sử dụng phương pháp nào, việc bắt gói tin hoạt động bằng cách tạo bản sao của một số hoặc tất cả các gói đi qua một điểm nhất định trong mạng.

Đọc và phân tích gói tin Packet Capture

Để hiểu và phân tích việc gói tin, bạn sẽ cần một số kiến thức cơ bản về các khái niệm mạng cơ bản, đặc biệt là mô hình OSI. Mặc dù có thể có sự khác nhau giữa giao diện về kết quả báo cáo tổng hợp giữa các công cụ cụ thể, nhưng sẽ luôn bao gồm dữ liệu thực sự được truyền đi của một gói tin giữa hai phía (Payload) và một số mào đầu (Headers).

  • Payload bao gồm dữ liệu thực tế được truyền, đây có thể là các đoạn phim phát trực tuyến, e-mail, phần mềm, malware hoặc bất kỳ chương trình phần mềm khác truyền qua mạng.
  • Tiêu đề gói (Headers) chứa tất cả thông tin quan trọng giúp thiết bị mạng quyết định phải làm gì với mỗi gói.

Ngoài địa chỉ nguồn và đích, một số trường quan trọng từ góc độ khắc phục sự cố có thể bao gồm (DSCP), Flags và TTL.

  • DSCP: được sử dụng để đảm bảo Chất lượng dịch vụ (QoS) và là trường quan trọng đối với lưu lượng truy cập thời gian thực như Thoại qua IP (VoIP).
  • Cờ (Plags) thường được sử dụng để kiểm soát phân mảnh gói và có thể trở thành sự cố khi gói có cờ Không phân mảnh cũng vượt quá kích thước Đơn vị truyền tối đa (MTU) của liên kết mạng.
  • Giá trị TTL giảm dần sau mỗi bước nhảy và có thể cung cấp manh mối quan trọng về đường dẫn của gói qua mạng.

Một nhà phân tích mạng chuyên nghiệp sẽ có kiến thức chi tiết về tất cả các lĩnh vực này, nhưng chỉ cần hiểu biết chung về cấu trúc gói là có thể bắt đầu khắc phục sự cố về hiệu suất hoặc tìm hiểu thêm về cách hoạt động của mạng.

Ưu điểm và nhược điểm của công cụ bắt gói tin Packet Capture

Như đã nêu, công cụ bắt và phân tích gói tin là một tài sản to lớn đối với các quản trị viên mạng và nhóm bảo mật. Dưới đây là một số ưu điểm và nhược điểm của việc sử dụng tính năng chụp gói:

Ưu điểm:

  • Toàn diện về lưu lượng: Chụp bắt gói tin theo định nghĩa là một bản sao trùng lặp của các gói thực tế đi qua mạng hoặc liên kết mạng. Do đó, đây là giải pháp thu thập tốt nhất về lưu lượng mạng. Việc chụp gói chứa mức độ chi tiết cao không có sẵn trong các giải pháp giám sát khác, bao gồm payload, headers. Điều này có thể khiến việc chụp bắt gói tin trở thành giải pháp khả thi duy nhất trong những trường hợp cần nhiều chi tiết.
  • Có thể lưu trữ lại và phân tích sau: Việc bắt gói tin có thể được lưu để phân tích hoặc kiểm tra thêm ở định dạng .pcap và .pcapng theo tiêu chuẩn ngành. Điều này cho phép kỹ sư mạng lưu lưu lượng truy cập đáng ngờ và sau đó được nhà phân tích bảo mật xem xét. Rất nhiều công cụ hỗ trợ định dạng này, bao gồm cả các công cụ phân tích bảo mật. Bạn cũng có thể lưu bản chụp gói tin bao gồm dữ liệu có giá trị và xem lại nó vào thời điểm sau đó.

Nhược điểm:

  • Dung lượng lớn: Việc chụp bắt toàn bộ gói tin có thể chiếm một lượng lớn dung lượng ổ đĩa. Ngay cả khi áp dụng tính năng lọc, một tệp chụp duy nhất có thể chiếm nhiều gigabyte dung lượng lưu trữ. Điều này có thể làm cho việc chụp bắt gói tin không phù hợp để lưu trữ lâu dài. Những kích thước tệp lớn này cũng có thể dẫn đến thời gian chờ đợi lâu khi mở .pcap trong công cụ phân tích mạng.
  • Quá nhiều thông tin: Mặc dù việc chụp gói để cung cấp cái nhìn rất đầy đủ về lưu lượng mạng nhưng chúng thường quá toàn diện. Thông tin liên quan thường có thể bị mất trong một lượng lớn dữ liệu. Các công cụ phân tích có các tính năng sắp xếp và lọc các tệp chụp, nhưng nhiều trường hợp có thể sử dụng các tùy chọn khác với phiên bản tóm tắt về lưu lượng truy cập giúp quản trị viên tập trung vào các thông tin cần thiết hơn.

Sử dụng thiết bị và phần mềm chuyên dụng để phân tích lưu lượng mạng và an toàn thông tin

ProfitAP Packet Capture

Thông thường, bạn có thể khắc phục sự cố mạng hoặc phát hiện các dấu hiệu của một cuộc tấn công chỉ bằng các phiên bản tóm tắt về lưu lượng truy cập mạng có sẵn trong các giải pháp giám sát, phân tích chuyên dụng.

Để đảm bảo phân tích chuyên sâu các gói tin với các báo cáo trực quan, quản trị viên cần có các thiết bị hoặc ứng dụng bắt gói tin và phân tích mạng, bao gồm các tính năng để lọc, trực quan hóa và kiểm tra lượng lớn dữ liệu. Những công cụ này cho phép phân tích chuyên sâu mà điều này không thể thực hiện được bằng cách kiểm tra thủ công. Các tệp chụp cũng có thể được đưa vào Hệ thống phát hiện xâm nhập/Hệ thống bảo vệ (IDS/IPS), Hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) hoặc các loại sản phẩm bảo mật khác để tìm kiếm dấu hiệu của một cuộc tấn công hoặc vi phạm dữ liệu.

Các trường hợp sử dụng công cụ Packet Capture and Analysis để phân tích các vấn đề về lưu lượng và an toàn thông tin mạng

Chụp bắt gói tin là một kỹ thuật mạnh mẽ để giám sát và phân tích lưu lượng mạng, đồng thời có thể giúp bạn phát hiện và ngăn chặn các cuộc tấn công mạng. Khi một gói được ghi lại trong thời gian thực, nó sẽ được lưu trữ trong một khoảng thời gian để có thể phân tích và sau đó có thể được tải xuống, lưu trữ hoặc loại bỏ. Do vậy, chụp bắt gói tin được sử dụng để điều tra các mối đe dọa bảo mật hoặc tìm kiếm nguyên nhân gốc rễ của các vấn đề về mạng hoặc hiệu suất. Sau đây là một số tính huống phổ biến mà Packet Capture được sử dụng:

Khám phá và Trinh sát:

Về bản chất, các gói tin bao gồm địa chỉ nguồn và địa chỉ đích, do đó, tính năng chụp bắt gói tin có thể được sử dụng để khám phá các điểm cuối hoạt động trên một mạng nhất định. Với đủ dữ liệu, thậm chí có thể lấy dấu vết của các điểm cuối. Khi được thực hiện vì mục đích kinh doanh hợp pháp, điều này được gọi là khám phá hoặc kiểm kê. Tuy nhiên, bản chất thụ động của việc chụp bắt gói tin khiến nó trở thành một cách tuyệt vời để những kẻ tấn công độc hại thu thập thông tin cho các giai đoạn tiếp theo của cuộc tấn công.

Khắc phục sự cố mạng

Khi khắc phục sự cố mạng, việc kiểm tra lưu lượng mạng thực tế có thể là phương tiện hiệu quả nhất để thu hẹp nguyên nhân cốt lõi của sự cố. Trình nghe lén gói cho phép quản trị viên và kỹ sư mạng xem nội dung của các gói đi qua mạng. Đây là một khả năng cần thiết khi khắc phục sự cố các giao thức mạng cơ bản như DHCP, ARP và DNS. Tuy nhiên, việc chụp bắt gói tin không tiết lộ nội dung của lưu lượng mạng được mã hóa.

Việc phân tích các gói tin có thể giúp xác minh rằng lưu lượng truy cập đang đi đúng đường trên mạng và đang được xử lý theo đúng mức ưu tiên. Liên kết mạng bị tắc nghẽn hoặc bị hỏng thường dễ dàng được phát hiện trong quá trình phân tích gói tin. Các kết nối có dấu hiệu bất thường có thể xác định qua số lần mạng thử kết nối lại nhiều lần, hoặc gói bị rớt lớn thường là dấu hiệu của liên kết được sử dụng quá mức hoặc phần cứng mạng bị lỗi.

Phát hiện xâm nhập

Lưu lượng truy cập mạng đáng ngờ có thể được phân tích qua gói tin thu thập được và đưa vào giải pháp IDS, IPS hoặc SIEM để phân tích thêm. Những kẻ tấn công tìm mọi cách để trà trộn vào lưu lượng mạng bình thường, nhưng việc kiểm tra cẩn thận có thể phát hiện ra lưu lượng bí mật. Các vấn đề bất thường như địa chỉ IP độc hại, payload và các chi tiết nhỏ khác đều có thể là dấu hiệu của một cuộc tấn công. Ngay cả những điều vô hại như yêu cầu DNS, nếu được lặp lại đều đặn, có thể là dấu hiệu của tín hiệu ra lệnh và kiểm soát.

Phản ứng sự cố và pháp y số

Việc chụp bắt gói tin mang lại cơ hội quản trị viên và những người có trách nhiệm để ứng phó với các sự cố. Những kẻ tấn công có thể thực hiện các bước để che giấu dấu vết của chúng trên các điểm cuối, nhưng chúng không thể hủy gửi các gói đã đi qua mạng.

Cho dù đó là phần mềm độc hại, đánh cắp dữ liệu hay một số loại sự cố khác, việc chụp bắt gói tin thường có thể phát hiện các dấu hiệu của một cuộc tấn công mà các công cụ bảo mật khác bỏ sót. Vì tiêu đề gói (Headers) sẽ luôn chứa cả địa chỉ nguồn và địa chỉ đích, nên các nhóm ứng phó sự cố có thể sử dụng tính năng chụp bắt gói tin để theo dõi đường đi của kẻ tấn công qua mạng hoặc phát hiện các dấu hiệu dữ liệu bị lấy ra khỏi mạng.