Сетевая криминалистика - Network forensics
Эта статья нужны дополнительные цитаты для проверка.Апрель 2011 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Часть серия на |
Криминалистика |
---|
|
Сетевая криминалистика является подразделением цифровая криминалистика относящиеся к мониторингу и анализу компьютерная сеть трафик в целях сбора информации, юридических доказательств или обнаружения вторжений.[1] В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамичной информацией. Сетевой трафик передается, а затем теряется, поэтому сетевая криминалистика часто является упреждающим расследованием.[2]
Сетевая криминалистика обычно имеет два применения. Первый, связанный с безопасностью, включает в себя мониторинг сети на предмет аномального трафика и выявление вторжений. Злоумышленник может стереть все файлы журналов на скомпрометированном хосте; сетевые доказательства могут быть единственными доказательствами, доступными для судебно-медицинской экспертизы.[3] Вторая форма относится к правоохранительным органам. В этом случае анализ перехваченного сетевого трафика может включать такие задачи, как повторная сборка переданных файлов, поиск по ключевым словам и анализ человеческого общения, такого как электронные письма или сеансы чата.
Для сбора сетевых данных обычно используются две системы; грубая сила «поймай как можешь» и более умный метод «стоп, посмотри, послушай».
Обзор
Сетевая криминалистика - сравнительно новая область криминалистики. Растущая популярность Интернета в домашних условиях означает, что вычисления стали ориентированными на сеть, и данные теперь доступны за пределами дисковых цифровые доказательства. Сетевая криминалистика может проводиться как отдельное расследование или вместе с компьютерная экспертиза анализ (где он часто используется для выявления связей между цифровыми устройствами или реконструкции того, как было совершено преступление).[2]
Маркусу Рануму приписывают определение сетевой криминалистики как «захват, запись и анализ сетевых событий с целью обнаружения источника атак на безопасность или других проблемных инцидентов».[4]
По сравнению с компьютерной криминалистикой, где доказательства обычно хранятся на диске, сетевые данные более изменчивы и непредсказуемы. У исследователей часто есть материал только для проверки того, были ли настроены фильтры пакетов, брандмауэры и системы обнаружения вторжений для предупреждения нарушений безопасности.[2]
Системы, используемые для сбора сетевых данных для использования в криминалистике, обычно бывают двух видов:[5]
- «Catch-it-as-you-can» - здесь все пакеты, проходящие через определенную точку трафика, захватываются и записываются в хранилище с последующим анализом в пакетном режиме. Этот подход требует большого объема памяти.
- «Остановись, посмотри и послушай» - здесь каждый пакет элементарно анализируется в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует более быстрого процессор чтобы не отставать от входящего трафика.
Типы
Ethernet
Применяет все данные на этом уровне и позволяет пользователю фильтровать различные события. С помощью этих инструментов страницы веб-сайтов, вложения электронной почты и другой сетевой трафик можно реконструировать, только если они передаются или принимаются в незашифрованном виде. Преимущество сбора этих данных заключается в том, что они напрямую связаны с хостом. Если, например, IP-адрес или MAC-адрес узла в определенное время известно, все данные, отправляемые на этот IP или MAC-адрес или с него, могут быть отфильтрованы.
Чтобы установить связь между IP и MAC-адресом, полезно внимательнее изучить вспомогательные сетевые протоколы. В таблицах протокола разрешения адресов (ARP) перечислены MAC-адреса с соответствующими IP-адресами.
Для сбора данных на этом слое сетевая карта (NIC) хоста можно поместить в "беспорядочные половые связи ". При этом весь трафик будет передаваться на ЦП, а не только трафик, предназначенный для хоста.
Однако, если злоумышленник или злоумышленник знает, что его соединение может быть перехвачено, он может использовать шифрование для защиты своего соединения. В настоящее время практически невозможно взломать шифрование, но тот факт, что соединение подозреваемого с другим хостом все время зашифровано, может указывать на то, что другой хост является сообщником подозреваемого.
TCP / IP
На сетевом уровне протокол Интернета (IP) отвечает за направление пакетов, генерируемых TCP через сеть (например, Интернет) путем добавления информации об источнике и получателе, которая может интерпретироваться маршрутизаторами по всей сети. Сотовые цифровые пакетные сети, например GPRS, используйте аналогичные протоколы, такие как IP, поэтому методы, описанные для IP, также работают с ними.
Для правильной маршрутизации каждый промежуточный маршрутизатор должны иметь таблицу маршрутизации, чтобы знать, куда отправить пакет дальше. Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифрового преступления и попытке выследить злоумышленника. Для этого необходимо проследить за пакетами злоумышленника, изменить маршрут отправки и найти компьютер, с которого пришел пакет (т. Е. Злоумышленник).
Интернет
Интернет может быть богатым источником цифровых доказательств, включая просмотр веб-страниц, электронную почту, группа новостей, синхронный чат и пиринговый трафик. Например, журналы веб-сервера могут использоваться, чтобы показать, когда (или если) подозреваемый получил доступ к информации, связанной с преступной деятельностью. Учетные записи электронной почты часто могут содержать полезные доказательства; но заголовки электронной почты легко подделать, и поэтому для подтверждения точного происхождения компрометирующих материалов может использоваться сетевая криминалистика. Сетевая криминалистика также может использоваться, чтобы выяснить, кто использует конкретный компьютер.[6] путем извлечения информации об учетной записи пользователя из сетевого трафика.
Беспроводная криминалистика
Беспроводная криминалистика является подразделом сетевой криминалистики. Основная цель беспроводной криминалистической экспертизы - предоставить методологию и инструменты, необходимые для сбора и анализа (беспроводной) сетевой трафик которые могут быть представлены в суде как действительные цифровые доказательства. Собранные доказательства могут соответствовать простым данным или, при широком использовании Передача голоса по IP (VoIP) технологии, особенно по беспроводной связи, могут включать голосовые разговоры.
Анализ трафика беспроводной сети аналогичен анализу в проводных сетях, однако может быть дополнительно учтен беспроводной доступ. Меры безопасности.
Рекомендации
- ^ Гэри Палмер, «Дорожная карта для цифровых криминалистических исследований», Отчет DFRWS 2001, Первый семинар по цифровым судебным исследованиям, Ютика, Нью-Йорк, 7-8 августа 2001 г., стр. 27–30
- ^ а б c Кейси, Иоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Эльзевир. ISBN 0-12-163104-4.
- ^ Эрик Хьельмвик, пассивный анализ сетевой безопасности с NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer В архиве 2012-02-23 в Wayback Machine
- ^ Маркус Ранум, сетевой бортовой регистратор, http://www.ranum.com
- ^ Симсон Гарфинкель, Сетевая криминалистика: подключение к Интернету http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
- ^ «Facebook, SSL и Network Forensics», Блог по сетевой безопасности NETRESEC, 2011 г.