Definition von Netzwerk-Forensik

Wie zu erwarten, ist der Computer-Begriff "Network Forensics" Bereich der Kriminologie entlehnt. Es geht um suchen und Fragen der Sicherheit und andere Probleme in Computernetzwerken zu finden. Im Wesentlichen ist es die Erfassung und Analyse von Netzwerk-Vorfällen, die Quelle der Sicherheit Reithose oder andere Probleme aufzudecken. Und speziell, erfordert die Fähigkeit, ungewöhnliche Muster versteckt innerhalb der scheinbar harmlosen Netzwerkverkehr aufzuspüren. Marcus Ranum, renommierten Firewall-Experte, soll der Begriff "Network Forensics," geprägt haben, laut SearchSecurity.com.

Identifikation

Marcus Ranum, Autor von "Datenbank Nation: The Death of Privacy in the 21st Century" unter den anderen Computer Security-ähnliche Titel, erklärt, dass forensische Netzwerksysteme in zwei Hauptkategorien fallen: "wie möglich fangen" und "stop, look und hören" Systeme. Bei beiden Typen sind Datenpakete entlang einem Bach bezeichneten Verkehr verfolgt und sehr genau geprüft.

Ein Paket ist eine Information, die von einem Punkt A zu einem Ziel B über das Internet oder ein ähnliches Netz weitergeleitet wird. Der Übertragung Steuerelement Protokoll (TCP) Teil des die Abkürzung "TCP/IP" schnitzt die Datei in überschaubare "Einheiten" für das routing. Jedes dieser Pakete ist nummeriert und trägt die Internet-Adresse des Ziels, einer Reise möglicherweise verschiedene Routen quer durch den Äther.

Wie möglich zu fangen

"Sie können catch" forensische Netzwerksysteme nehmen Pakete, die durch gezielte Verkehr Punkte innerhalb eines Netzwerks fliegen und sie erfassen. Mit anderen Worten, werden die Datenpakete in den Speicher geschrieben. Die eigentliche Prüfung und tiefgreifende Analyse dieser Daten erfolgt zu einem späteren Zeitpunkt in einer Reihe von Chargen. Es überrascht nicht, bedeutet dies, dass Sie benötigen große Mengen an Speicherkapazität, häufig gefunden in ein System namens RAID, steht für "redundant Array of independent Disks." Mit RAID werden dieselben Daten an verschiedenen Orten, und damit Straffung und Beschleunigung des Datenanalyse Prozess gespeichert.

Stoppen Sie, schauen und hören

"Stop, sehen und hören" Netzwerk Forensik nimmt jedes Pakets und untersucht es in was eine oberflächliche Weise in Erinnerung, Ausmerzung einige besonders saftig Bits von Informationen und speichern sie für spätere Analyse nennen könnte. Weniger Speicherplatz wird benötigt, mit "stop, look and hören"; aber dieser Ansatz oft bedeutet, dass Sie einen schnelleren Prozessor sich über die Bände der eingehenden Datenverkehr.

Speicher

Sowohl "wie möglich fangen" und "stop, sehen und hören" Netzwerk forensische Systeme benötigen massive Berge von Daten und die Notwendigkeit, um Platz für neue Informationen machen durch dumping veraltete Teile der Daten zu speichern. Es gibt Programme, die speziell für die Erfassung und Analyse der Daten für Netzwerk-Forensik entwickelt. Ein paar open-Source-Versionen sind Tcpdump und Windump, erklärt SearchSecurity.com. Kommerzielle Programme sind auch für Datenerfassung und Analyse zur Verfügung.

Überlegungen zur

Laut Marcus Ranum, die "fangen wie möglich" Protokoll insbesondere, birgt das Problem der Privatsphäre. Jedes Datenpaket Informationen--einschließlich generierte Daten der Benutzer--erfasst und gespeichert, wodurch diese Informationen anfällig für neugierigen Augen und Lecks. Obwohl Electronic Communications Privacy Act völlig verbietet Abhören von Internet-Dienstleister--außer für Betrieb, Überwachung, unter gerichtliche Anordnung oder mit Genehmigung von Benutzern--scheint es, dass je mehr Informationen, die gehortet wird, desto wahrscheinlicher ist es, dass die Sicherheit Reithose stattfindet. Eine umstrittene Netzwerk forensische Analyse-Tool oder NFAT, ist z. B. Fleischfresser, führen Sie durch das FBI.