Криміналістика мережі

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Мережева криміналістика - це підрозділ цифрової криміналістики, що стосується моніторингу та аналізу трафіку комп’ютерних мереж з метою збору інформації, юридичних доказів або виявлення вторгнень . [1] На відміну від інших областей цифрової криміналістики, мережеві розслідування займаються нестабільною та динамічною інформацією. Мережевий трафік передається, а потім втрачається, тому мережева криміналістика часто є активним обстеженням [2]

Мережева криміналістика, як правило має два способи використання. Перший, що включає в себе безпеки, включає моніторинг мережі на предмет аномальних потоків та виявлення вторгнень. Зловмисник, можливо, зможе стерти всі файли журналів на скомпрометованому хості; Отже, мережеві докази можуть бути єдиними доказами, доступними для судового аналізу. Друга форма стосується правоохоронних органів. У цьому випадку аналіз захопленого мережевого трафіку може включати такі завдання, як повторне збирання переданих файлів, пошук ключових слів та аналіз людського спілкування, наприклад, електронної пошти чи сеансів чату.

Два методи зазвичай використовуються для збору мрежевих даних; груба сила "лови як можеш" і більш розумний метод "зупинися, дивись, послухай"

Огляд[ред. | ред. код]

Мережева криміналістика - порівняно нова галузь криміналістики. Зростаюча популярність Інтернету в будинках означає, що обчислювальні технології стали орієнтованими на мережу, і дані тепер доступні за межами цифрових доказів на основі дисків. Мережева криміналістика може проводитися як самостійне розслідування, так і поряд з комп'ютерним судово- аналітичним аналізом (де воно часто використовується для виявлення зв'язків між цифровими пристроями або реконструкції способу вчинення злочину). [2]

Маркусу Рануму приписують визначення судової експертизи мережі як "захоплення, запис та аналіз мережевих подій з метою виявлення джерела атак безпеки або інших проблемних випадків". [3]

Порівняно з комп'ютерною криміналістикою, де докази зазвичай зберігаються на диску, мережеві дані є більш мінливими та непередбачуваними. Слідчі часто мають лише матеріали для перевірки того, чи були створені пакетні фільтри, брандмауери та системи виявлення вторгнень для передбачення порушень безпеки. [2]

Системи, що використовуються для збору мережевих даних для судової експертизи, зазвичай бувають двох форм: [4]

  • "Зловми, як можеш" - тут усі пакети, що проходять через певну точку трафіку, захоплюються та записуються на зберігання з подальшим аналізом у пакетному режимі. Цей підхід вимагає великої кількості сховища.
  • "Зупинись, подивись і послухай" - тут кожен пакет аналізується елементарно в пам'яті та зберігається лише певна інформація для подальшого аналізу. Цей підхід вимагає більш швидкого процесора, щоб не відставати від вхідного трафіку.

Типи[ред. | ред. код]

Ethernet[ред. | ред. код]

Wireshark, загальний інструмент, що використовується для моніторингу та запису мережевого трафіку

Забезпечити всі дані на цьому рівні та дозволяє користувачеві фільтрувати різні події. За допомогою цих інструментів можна відновити сторінки веб-сайтів, вкладення електронної пошти та інший мережевий трафік, лише якщо вони передаються або отримуються незашифровано. Перевага збору цих даних полягає в тому, що вони безпосередньо підключені до хоста. Якщо, наприклад, IP-адреса або MAC-адреса хоста в певний час відома, всі дані, надіслані на цю IP-адресу або MAC-адресу або з неї, можуть бути відфільтровані.

Щоб встановити зв’язок між IP та MAC-адресою, корисно детальніше розглянути допоміжні мережеві протоколи. У таблицях протоколу розпізнавання адрес (ARP) перелічені MAC-адреси з відповідними IP-адресами.

Для збору даних на цьому рівні мережева карта інтерфейсу (NIC) хоста може бути переведена в " безладний режим ". При цьому весь трафік буде передаватися на центральний процесор, а не тільки трафік, призначений для хоста.

Однак, якщо зловмисник або зловмисник знає, що його зв’язок може бути прослуховуваний, він може використовувати шифрування для захисту свого зв’язку. У наш час практично неможливо порушити шифрування, але той факт, що зв’язок підозрюваного з іншим хостом весь час зашифрований, може свідчити про те, що інший хост є співучасником підозрюваного.

TCP / IP[ред. | ред. код]

На мережевому рівні Інтернет-протокол (IP) відповідає за спрямування пакетів, генерованих TCP, через мережу (наприклад, Інтернет), додаючи інформацію про джерело та призначення, яку можуть інтерпретувати маршрутизатори по всій мережі. Стільникові цифрові пакетні мережі, такі як GPRS, використовують подібні протоколи, такі як IP, тому методи, описані для IP, працюють і з ними.

Для правильної маршрутизації кожен проміжний маршрутизатор повинен мати таблицю маршрутизації, щоб знати, куди направити пакет далі. Ці таблиці маршрутизації є одним з найкращих джерел інформації, якщо розслідують цифровий злочин і намагаються відшукати зловмисника. Для цього необхідно прослідкувати за пакетами зловмисника, змінити шлях відправлення та знайти комп’ютер, з якого прийшов пакет (тобто зловмисник).

Інтернет[ред. | ред. код]

Інтернет може бути багатим джерелом цифрових доказів, включаючи перегляд веб-сторінок, електронну пошту, групу новин, синхронний чат та одноранговий трафік. Наприклад, журнали веб-серверів можуть використовуватися для показу, коли (або якщо) підозрюваний отримував доступ до інформації, пов’язаної із злочинною діяльністю. Облікові записи електронної пошти часто можуть містити корисні докази; але заголовки електронних листів легко підробляються, і тому для підтвердження точного походження викривального матеріалу можуть бути використані криміналістичні мережі. Мережева криміналістика також може бути використана для того, щоб з’ясувати, хто користується певним комп’ютером [5] витягнувши інформацію облікового запису користувача з мережевого трафіку.

Бездротова криміналістика[ред. | ред. код]

Бездротова криміналістика - це підгалузь мережевої криміналістики. Основною метою бездротової криміналістики є надання методології та інструментів, необхідних для збору та аналізу (бездротового) мережевого трафіку, які можуть бути представлені як дійсні цифрові докази в суді. Зібрані докази можуть відповідати простим даним або, за широкого використання технологій передачі голосу за IP (VoIP), особливо бездротових, можуть включати голосові розмови.

Аналіз бездротового мережевого трафіку схожий на аналіз дротових мереж, однак можуть бути додатково розглядатися заходи бездротової безпеки .

Примітки[ред. | ред. код]

  1. Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30
  2. а б в Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4. 
  3. Marcus Ranum, Network Flight Recorder, http://www.ranum.com
  4. Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
  5. "Facebook, SSL and Network Forensics", NETRESEC Network Security Blog, 2011

Посилання[ред. | ред. код]