Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Криминалистика
NetworkTopologies.svg
Физиологический
Социальное
Криминалистика
Цифровая криминалистика
  • Компьютерные экзамены
  • Анализ данных
  • Изучение базы данных
  • Анализ вредоносного ПО
  • Мобильные устройства
  • Сетевой анализ
  • Фотография
  • Видеоанализ
  • Аудио анализ
Связанные дисциплины
  • Электротехника
  • Инженерное дело
  • Расследование пожара
  • Обнаружение пожарного ускорителя
  • Фрактография
  • Лингвистика
  • Материаловедение
  • Полимерная инженерия
  • Статистика
  • Реконструкция дорожно-транспортного происшествия
Статьи по Теме
  • Место преступления
  • Эффект CSI
  • Синдром Перри Мейсона
  • Календарь пыльцы
  • Знак заноса
  • Следы доказательств
  • Использование ДНК в судебной энтомологии
  • Контур
  • Категория
  • v
  • т
  • е

Сетевая криминалистика - это подраздел цифровой криминалистики, относящийся к мониторингу и анализу трафика компьютерной сети в целях сбора информации, юридических доказательств или обнаружения вторжений . [1] В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамичной информацией. Сетевой трафик передается, а затем теряется, поэтому сетевая криминалистика часто является упреждающим расследованием. [2]

Сетевая криминалистика обычно имеет два применения. Первый, связанный с безопасностью, включает мониторинг сети на предмет аномального трафика и выявление вторжений. Злоумышленник может стереть все файлы журналов на скомпрометированном хосте; сетевые доказательства могут быть единственными доказательствами, доступными для судебно-медицинской экспертизы. [3] Вторая форма относится к правоохранительным органам. В этом случае анализ перехваченного сетевого трафика может включать такие задачи, как повторная сборка переданных файлов, поиск по ключевым словам и анализ человеческого общения, такого как электронные письма или сеансы чата.

Для сбора сетевых данных обычно используются две системы; грубая сила «поймай как можешь» и более умный метод «стоп, посмотри, послушай».

Обзор [ править ]

Сетевая криминалистика - сравнительно новая область криминалистики. Растущая популярность Интернета в домах означает, что вычисления стали сетецентричными, и теперь данные доступны за пределами цифровых доказательств на дисках . Сетевая криминалистика может выполняться как отдельное расследование или наряду с компьютерным криминалистическим анализом (где она часто используется для выявления связей между цифровыми устройствами или реконструкции того, как было совершено преступление). [2]

Маркусу Рануму приписывают определение сетевой криминалистики как «захват, запись и анализ сетевых событий с целью обнаружения источника атак на безопасность или других проблемных инцидентов». [4]

По сравнению с компьютерной криминалистикой, где доказательства обычно хранятся на диске, сетевые данные более изменчивы и непредсказуемы. У исследователей часто есть материал только для проверки того, были ли установлены фильтры пакетов, брандмауэры и системы обнаружения вторжений для предотвращения нарушений безопасности. [2]

Системы, используемые для сбора сетевых данных для использования в судебной экспертизе, обычно бывают двух видов: [5]

  • «Catch-it-as-you-can» - здесь все пакеты, проходящие через определенную точку трафика, захватываются и записываются в хранилище с последующим анализом в пакетном режиме. Этот подход требует большого объема памяти.
  • «Остановись, посмотри и послушай» - здесь каждый пакет элементарно анализируется в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует более быстрого процессора, чтобы справляться с входящим трафиком.

Типы [ править ]

Ethernet [ править ]

Wireshark , распространенный инструмент, используемый для мониторинга и записи сетевого трафика.

Применяет все данные на этом уровне и позволяет пользователю фильтровать различные события. С помощью этих инструментов страницы веб-сайтов, вложения электронной почты и другой сетевой трафик можно реконструировать, только если они передаются или принимаются в незашифрованном виде. Преимущество сбора этих данных состоит в том, что они напрямую связаны с хостом. Если, например, известен IP-адрес или MAC-адрес хоста в определенное время, все данные, отправляемые на этот IP- или MAC-адрес или с него, могут быть отфильтрованы.

Чтобы установить связь между IP и MAC-адресом, полезно более внимательно изучить вспомогательные сетевые протоколы. В таблицах протокола разрешения адресов (ARP) перечислены MAC-адреса с соответствующими IP-адресами.

Для сбора данных на этом уровне сетевая карта (NIC) хоста может быть переведена в « беспорядочный режим ». При этом весь трафик будет передаваться на ЦП, а не только трафик, предназначенный для хоста.

Однако, если злоумышленник или злоумышленник знает, что его соединение может быть перехвачено, он может использовать шифрование для защиты своего соединения. В настоящее время практически невозможно взломать шифрование, но тот факт, что соединение подозреваемого с другим хостом постоянно зашифровано, может указывать на то, что этот другой хост является сообщником подозреваемого.

TCP / IP [ править ]

На сетевом уровне Интернет-протокол (IP) отвечает за направление пакетов, генерируемых TCP, через сеть (например, Интернет) путем добавления информации об источнике и получателе, которая может быть интерпретирована маршрутизаторами по всей сети. Сотовые цифровые пакетные сети, такие как GPRS , используют аналогичные протоколы, такие как IP, поэтому методы, описанные для IP, также работают с ними.

Для правильной маршрутизации каждый промежуточный маршрутизатор должен иметь таблицу маршрутизации, чтобы знать, куда отправлять пакет дальше. Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифрового преступления и попытке выследить злоумышленника. Для этого необходимо проследить за пакетами злоумышленника, изменить маршрут отправки и найти компьютер, с которого пришел пакет (т. Е. Злоумышленник).

Аналитика зашифрованного трафика [ править ]

Учитывая распространение TLS-шифрования в Интернете, по оценкам, по состоянию на апрель 2021 года половина всех вредоносных программ использует TLS для уклонения от обнаружения. [6] Анализ зашифрованного трафика проверяет трафик на предмет выявления зашифрованного трафика, исходящего от вредоносных программ и других угроз, путем обнаружения подозрительных комбинаций характеристик TLS, обычно к необычным сетям или серверам. [7] Другой подход к анализу зашифрованного трафика использует сгенерированную базу данных отпечатков пальцев , хотя эти методы критикуются как легко обходимые хакерами [8] [9] и неточные.

Интернет [ править ]

Интернет может быть богатым источником цифровых доказательств, включая просмотр веб-страниц, электронную почту, группы новостей , синхронный чат и одноранговый трафик. Например, журналы веб-сервера могут использоваться, чтобы показать, когда (или если) подозреваемый получил доступ к информации, связанной с преступной деятельностью. Учетные записи электронной почты часто могут содержать полезные доказательства; но заголовки электронной почты легко подделать, и поэтому для подтверждения точного происхождения компрометирующих материалов может использоваться сетевая криминалистика. Сетевая криминалистика также может использоваться для того, чтобы выяснить, кто использует конкретный компьютер [10], путем извлечения информации об учетных записях пользователей из сетевого трафика.

Беспроводная криминалистика [ править ]

Беспроводная криминалистика - это одна из дисциплин сетевой криминалистики. Основная цель беспроводной криминалистики - предоставить методологию и инструменты, необходимые для сбора и анализа (беспроводного) сетевого трафика, который может быть представлен в суде как действительное цифровое доказательство. Собранные доказательства могут соответствовать обычным данным или, при широком использовании технологий передачи голоса по IP (VoIP), особенно по беспроводной связи, могут включать голосовые разговоры.

Анализ трафика беспроводной сети аналогичен анализу в проводных сетях, однако может быть добавлено рассмотрение мер безопасности беспроводной сети .

Ссылки [ править ]

  1. ^ Гэри Палмер, Дорожная карта для цифровых судебных исследований, Отчет DFRWS 2001, First Digital Forensic Research Workshop, Utica, НьюЙорк, 7 августа - 8, 2001, стр (с) 27-30
  2. ^ a b c Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 0-12-163104-4.
  3. ^ Эрик Хьельмвик, Анализ пассивной сетевой безопасности с помощью NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer. Архивировано 23 февраля 2012 г.на Wayback Machine.
  4. ^ Маркус Ранум, Network Flight Recorder, http://www.ranum.com
  5. ^ Симсон Гарфинкель, Сетевая криминалистика: подключение к Интернету http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
  6. ^ Галлахер, Шон (2021-04-21). «Почти половина вредоносных программ теперь использует TLS для сокрытия сообщений» . Новости Sophos . Проверено 29 апреля 2021 .
  7. ^ Анализ зашифрованного трафика (часть 1): обнаруживать, не расшифровывать , получено 2021-04-29
  8. ^ Ринальди, Мэтью (2020-11-03). «Выдача себя за отпечатки пальцев JA3» . Средний . Проверено 29 апреля 2021 .
  9. ^ «Подписи JA3 / S и как их избежать» . БК Безопасность . 2020-04-16 . Проверено 29 апреля 2021 .
  10. ^ «Facebook, SSL и Network Forensics», Блог по сетевой безопасности NETRESEC, 2011 г.

Внешние ссылки [ править ]

  • Обзор инструментов и наборов данных для сетевой криминалистики (2021 г.)
  • Криминалистическая вики (2010)
  • Network Forensic Tools, Network Computing 3 декабря 2004 г.