Wie Sie vielleicht erwarten , wird der Computer Begriff " Netzwerk-Forensik " ist aus dem Bereich der Kriminologie entlehnt. Es geht um die Suche nach und das Finden Sicherheit und andere Probleme in Computer-Netzwerken. Im Wesentlichen ist es die Aufzeichnung und Analyse von Netzwerk- Vorfälle , um die Quelle der Sicherheit Reithose oder andere Probleme aufzudecken. Und speziell , bedarf es der Fähigkeit zum Aufspüren von ungewöhnlichen Mustern innerhalb scheinbar harmlosen Netzwerkverkehr versteckt. Marcus Ranum , renommierten Firewall -Experte , wird gesagt, prägte den Begriff haben " Netzwerk-Forensik ", so SearchSecurity.com . Identification
Marcus Ranum , Autor von " Database Nation: Der Tod der Privatsphäre im 21. Jahrhundert" unter anderem Computer-Sicherheit - verwandten Titel, erklärt, dass Netzwerk- Forensik -Systeme innerhalb von zwei Kategorien fallen : " fangen wie du kannst "und" zu stoppen, schauen und hören "-Systeme . Bei beiden Typen ist, werden Pakete von Daten entlang einer bestimmten Verkehrsstrom verfolgt und sehr genau überprüft .
Ein Paket ist eine Information , die von einem Punkt A zu einem Zielort B wird über das Internet oder ähnliches Netzwerk geroutet. Das Transmission Control Protocol (TCP) Teil des initialism "TCP /IP " schnitzt die Datei in handliche " Stücke " für das Routing . Jedes dieser Pakete ist nummeriert und trägt die Internet-Adresse des Ziel , potenziell unterwegs verschiedene Routen über den Äther.
Catch It as You
"Catch Kann es als Sie können " Netzwerk forensischen Systemen nehmen Pakete, die durch gezielte Traffic-Punkte fliegen innerhalb eines Netzwerks und einzufangen . Mit anderen Worten, werden die Datenpakete in den Speicher geschrieben . Die eigentliche Prüfung und tiefe Analyse dieser Daten wird zu einem späteren Zeitpunkt in einer Reihe von Chargen getan . Es überrascht nicht, bedeutet dies, Sie brauchen große Mengen an Speicherkapazität , die oft in einem System als RAID , das steht für gefunden " Redundant Array of Independent Disks . " Mit RAID , werden die gleichen Daten an verschiedenen Orten gelagert , was eine Straffung und Beschleunigung der Daten - Analyse-Prozess .
Stop, Look and Listen
" Stoppen , schauen und hören " Netzwerk-Forensik jeden Paket nimmt und überprüft sie , was vielleicht eine oberflächliche Weise aufgerufen werden , in Erinnerung , der Ausmerzung einiger besonders saftig Bits von Informationen und spart ihnen für zukünftige Analysen . Weniger Speicher wird mit " zu stoppen, schauen und hören " benötigt , aber dieser Ansatz oft heißt, Sie brauchen einen schnelleren Prozessor auf dem Laufenden über die Volumina der eingehenden Datenverkehr bleiben
Lagerung
< . p> Beide " fangen , wie Sie können " und " zu stoppen, schauen und hören " Netzwerk forensische Systeme erfordern die Fähigkeit, riesige Datenmengen speichern und die Notwendigkeit , um Platz für neue zu machen, indem Informationen Dumping veraltete Teile der Daten . Es gibt Software- Programme, die speziell für die Erfassung und Analyse von Daten für Netzwerk-Forensik entwickelt . Ein paar von Open-Source -Versionen sind tcpdump und windump , erklärt SearchSecurity.com . Kommerzielle Programme sind auch für die Datenerfassung und Analyse zur Verfügung.
Überlegungen
Laut Marcus Ranum , die "fangen , wie Sie können " Protokoll insbesondere trägt mit ihm die Problem der Privatsphäre. Jedes Datenpaket von Informationen - einschließlich Daten, die durch den Benutzer erzeugt - wird erfasst und gespeichert , so dass diese Informationen anfällig für Lecks und neugierigen Blicken . Obwohl die elektronische Kommunikation Privacy Act völlig verbietet Abhören von Internet Service Providern - außer für den Betrieb Überwachung, unter Gerichtsbeschluss oder Erlaubnis von Nutzer - es scheint, dass die Informationen, die mehr gehortet wird , desto wahrscheinlicher ist es, dass die Sicherheit Reithose wird auftreten . Eine umstrittene Netzwerk forensische Analyse-Tool , oder NFAT , zum Beispiel, ist Carnivore , vom FBI laufen .
