I
netværksforensics ser man på selve trafikken
på et netværk i stedet for at undersøge
systemerne. Netværkstrafik kan være en af de
mest nyttige former for bevismateriale og netværksforensics bruges typisk
ved mistanke om en eller flere servere er
blevet overtaget af en hacker eller ved mistanke
om medarbejder illoyalitet.
Formålet med en netværksforensics undersøgelse
vil typisk være at indsamle og undersøge
potentielt bevismateriale for at bevise
- hvem angriberen er
- hvad en angriber laver på netværket (DoS
angreb, fil-deling, hacker-angreb imod interne
systemer eller imod systemer på Internettet osv)
- hvordan angriberen kommer ind på et system
eller på et netværk
- hvornår handlinger finder sted
- hvilke systemer angriberen kontrollere, dvs
hvor dybt et angreb er nået
Hvordan
I stedet for at undersøge enkeltstående
systemer, som ved almindelig computer forensics,
overvåger man i netværksforensics
netværkstrafikken til og fra udvalgte servere,
eller for alle servere på et netværk. Det er
derved muligt løbende, eller efterfølgende, at
analysere den indsamlede trafik for potentielle
spor.
Typiske undersøgelser kan omfatte identifikation
af de mest aktive
maskiner på netværket, overvågning af udvalgte
protokoller, udvalgte IP-adresser eller af
særlige typer trafik. Man skal dog være
opmærksom på, at uden forberedelse kan meget
travle netværk potentielt overbelaste
programmer, hardware - og personer der skal
analysere den indsamlede trafik.
IDS
Intrusion detection er beslægtet med
netværksforensics. Men hvor intrusion detection
systemer, som virusscannere, bruger signaturer
over kendte angreb til at advare imod de kendte
angreb, foregår netværksforensics typisk ved at
indsamle netværkstrafik og finde mønstre m.v. i
trafikken.
I nogle undersøgelser kan man sende tidligere
indsamlet trafik igennem et IDS for f.eks. at
undersøge om der er kendte angreb i den
indsamlede data.
Log forensics
Netværksforensics kombineres ofte med
logforensics, hvor man undersøger og
sammenholder logfiler fra forskellige systemer.
Logforensics er et andet vigtigt underområde indenfor
forensics og information, sammen med en lang
række programmer, vil blive listet separat i en
(kommende) tekst om logforensics her i
ComputerForensics.DK
knowledge basen.
Gratis programmer til netværksforensics
Herunder følger en række eksempler på gratis programmer,
der kan benyttes til netværksforensics.
Vær opmærksom på, at mange af programmerne, som Ethereal nedenfor,
oprindeligt er designet til at løse
netværksproblemer og undersøge protokoller, ikke
til forensics undersøgelser specifikt. I en forensic undersøgelse
vil det typisk i første
omgang være vigtigere at få overblik over information
på et højere niveau, f.eks. over hvilke filer der
overføres, hvilke maskiner der kommunikerer osv.
Det vil derfor ofte være nødvendigt at bruge en
række forskellige programmer til at analysere
den indsamlede trafik.
Sniffere m.m.:
Tcpdump
Tcpdump er en "sniffer", dvs et program til at opfanger og
evt. indsamle trafik fra et
netværk. Tcpdump er "det store gamle program" uden GUI.
Udover Linux og BSD findes der versioner til bl.a.
Solaris (både SPARC og x86), HP-UX og IRIX. Windows versionen
findes på
WinDump.
Ethereal
Er en meget stærk sniffer og protokol analyse værktøj.
Trafik i en lang række protokoller og fra en lang række
forskellige sniffere kan analyseres vha. Ethereal. Findes
bl.a. til Windows, Linux, Solaris, BSD og Mac
OS X.
Tethereal
Tethereal er et kommandolinie program fra Ethereal til at
sniffe og analysere trafik.
Snort
Snort er en stærk sniffer og et meget effektivt intrusion
detection system,
Sguil
er en meget stærk GUI til analyse af bl.a.
Snort logfiler og data fra Sancp (se efterfølgende).
dsniff
dsniff indeholder en række programmer til
specialiserede undersøgelser af netværkstrafik. dsniff, filesnarf,
mailsnarf, msgsnarf, urlsnarf og webspy overvåger
således netværket for udvalgt data (f.eks. passwords,
e-mails, filer, webtrafik osv.). Programmerne arpspoof, dnsspoof og macof
kan i specielle situationer gøre det muligt at
modtage netværkstrafik der ellers ikke ville
have været tilgængelig for undersøgeren (f.eks.
pga. lag 2 switching).
Kismet
Kismet er bl.a. en trådløs sniffer.
Ourmon
Ourmon er et
netværksmanagement og "anomaly detection system".
Programmet indsamler data og danner grafer og rapporter over
trafikken. Rapporter opdateres hver 30. sekund, time- og
dagsrapporter kan også udarbejdes.
IPAudit
PAudit overvåger netværksaktivitet pr. host, protokol og
port.
IPAudit lytter på trafikken på et netværk og optager alle forbindelser mellem
to forskellige IP-adresser. Unikke forbindelser bestemmes udfra
IP-adresser på maskinerne, den benyttede protokol samt
portnumre.
Flag
FLAG
er udviklet til at lettet processen med at
gennemgå logfiler og andre former for forensic
undersøgelser. FLAG indeholder en modificeret version af
Ethereal
der
indsamler information om den indsamlede trafik
til systemets database. Programmet kan herefter bl.a. danner
et netværksdiagram og præsentere netværkstrafikken
grafisk.
Argus
Argus er en real time
flow monitor, der både kan bruges til at analysere og
rapportere om indholdet i tidligere indsamlede
filer og til løbende overvågning hvor data
undersøges mens det passerer snifferen.
Argus kan både overvåge individuelle systemer og
hele virksomhedens netværksaktivitet.
Argus indeholder en række nyttige små
specialiserede programmer: f.eks. giver
Racount et overblik over antal sessions i
filen, opdelt efter protokol og Rahosts lister
alle IP-adresser i filen.
Statistik og
indledende analyse:
Sancp
Indsamler statistisk information om netværkstrafik samtidig
med trafikken opsamles i pcap ("tcpdump") format.
Capinfos
Capinfos er en del af Ethereal, programmet kan analysere
indsamlede filer (capture filer). Giver bl.a.
information om antal pakker i capture filen samt start og
slut tid for indsamlingen af data.
Tcpdstat
Tcpdstat undersøger en tidligere opsamlet libpcap fil og giver et
overblik over trafik i bl.a. bytes og pakker pr.
protokol med gennemsnitlige og maksimum transfer
rates. Kan være nyttig til at danne et generelt
overblik over trafik mønstre som første
udgangspunkt for en undersøgelse.
EtherApe
EtherApe viser netværksaktivitet grafisk, f.eks.
ændre størrelsen på maskiner og links sig afhængig af
mængden af trafik mellem dem. Understøtter Ethernet, FDDI, Token Ring, ISDN, PPP
og SLIP. EtherApe kan filtrere
trafikken der vises og kan både læse trafik fra en
tidligere indsamlet fil og sniffe direkte fra et netværk.
TCPTrace
TCPTrace kan analysere indsamlede
TCP stream filer. Kan
læse mange fil-formater produceret af en række forskellige programmer,
f.eks. tcpdump, snoop, etherpeek, HP Net
Metrix og WinDump. Kan
give
en række forskellig information om alle de
indsamlede forbindelser inklusive tid, antal bytes
send og modtaget samt vise data i form af grafer.
Tcpflow
kan genskabe hele datastreams og opbevare hvert flow i en
separat fil for at lette den efterfølgende analyse.
ntop
Overvåger trafikken på et netværk på samme måde som Unix
programmet "top" gør
for processer. Kan løbende vise netværksbrug, statistik, sortere
trafik efter protokol m.v.
iftop
Viser netværksbrug som "top" viser CPU brug (som
programmet ntop ovenfor), kan vise
båndbredde mellem hosts real time.
Søgninger:
ngrep
Ngrep - søgning efter netværksinformation i indsamlede
datapakker. Gør det muligt at
søge i TCP, UDP og ICMP protokoller over Ethernet, PPP,
SLIP, FDDI, Token Ring m.v. med de samme features som Unix programmet grep. Pakke matching og display gør det muligt at matche
imod pakkernes data payloads. Hele søgestrengen skal være
indeholdt i én pakke før Ngrep kan finde
strengen.
Flowgrep
flowgrep minder om ngrep, programmet kan sniffe trafik og
samler TCP streams og IP/UDP fragmenter og gør det muligt at
søge i data payloads vha. regulære udtryk.
Hvor Ngrep er "packet-oriented" er Flowgrep "conversation-oriented".
Dvs. Flowgrep
samler forbindelser således at hvis "Hwa"
er i en pakke og "rang" i en anden, kan programmet finde
ordet "Hwarang".
ipstrings
Ipstrings er et program fra IPAudit ovenfor, der kan søge i tidligere
gemte pcap dump filer.
ipgrep
Ipgrep søger efter maskiner ved at finde domain navne der
ender med specificerede domæner og/eller IP-adresser i
specificerede
CIDR
blokke. Kan f.eks. være nyttig til at
identificere, eller ekskludere, ens egen maskiner ved
undersøgelser af store mængder maskiner.
Opdeling af filer: