Системы сетевой криминалистики

Сетевая криминалистика (Network Forensics) — это мониторинг и анализ трафика компьютерной сети для сбора информации, юридических доказательств или обнаружения вторжений. Системы мониторинга и анализа трафика осуществляют защиту от широкого спектра угроз, таких как man in the middle, атаки по подбору пароля, атаки с помощью вредоносных программ или с использованием уязвимостей программ.

Системы, используемые для сбора сетевых данных для применения в судебной экспертизе, обычно бывают двух форм:

• Метод полного перебора, «поймай как сможешь» (catch it as you can) — здесь все пакеты, проходящие через определенную точку трафика, захватываются и записываются в хранилище с последующим анализом в пакетном режиме. Такой подход требует больших объемов хранения.
• Интеллектуальный метод «остановись, смотри и слушай» (stop, look, listen) — здесь каждый пакет анализируется рудиментарно в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует, чтобы более быстрый процессор не отставал от входящего трафика.
• Варианты применения:
• TCP/IP — каждый промежуточный маршрутизатор должен иметь таблицу маршрутизации, чтобы знать, куда отправить следующий пакет. Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифрового преступления и попытке выследить злоумышленника. Для этого необходимо следить за пакетами злоумышленника, отменить маршрут отправки и найти компьютер, из которого пришел пакет.
• Ethernet — применение криминалистических методов на уровне Ethernet осуществляется путем прослушивания бит-потоков с помощью инструментов, называемых инструментами мониторинга, или снифферами. Различные инструменты собирают все данные на этом уровне и позволяют пользователю фильтровать разные события. С помощью этих инструментов страницы веб-сайта, вложения электронной почты и другой сетевой трафик могут быть восстановлены только в том случае, если они переданы или получены незашифрованными. Преимущество этого метода состоит в том, что он напрямую связан с хостом. Если, например, известен IP-адрес или MAC-адрес хоста в определенное время.
• Интернет — может использоваться для выяснения того, кто использует конкретный компьютер, путем извлечения информации учетной записи пользователя из сетевого трафика.

Смежным направлением с сетевой криминалистикой является компьютерная криминалистика. Данные отрасли значительно отличаются друг от друга за счет некоторых особенностей систем мониторинга и анализа трафика:

• Сетевой исследователь и злоумышленник зачастую имеют схожий уровень навыков.
• Для расследования инцидента и для его свершения обе стороны используют, как правило, одни и те же инструменты и приложения, например, программы для получения информации о сетевых конфигурациях.
• В случае, когда в организации перед атакой не использовались межсетевые экраны, системы обнаружения вторжений или фильтры пакетов, сетевому исследователю невозможно получить достаточное количество информации для проведения расследования.