Som man kunne forvente , edb udtrykket " netværk forensics " er lånt fra området kriminologi . Det indebærer at opsøge og finde sikkerhedsproblemer og andre problemer inden for computernetværk. Væsentlige, det er den registrering og analyse af net hændelser at afdække kilden til sikkerhed knickers eller andre problemer. Og specielt det kræver evnen til at opsnuse usædvanlige mønstre skjult i tilsyneladende uskyldige netværkstrafik. Marcus Ranum , kendt firewall ekspert, siges at have opfundet udtrykket " netværk retsvidenskab ," ifølge SearchSecurity.com . Identifikation
Marcus Ranum , forfatter til " Database Nation : The Death of Privacy i det 21. århundrede " blandt andre computer sikkerhedsrelaterede titler , forklarer, at netværket retsmedicinske systemer, falder inden for to hovedkategorier : " fange det , som du kan "og" stop, se og lytte "-systemer. I begge typer er pakker af data spores langs en udpeget trafik stream og undersøgt meget nøje.
En pakke er et stykke information, der sendes fra et punkt A til en destination B på internettet eller lignende netværk . Transmission Control Protocol (TCP) del af initialism "TCP /IP" skærer filen i håndterbare " bidder " for routing. Hver af disse pakker er nummereret og bærer internetadressen på destinationen, potentielt rejser de forskellige ruter i æteren.
Fange det , som du kan
" Fang det som man kan " netværk retsmedicinske systemer tager pakker, der flyver gennem målrettede trafik points i et netværk , og fange dem . Med andre ord , er datapakkerne skrevet til opbevaring . Den egentlige undersøgelse og dybe analyse af disse data sker på et senere tidspunkt i en række partier . Ikke overraskende , det betyder, at du har brug for store mængder af lagerkapacitet , der ofte findes i et system kaldet RAID, der står for " overflødig vifte af uafhængige diske. " Med RAID er de samme data lagret på forskellige steder , og derved strømline og fremskynde dataanalyse processen.
Stop , Look og lyt
" Stop , se og lyt " netværk retsvidenskab tager hver eneste pakke og undersøger den i hvad man kunne kalde et lemfældigt måde i hukommelsen , luge ud nogle særligt saftige bidder af information og gemme dem til senere analyse. Mindre opbevaring er nødvendig med "stop , se og lyt " , men denne tilgang ofte betyder du har brug for en hurtigere processor til at holde sig ajour med de mængder af indgående trafik
Opbevaring
< . p> Både " fange det , som du kan " og " stop, se og lyt " netværk retsmedicinske systemer kræver kapacitet til at lagre massive bunker af data og behovet for at gøre plads til nye oplysninger ved dumpning forældede stykker af data . Der er software- programmer designet specielt til at opfange og analyse af data for netværks retsvidenskab . Et par open source versioner er tcpdump og windump , forklarer SearchSecurity.com . Kommercielle programmer er også tilgængelige for datafangst og-analyse.
Overvejelser
Ifølge Marcus Ranum , de " fange det , som du kan" protokol i særdeleshed indebærer det problemet af privatlivets fred. Hver datapakke af informationer - herunder data genereret af brugeren - er fanget og opbevares, efterlader denne information sårbare over for nysgerrige blikke og utætheder . Selvom Electronic Communications Privacy Act aldeles forbyder aflytning af Internet -udbydere - undtagen for operationer overvågning under retskendelse eller med tilladelse fra brugere, - det lader til, at jo mere information der bliver oplagret , jo mere sandsynligt er det, at sikkerheden knickers vil forekomme . En kontroversiel netværk retskemisk analyse værktøjet eller NFAT , for eksempel, er Carnivore , der drives af FBI.