Digital Forensics: Network Forensics >Wireshark
การดักจับข้อมูลบนเครือข่ายเป็นกระบวนการดักฟังข้อมูลแพ็กเก็ตที่ส่งผ่านเครือข่ายซึ่งสามารถทำได้โดยโปรแกรมซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์เฉพาะ Sniffing
ยกตัวอย่าง เรื่องการใช้ การ filter พื้นฐานสำหรับการดักจับแพ็กเกตด้วยโปรแกรม Wireshark
สรุปกลุ่มของการ filtering แบบพื้นฐานมีดังต่อนี้
– Host filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขของเครื่องที่ได้ระบุไว้– Network filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขเครือข่ายที่ได้ระบุ
ไว้
– Port filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขของพอร์ตที่ได้ระบุไว้
– Protocol filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านโปรโตคอลที่ได้ระบุไว้
– Combining Primitive Expressions การใช้งานการเปรียบเทียบพื้นฐานมากกว่า 1 เงื่อนไข
Download คู่มือ
ทดสอบ ดักข้อมูลจาก FTP
FTP ย่อมาจาก File Transfer Protocol คือ โปรโตคอลเครือข่ายชนิดหนึ่ง ถูกนำใช้ในการถ่ายโอนไฟล์ ระหว่างเครื่องคอมพิวเตอร์ อย่างการถ่ายโอนไฟล์ระหว่าง ไคลเอนต์ (client) กับเครื่องคอมพิวเตอร์ที่เป็นแม่ข่าย เรียกว่า โฮสติง (hosting) หรือ เซิร์ฟเวอร์
Download ftp.pcap
คำสั่ง Filler > tcp.port==21
Wireshark |
คำสั่ง คำสั่ง Filler > FTP
FTP Server: 192.168.0.10
port 21
Client : 192.168.0.13
: pass
anonymous
FTP |
ที่มา:
https://bit.ly/2NOOQLC
http://www.sharetechnote.com/html/IP_Network_FTP.html
#Network Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud