Monday, July 14, 2014

Digital Forensics: Network Forensics

Digital Forensics: Network Forensics >Wireshark


 การดักจับข้อมูลบนเครือข่ายเป็นกระบวนการดักฟังข้อมูลแพ็กเก็ตที่ส่งผ่านเครือข่ายซึ่งสามารถทำได้โดยโปรแกรมซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์เฉพาะ Sniffing

ยกตัวอย่าง เรื่องการใช้  การ filter พื้นฐานสำหรับการดักจับแพ็กเกตด้วยโปรแกรม Wireshark

สรุปกลุ่มของการ filtering แบบพื้นฐานมีดังต่อนี้

– Host filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขของเครื่องที่ได้ระบุไว้
– Network filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขเครือข่ายที่ได้ระบุ
ไว้
– Port filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านหมายเลขของพอร์ตที่ได้ระบุไว้
– Protocol filtering เป็นการคัดกรองเอาเฉพาะข้อมูลที่สื่อสารผ่านโปรโตคอลที่ได้ระบุไว้
– Combining Primitive Expressions การใช้งานการเปรียบเทียบพื้นฐานมากกว่า 1 เงื่อนไข
Download คู่มือ

ทดสอบ  ดักข้อมูลจาก FTP

     FTP ย่อมาจาก File Transfer Protocol คือ โปรโตคอลเครือข่ายชนิดหนึ่ง ถูกนำใช้ในการถ่ายโอนไฟล์ ระหว่างเครื่องคอมพิวเตอร์ อย่างการถ่ายโอนไฟล์ระหว่าง ไคลเอนต์ (client) กับเครื่องคอมพิวเตอร์ที่เป็นแม่ข่าย เรียกว่า โฮสติง (hosting) หรือ เซิร์ฟเวอร์


 Download  ftp.pcap

คำสั่ง Filler > tcp.port==21
Wireshark


คำสั่ง  คำสั่ง Filler > FTP    
FTP Server:  192.168.0.10  port  21
Client : 192.168.0.13 :  pass  anonymous

FTP

ที่มา:
https://bit.ly/2NOOQLC
http://www.sharetechnote.com/html/IP_Network_FTP.html

#Network Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

No comments:

Post a Comment