Network Forensics:นิติวิทยาระบบเครือข่าย

นิติวิทยาระบบเครือข่าย (Network Forensics) เป็นศาสตร์สาขาหนึ่งของนิติวิทยาคอมพิวเตอร์และนิติวิทยาดิจิทัล (Computer

Forensics / Digital Forensics) เป็นการพิสูจน์หลักฐานด้านระบบเครือข่ายสื่อสาร โดยการดักจับข้อมูลจราจรคอมพิวเตอร์และข้อมูลที่ส่งผ่านเครือข่าย เป็นการตรวจสอบข้อมูลโดยชอบตามกฎหมาย (Law

Interception) เพื่อนามาตรวจสอบ วิเคราะห์ รวบรวม และสามารถใช้เป็นหลักฐานในชั้นศาลได้

Network Forensics : กระบวนการและขั้นตอนเพื่อดำเนินการวินิจฉัยข้อมูลจราจรระบบเครือข่าย และเหตุการณ์ด้านความมั่นคงปลอดภัยของระบบเครือข่าย ประกอบด้วยขั้นตอนการดักจับ (Sniffing) การบันทึก (Recording) การวินิจฉัย (Acquisition) และการวิเคราะห์ (Analysis)

Sniffing: การดักจับข้อมูลจราจรระบบเครือข่าย เพื่อนาไปใช้เป็นหลักฐาน

Acquisition: การรวบรวมและวินิจฉัยเกี่ยวกับเหตุการณ์ความมั่นคงปลอดภัยระบบเครือข่าย

Analysis: การวิเคราะห์ข้อมูลที่น่าสงสัยจากระบบเครือข่าย เพื่อนาหลักฐานนั้นไปใช้ในการดาเนินคดีในชั้นศาลต่อไป

การพิสูจน์หลักฐานระบบเครือข่าย

การเก็บรวบรวมหลักฐานผ่านการดักจับข้อมูล

นิติวิทยาระบบเครือข่าย (Network Forensics) คือการวินิจฉัยเหตุการณ์ที่ส่งผลกระทบต่อระบบเครือข่าย ซึ่งทาให้ทราบว่าผู้ไม่ประสงค์ดีนั้นสร้างเส้นทางการโจมตีมาจากที่ใด รวมถึงสามารถวิเคราะห์ข้อมูลที่น่าสงสัยจากระบบเครือข่าย และรวบรวมข้อมูลหลักฐานเพื่อนาไปใช้ในการดาเนินคดีในชั้นศาลต่อไป

ตัวอย่าง หลักฐานที่มาวิเคราะห์  (PCAP File)

You’re an agent with a government law enforcement agency. You’ve been tracking a group of criminal hackers known as “TufMups”. This group either keeps a low profile, your agency’s capacity to run investigations on the internet is very poor, or some combination of those two factors. Up until two days ago you had an active relationship with an informant who went by the handle “K3anu”. As you walked into your office you received a package containing a flash drive, a printed screenshot (at the top of this blog post) and a very short note.

“Review this PCAP. It will all make sense. Woaaahhhh. – K3anu”

That package was the last you heard from K3anu.

What is the start time of the PCAP (“Date and Time of Day” setting in Wireshark round to nearest second)?

First packet:

2017-12-11 05:43:17

How many total packets were sent between the host and the hacker website IP?

Using the Wire shark screen we can quickly summarise the traffic sent between each IP address in the capture. We know from the provided screenshot that the server we are interested in has the IP address 104.131.112.255

By checking against our IP of interest we can see that 15,128 packets were exchanged.

What is the hostname of the system the PCAP was recovered from?

Hostname: MSEDGEWIN10, k3anu

Network Forensics คือ

Network Forensics Analysis

Reference :

TufMups Network Forensics Challenge Write-up

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud