Digital Forensics:Log file Sample
ตัวอย่าง Aข้อมูลจราจร (Log file) การเข้าถึงเว็บไซต์
2024-07-17 10:15:30 INFO User connected: IP=192.168.1.10, MAC=00:1A:2B:3C:4D:5E [1, 2] 2024-07-17 10:16:45 INFO Website accessed: URL=https://www.example.com, UserAgent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 [1, 2] 2024-07-17 10:20:00 WARNING Firewall blocked: Source IP=10.0.0.1, Destination IP=203.0.113.10, Port=80, Protocol=TCP [3] 2024-07-17 10:25:00 INFO Router rebooted [9]1. ผู้ใช้เชื่อมต่อภายในเครือข่าย
IP/MAC:
IP
192.168.1.10(IP ภายใน) + MAC00:1A:2B:3C:4D:5E
2. การเข้าถึงเว็บไซต์
User-Agent:
- เบราว์เซอร์: Chrome เวอร์ชัน 91.0.4472.124 (เวอร์ชันเก่า )
- OS: Windows 10 (64-bit)
เว็บเป้าหมาย:
https://www.example.com(เว็บทั่วไป ไม่มีเนื้อหาเสี่ยง)
ตัวอย่าง B ข้อมูลจราจร (Log file) เฟอร์วอลล์บล็อกการเชื่อมต่อ
2024-07-17 10:20:00 WARNING Firewall blocked: Source IP=10.0.0.1, Destination IP=203.0.113.10, Port=80, Protocol=TCP [3]
รายละเอียดเหตุการณ์:
Source IP = ต้นทาง: IP
10.0.0.1(IP ภายใน อาจเป็นเราเตอร์หรือเซิร์ฟเวอร์)Destination IP = ปลายทาง: IP
203.0.113.10(IP สาธารณะ RFC 5737 ใช้สำหรับตัวอย่าง)พอร์ต/โปรโตคอล: พอร์ต 80 (HTTP) + โปรโตคอล TCP
การวิเคราะห์:
- นโยบายองค์กรไม่อนุญาตให้ส่งข้อมูล HTTP ผ่านพอร์ต 80
- อาจเป็นการพยายามส่งข้อมูลละเอียดอ่อน (Log, Credential) ไปภายนอก
ความเสี่ยงสูง:
- Source IP = IP ต้นทาง (
10.0.0.1) อาจถูกบุกรุกหรือตั้งค่าผิดพลาด - Destination IP =ปลายทาง
203.0.113.10อาจเป็น C2 Server (Command & Control) ของมัลแวร์
ตัวอย่าง C ข้อมูลจราจร (Log file) เราเตอร์บูตใหม่
2024-07-17 10:25:00 INFO Router rebooted
- ความสัมพันธ์กับเหตุการณ์อื่น:
- เกิด 5 นาที หลังจากเฟอร์วอลล์บล็อกการเชื่อมต่อ
- - ไม่มีแท็ก
[1,2,3]→ อาจเป็นการบูตโดยผู้ดูแลระบบ หรือเกิดจากเหตุอื่น
ตัวอย่าง D ข้อมูลจราจร (Log file) การเข้าถึงเว็บไซต์
2025-07-17 14:33:27 NAT 10.0.0.12:58432 → 203.113.23.45:58432 TCP www.example.com 104.18.21.190 443 00:05:32
รายละเอียดเหตุการณ์:
Source IP = ต้นทาง: IP 10.0.0.12 (IP ภายในอาจเป็นเราเตอร์หรือเซิร์ฟเวอร์ อุปกรณ์ในเครือข่าย)Destination IP = ปลายทาง: IP 203.113.23.45 (IP Public Gateway) → DNS ปลายทางจริง:
www.example.com (IP 104.18.21.190)พอร์ต/โปรโตคอล: พอร์ต 443 (HTTPS)
ตัวอย่าง E ข้อมูลจราจร (Log file) การซิงค์เวลาจากเซิร์ฟเวอร์
2025-07-17 14:35:10 NAT 10.0.0.13:52678 → 203.113.23.46:52678 UDP ntp.org 129.6.15.28 123 00:00:02
รายละเอียดเหตุการณ์:
Source IP = ต้นทาง: IP 10.0.0.13 (IP ภายในอาจเป็นเราเตอร์หรือเซิร์ฟเวอร์ อุปกรณ์ในเครือข่าย)Destination IP = ปลายทาง: IP 203.113.23.46 (IP Public Gateway) → ปลายทางภายนอก : ntp.org (IP 129.6.15.28)
พอร์ต/โปรโตคอล: UDP/123 (NTP - Network Time Protocol)
ตัวอย่าง F ข้อมูลจราจร (Log file) การเข้าถึงเว็บไซต์ฟิชชิ่ง
2025-07-17 14:36:01 HTTP_ACCESS customer@isp.co.th GET http://phishing-site.com/index.html 104.21.24.190
รายละเอียดเหตุการณ์:
- ผู้ใช้:customer@isp.co.th (บัญชีผู้ใช้ customer)- การร้องขอ:
GET http://phishing-site.com/index.html- Destination IP = ปลายทาง: IP 104.21.24.190
- พอร์ต/โปรโตคอล: HTTP (ไม่มีการเข้ารหัส!)
Lab 1 ข้อมูลจราจร (Log file) (สถิติการใช้งานเครือข่าย)
2025-07-17 10:30:45 NETFLOW: SrcIP=110.170.25.67, DstIP=104.16.24.35, Proto=TCP, SrcPort=54321, DstPort=443, Bytes=15.7MB, Pkts=11230, Duration=00:05:22
Source IP: = ?
Destination IP : =?
port/protocol = พอร์ต/โปรโตคอล: ?
Lab 2 ข้อมูลจราจร (Log file) (การเชื่อมต่อเครือข่าย)
2025-07-17 08:12:34 PPPoE-SESSION START: User=customer123@isp.co.th, NAS=bras-01.bangkok.isp, IP=110.170.25.67, MAC=00:1B:44:11:3A:E7, Duration=00:02:15 2025-07-17 12:45:21 PPPoE-SESSION STOP: User=customer456@isp.co.th, NAS=bras-02.chiangmai.isp, IP=110.170.33.122, RX=1.45GB, TX=350MB, Duration=04:22:10
อ่านเพิ่มเติม:
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา ในการเรียนรู้เท่านั้น
No comments:
Post a Comment