Come ci si potrebbe aspettare , il termine di computer forensics " rete " è preso in prestito dal campo della criminologia . Esso consiste nel ricercare e trovare i problemi di sicurezza e di altri problemi all'interno di reti di computer . In sostanza , è la registrazione e l'analisi degli incidenti di rete per scoprire la fonte dei calzoni di sicurezza o altri problemi . E in particolare , si richiede la capacità di scovare modelli insoliti nascosti all'interno del traffico di rete apparentemente innocente . Marcus Ranum , noto esperto di firewall , si dice che hanno coniato il termine " network forensics ", secondo SearchSecurity.com . Identificazione

Marcus Ranum , autore di " Nazione Database : La morte di Privacy nel 21 ° secolo ", tra gli altri titoli legati alla sicurezza informatica , spiega che i sistemi di medicina legale di rete rientrano in due grandi categorie : " prenderlo come si può "e" Stop , guardare e ascoltare "sistemi . In entrambi i tipi , i pacchetti di dati sono tracciati lungo un flusso di traffico designato ed esaminati molto attentamente.

Un pacchetto è un pezzo di informazione che viene instradato da un punto A ad un B destinazione su Internet o rete simile . Il Control Protocol ( TCP ) porzione di trasmissione della sigla "TCP /IP" scolpisce il file in gestibili "pezzi" per il routing . Ognuno di questi pacchetti viene numerato e porta l' indirizzo Internet della destinazione , potenzialmente viaggiando varie rotte delle nell'etere.
Catch It Come potete

"Catch come si può " sistemi forensi prendere i pacchetti di rete che stanno volando attraverso punti di traffico specificamente mirati all'interno di una rete e li catturano . In altre parole, i pacchetti di dati vengono scritti stoccaggio . L'esame reale e profonda analisi di questi dati avviene in un secondo momento in una serie di lotti. Non a caso, questo significa che avete bisogno di grandi quantità di capacità di storage , che spesso si trovano in un sistema chiamato RAID , che sta per " Redundant Array of Independent Disks . " Con RAID , gli stessi dati vengono memorizzati in luoghi diversi , in modo da semplificare e accelerare il processo di analisi dei dati .
Stop, Look and Listen

" Fermati, guarda e ascolta " network forensics prende ogni singolo pacchetto e lo esamina in quello che potrebbe essere definito un modo superficiale, in memoria , eliminando alcuni pezzi particolarmente succosa di informazioni e di salvarli per le analisi future . Meno di archiviazione è necessaria con " fermarsi , guardare e ascoltare ", ma questo approccio spesso significa che è necessario un processore più veloce per rimanere al passo con i volumi di traffico in entrata
Stoccaggio
< . p > Sia " catturare il più possibile " e "Fermati, guarda e ascolta " sistemi forensi rete richiedono la capacità di immagazzinare enormi cumuli di dati e la necessità di fare spazio a nuove informazioni dal dumping pezzi obsoleti dei dati . Ci sono programmi software progettati specificamente per l'acquisizione e l'analisi dei dati per il network forensics . Un paio di versioni open source sono tcpdump e windump , spiega SearchSecurity.com . Programmi commerciali sono disponibili anche per l'acquisizione e l'analisi dei dati .
Considerazioni

Secondo Marcus Ranum , il " catturare il più possibile " Protocollo , in particolare, porta con sé il problema di privacy. Ogni pacchetto di dati di informazioni - inclusi i dati generati dall'utente - viene catturato e immagazzinato , lasciando queste informazioni vulnerabile a occhi indiscreti e perdite. Anche se l' Electronic Communications Privacy Act vieta assolutamente le intercettazioni da parte dei fornitori di servizi Internet - tranne che per le operazioni di monitoraggio , sotto ordine del tribunale o il permesso da parte degli utenti - sembrerebbe che le ulteriori informazioni che viene accumulato , tanto più probabile è che brache di sicurezza sarà verificarsi . Una rete strumento di analisi forense controverso , o NFAT , per esempio, è Carnivore , gestito dal FBI .