جرم‌شناسی شبکه

جرم شناسی شبکه زیرمجموعه جرم شناسی دیجیتال است که مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه رایانه ای برای اهداف جمع آوری اطلاعات، شواهد قانونی یا تشخیص نفوذ است. ^[۱] برخلاف سایر زمینه های جرم شناسی دیجیتال، تحقیقات شبکه با اطلاعات بی ثبات و پویا سروکار دارد. ترافیک شبکه منتقل می شود و سپس از بین می رود، بنابراین جرم شناسی شبکه اغلب یک تحقیق فعال است.^[۲]

جرم شناسی شبکه به طور کلی دو کاربرد دارد. اولین مورد، مربوط به امنیت است، شامل نظارت بر شبکه برای ترافیک غیر عادی و شناسایی نفوذها است. یک مهاجم می تواند تمام پرونده های ورود به سیستم را در یک میزبان در معرض خطر پاک کند. بنابراین شواهد مبتنی بر شبکه ممکن است تنها شواهد موجود برای تجزیه و تحلیل پزشکی قانونی باشد.^[۳] فرم دوم مربوط به اجرای قانون است. در این مورد، تجزیه و تحلیل ترافیک شبکه گرفته شده می تواند شامل کارهایی مانند جمع آوری مجدد پرونده های منتقل شده، جست و جوی کلمات کلیدی و تجزیه ارتباطات انسانی مانند ایمیل ها یا جلسات چت باشد.

برای جمع آوری داده های شبکه معمولاً از دو روش استفاده می شود. یک روش حریصانه که می گوید «هر اطلاعاتی می توانید بگیرید» و یک روش هوشمندتر «توقف کن، نگاه کن، جمع آوری کن».

بررسی اجمالی[ویرایش]

جرم شناسی شبکه یک حوزه نسبتاً جدید در علوم جرم شناسی است. محبوبیت روزافزون اینترنت در خانه ها به این معنی است که استفاده از رایانه ها به شبکه متمرکز شده است و اکنون دیگر داده ها خارج از دیسک های دیجیتالی در دسترس بوده و دیگر مبتنی بر آن نیستند. جرم شناسی شبکه می تواند به عنوان یک تحقیق مستقل یا در کنار تجزیه و تحلیل جرم شناسی رایانه انجام شود (جایی که اغلب برای آشکار کردن ارتباط بین دستگاه های دیجیتال یا بازسازی نحوه ارتکاب جرم استفاده می شود). ^[۲]

مارکوس رانوم (Marcus Ranum) با تعریف جرم شناسی شبکه به عنوان "ضبط و تجزیه و تحلیل وقایع شبکه به منظور کشف منبع حملات امنیتی یا سایر حوادث مشکوک" شناخته شده است.^[۴]

در مقایسه با جرم شناسی رایانه، جایی که شواهد معمولاً بر روی دیسک ها محفوظ است، داده های شبکه بی ثبات تر و غیرقابل پیش بینی هستند. محققان اکثرا فقط ابزار هایی برای بررسی این که آیا فیلترهای بسته، فایروال ها و سیستم های تشخیص نفوذ برای پیش بینی نقض امنیت تنظیم شده اند یا خیر دارند. ^[۲]

سیستم هایی که برای جمع آوری داده های شبکه برای استفاده در جرم شناسی استفاده می شوند، معمولاً به دو شکل وجود دارد:^[۵]

آن را تا جایی که می توانید بگیرید: در این شیوه تمام بسته هایی که از یک نقطه ترافیکی عبور می کنند ضبط می شوند و برای ذخیره سازی نوشته می شوند و تجزیه و تحلیل های بعدی در حالت دسته ای انجام می شود. این روش به مقدار زیادی ذخیره سازی نیاز دارد.
متوقف شوید، نگاه کنید و گوش دهید: در این شیوه هر بسته به صورت ابتدایی در حافظه و فقط اطلاعات خاصی که برای تجزیه و تحلیل آینده ذخیره می شود، تجزیه و تحلیل می شود. این رویکرد برای پیگیری ترافیک ورودی به پردازنده سریع تر نیاز دارد.

انواع[ویرایش]

شبکه کابلی (Ethernet)[ویرایش]

همه داده های موجود در این لایه را انتخاب می کند و به کاربر اجازه فیلتر برای رویدادهای مختلف را می دهد. با استفاده از این ابزارها، صفحات سایت، پیوست های ایمیل و سایر ترافیک شبکه را فقط در صورتی که بدون رمزگذاری منتقل یا دریافت شوند می توان بازسازی کرد. یک مزیت جمع آوری این داده ها این است که مستقیماً به یک میزبان متصل هستند. به عنوان مثال اگر آدرس IP یا آدرس MAC میزبان در یک زمان خاص مشخص باشد، تمام داده های ارسال شده به این آدرس IP یا MAC می توانند فیلتر شوند.

برای ایجاد ارتباط بین آدرس IP و MAC، مفید است که نگاه دقیق تری به پروتکل های کمی شبکه بیندازیم. جداول پروتکل وضوح آدرس (ARP: Address Resolution Protocol) آدرس های MAC را با آدرس های IP مرتبط لیست می کنند.

برای جمع آوری داده ها در این لایه، می توان کارت رابط شبکه (NIC: network interface card) یک میزبان را در حالت بی قاعده (promiscuous) قرار داد. با این کار، کل ترافیک به CPU منتقل می شود، نه تنها ترافیکی که مربوط یک میزبان خاص است.

در هر حال، اگر یک مزاحم یا مهاجم مطلع شود که ممکن است اتصال وی شنود شود، ممکن است از رمزگذاری برای ایمن کردن اتصال خود استفاده کند. امروزه شکستن رمزگذاری تقریباً غیرممکن است اما این واقعیت که ارتباط مظنون با یک میزبان به طور مداوم رمزگذاری شود، ممکن است نشان دهنده این باشد که آن میزبان همدست مظنون است.

TCP/IP[ویرایش]

در لایه شبکه، پروتکل اینترنت (IP) وظیفه هدایت بسته های تولید شده توسط TCP را از طریق شبکه (به عنوان مثال اینترنت) با اضافه کردن اطلاعات منبع و مقصد که قابل تفسیر توسط روترهای سراسر شبکه هستند را بر عهده دارد. شبکه های بسته دیجیتال همراه مانند GPRS از پروتکل های مشابه IP استفاده می کنند، بنابراین روش های توصیف شده برای IP نیز برای آن ها کار می کنند.

برای مسیریابی صحیح ، هر روتر میانی باید یک جدول مسیریابی داشته باشد تا بداند بسته بعدی را کجا ارسال کند. این جداول مسیریابی یکی از بهترین منابع اطلاعاتی هستند که در صورت بررسی جرم دیجیتالی و تلاش برای ردیابی یک مجرم به کار می روند. برای انجام این کار، باید بسته های مهاجم را دنبال کرد، و با معکوس کردن مسیر ارسال بسته، رایانه ای را که بسته از آن آمده (رایانه مهاجم) را پیدا کرد.

اینترنت[ویرایش]

اینترنت می تواند منبع غنی از شواهد دیجیتالی از جمله مرور وب، ایمیل، گروه های خبری، چت همزمان و ترافیک همتا به همتا باشد. به عنوان مثال، گزارش های سرور وب می تواند برای نشان دادن اینکه آیا مظنون به اطلاعات مربوط به فعالیت مجرمانه دسترسی پیدا کرده یا نه و چه زمانی این اتفاق افتاده است، استفاده شود. حساب های ایمیل اغلب می تواند حاوی اطلاعات و مدارک مفیدی باشد؛ اما سرایند های ایمیل به راحتی جعل می شوند و بنابراین ممکن است از جرم شناسی شبکه برای اثبات منشأ دقیق وقوع جرم استفاده شود. همچنین می توان با استفاده از استخراج اطلاعات حساب کاربر از ترافیک شبکه، از جرم شناسی شبکه استفاده کرد تا فهمید از یک رایانه خاص چه کسی استفاده می کند.^[۶]

جرم شناسی بی سیم (wireless)[ویرایش]

جرم شناسی وایرلس زیرشاخه جرم شناسی شبکه است. هدف اصلی جرم شناسی بی سیم ارائه روش و ابزار مورد نیاز برای جمع آوری و تجزیه و تحلیل ترافیک شبکه (بی سیم) است که می تواند به عنوان مدارک دیجیتالی معتبر در دادگاه ارائه شود. شواهد جمع آوری شده می تواند با داده های ساده مطابقت داشته باشد یا با استفاده گسترده از فناوری های Voice-over-IP (VoIP)، به ویژه به صورت بی سیم، می تواند شامل مکالمات صوتی باشد.

تجزیه و تحلیل ترافیک شبکه بی سیم مشابه آنچه در شبکه های سیمی انجام می شود است، با این حال ممکن است اقدامات امنیتی بیشتری در مورد شبکه بی سیم نیز مورد توجه قرار گیرد.

منابع[ویرایش]

↑ Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30
↑ ^۲٫۰ ^۲٫۱ ^۲٫۲ Erik Hjelmvik, Passive Network Security Analysis with NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer بایگانی‌شده در ۲۰۱۲-۰۲-۲۳ توسط Wayback Machine
↑ Erik Hjelmvik (۲۰۱۲-۰۲-۲۳). «Passive Network Security Analysis with NetworkMiner». بایگانی‌شده از اصلی در ۲۳ فوریه ۲۰۱۲. دریافت‌شده در ۱۲ مارس ۲۰۲۱.
↑ «Marcus Ranum, Network Flight Recorder».
↑ Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
↑ «Facebook, SSL and Network Forensics - NETRESEC Blog». Netresec. دریافت‌شده در ۲۰۲۱-۰۴-۰۳.

[1] Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30

[:0-2] ۲٫۰ ^۲٫۱ ^۲٫۲ Erik Hjelmvik, Passive Network Security Analysis with NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer بایگانی‌شده در ۲۰۱۲-۰۲-۲۳ توسط Wayback Machine

[3] Erik Hjelmvik (۲۰۱۲-۰۲-۲۳). «Passive Network Security Analysis with NetworkMiner». بایگانی‌شده از اصلی در ۲۳ فوریه ۲۰۱۲. دریافت‌شده در ۱۲ مارس ۲۰۲۱.

[4] «Marcus Ranum, Network Flight Recorder».

[5] Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] «Facebook, SSL and Network Forensics - NETRESEC Blog». Netresec. دریافت‌شده در ۲۰۲۱-۰۴-۰۳.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]