Som du kanske tror , datorn termen "nätverk kriminalteknik " är lånat från området kriminologi . Det handlar om att söka upp och hitta säkerhetsfrågor och andra problem inom datornätverk . I huvudsak är det inspelning och analys av nätverk incidenter för att avslöja källan till säkerhet knäbyxor eller andra problem . Och speciellt , det kräver förmåga att snoka upp ovanliga mönster gömda i till synes oskyldiga nätverkstrafik . Marcus Ranum , berömdt brandvägg expert , sägs ha myntat termen "nätverk kriminalteknik , " enligt SearchSecurity.com . Identifiering
Marcus Ranum , författare till " Database Nation : The Death of Privacy in the 21st Century " bland annat datasäkerhet - relaterade titlar , förklarar att nätverket kriminaltekniska system faller inom två huvudkategorier : " fånga det som du kan " och " sluta , titta och lyssna " system . I båda typerna , är datapaket spåras längs en utsedd trafik ström och granskas mycket noga . Ett paket är en bit information som dirigeras från en punkt A till en destination B på Internet eller liknande nät
. Transmission Control Protocol (TCP )-delen av Förkortning " TCP /IP" carves filen i hanterbara " bitar " för routing. Var och en av dessa paket är numrerade och bär Internet adressen för destinationen , eventuellt reser olika sträckor över etern . Fånga det som du kan
" Fånga det som
du kan " nätverk kriminaltekniska system tar paket som flyger genom riktade trafik punkter inom ett nätverk och fånga dem . Med andra ord är de datapaket skrivs till lagring. Själva undersökningen och djup analys av dessa data sker vid en senare tidpunkt i en serie av satser . Inte överraskande , betyder det att du behöver stora mängder lagringskapacitet , ofta i ett system som kallas RAID , vilket står för " redundant array of independent diskar . " Med RAID , är samma data som lagras på olika platser , och därigenom effektivisera och påskynda dataanalys processen .
Stopp , titta och lyssna
" Stanna , titta och lyssna " nätverksanalys tar varje paket och undersöker det i vad som kan kallas ett slentrianmässigt sätt , i minnet , rensa bort vissa särskilt saftiga bitar av information och spara dem för framtida analys . Mindre förvaring behövs med " stanna, titta och lyssna " , men detta tillvägagångssätt ofta innebär att du behöver en snabbare processor för att hålla sig à jour med de volymer av inkommande trafik Addera Förvaring
< . p > Både " fånga det som du kan " och " stanna, titta och lyssna " nätverk kriminaltekniska system kräver kapacitet att lagra stora högar av uppgifter och behovet av att göra plats för ny information genom dumpning föråldrade bitar av data. Det är program som utformats speciellt för att fånga och analysera data för nätverksanalys . Ett par av open source -versioner är tcpdump och WinDump , förklarar SearchSecurity.com . Kommersiella program är också tillgängliga för datafångst och analys .
Överväganden
Enligt Marcus Ranum , den " fånga det som du kan " protokollet i synnerhet bär med sig problem i privatlivet . Varje datapaket av information - däribland uppgifter som genererats av användaren - fångas och lagras , vilket denna information sårbar för nyfikna ögon och läckor . Även om elektronisk kommunikation Privacy Act helt förbjuder avlyssning av Internetleverantörer - utom för driftövervakning , enligt domstolsbeslut eller med tillstånd från användarna - det verkar som ju mer information som blir lagrade , desto mer sannolikt är det att säkerheten knäbyxor kommer inträffa . En kontroversiell nätverk kriminalteknisk analys verktyg , eller NFAT , till exempel , är Carnivore , drivs av FBI .
