นิยามนิติวิทยาระบบเครือข่าย รูปแบบและองค์ประกอบระบบเครือข่าย ช่องโหว่ของระบบเครือข่าย ประเภทต่าง ๆ ของการโจมตีระบบเครือข่าย ข้อมูลจราจรคอมพิวเตอร์ วิธีการเก็บรวบรวมหลักฐาน การใช้งานเครื่องมือสำหรับนิติวิทยาระบบเครือข่าย

นิติวิทยาระบบเครือข่าย คือ sniffing recording acquisition และ analysis สำหรับจราจรระบบเครือข่ายและบันทึกเหตุการณ์ เพื่อที่จะวินิจฉัยเกี่ยวกับเหตุการณ์ด้านความปลอดภัยระบบเครือข่าย การดักจับจราจรระบบเครือข่ายผ่านเครือข่ายนั้นง่ายในทางทฤษฎี แต่ค่อนข้างซับซ้อนในทางปฏิบัติ เนื่องจากเหตุผลทั่วไปเนื่องจากจำนวนของ data flows มีขนาดใหญ่ และ Internet protocols มีความซับซ้อนในตัวของมันเอง การบันทึกจราจรระบบเครือข่ายเกี่ยวข้องกับทรัพยากรจำนวนมาก ซึ่งมักจะไม่สามารถบันทึกข้อมูลทั้งหมดที่ผ่านระบบเครือข่าย เนื่องจากมีปริมาณมากเกินไป เพราะฉะนั้น ข้อมูลที่มีการบันทึกต้องได้รับการสำรองข้อมูลไปยังสื่อบันทึกข้อมูล เพื่อใช้ในการวิเคราะห์ต่อไป การวิเคราะห์ข้อมูลที่มีการบันทึกนั้นเป็นสิ่งที่สำคัญ และต้องใช้เวลาในการวิเคราะห์ข้อมูล แม้ว่าเครื่องมือสำหรับการวิเคราะห์แบบอัตโนมัติจะสามารถช่วยให้บรรลุวัตถุประสงค์ในการทำนิติวิทยา แต่อาจไม่เพียงพอ เนื่องจากไม่มีวิธียืนยันข้อมูลที่จะยืนยันว่าข้อมูลนั้นเป็นข้อมูลที่ถูกสร้างจากผู้ไม่ประสงค์ดีหรือไม่ การตัดสินใจของผู้ดูแลจะมีความสำคัญ เพราะเครื่องมือที่ใช้ในการวิเคราะห์อาจเกิด false positives ขึ้นได้ นิติวิทยาระบบเครือข่ายจึงมีความจำเป็นในการระบุประเภทการโจมตีที่เข้ามาในระบบเครือข่ายและติดตามผู้กระทำความผิด ขั้นตอนการวินิจฉัยจะต้องมีการรักษาหลักฐานเพื่อให้สามารถนำไปใช้ในการวินิจฉัยในชั้นศาลได้ในอนาคต

กลไกการวิเคราะห์นิติวิทยาระบบเครือข่าย

กลไกการวิเคราะห์นิติวิทยาระบบเครือข่ายคือ การสร้างแบบจำลองหลักฐานความเชื่อมโยง การจัดการหลักฐาน และการชี้แจงเหตุผล

• Analyst Interface คือ การจัดทำหลักฐานในรูปแบบเชิงสถิติเพื่อนำมาวิเคราะห์ต่อไป
• Evidence Collection คือ การเก็บหลักฐานของการบุกรุกจากระบบเครือข่ายและต้นทาง เพื่อนำมาวินิจฉัย
• Evidence Preprocessing คือ การวิเคราะห์เพื่อแยกประเภทของหลักฐานให้อยู่ในรูปแบบที่เหมาะสม และลดความซ้ำซ้อนของหลักฐานที่มี
• Evidence Depository คือ หลักฐานที่ได้รับจะต้องมีการจัดเก็บในพื้นที่เหมาะสม
• Generation คือ ดำเนินการการจัดการหลักฐานความเชื่อมโยง
  และทบทวนหลักฐานให้เป็นปัจจุบัน
• Attack Reasoning คือ ดำเนินการ automated reasoning ตาม Evidence Graph
  ที่ได้รับ
• Attack Knowledge Base คือ การรวบรวมข้อมูลก่อนดำเนินการ exploits
• Asset Knowledge Base คือ การรวบรวมข้อมูลเกี่ยวกับระบบเครือข่าย และ hosts
  ที่ได้รับการวินิจฉัยขั้นตอนแรก หลักฐานที่เก็บรวบรวมจะถูกประมวลผลล่วงหน้า และจะถูกเก็บไว้ในที่จัดเตรียมไว้ หลังจากนั้นจึงนำข้อมูลออกมาสร้าง evidence graph เพื่อส่งต่อให้นักวิเคราะห์ต่อไป

รูปแบบการกำหนดที่อยู่เครือข่าย

รูปแบบการกำหนดที่อยู่เครือข่ายแบ่งเป็น 2 ประเภท ดังนี้

• LAN Addressing

LAN addressing คือการค้นหา nodes ที่อยู่บน Data-link layer โดนแต่ละ nodes จะมี Media Access Control (MAC) ที่ไม่ซ้ำกัน ซึ่งทำการบันทึกไว้ใน network interface card (NIC)

• Internetwork Addressing

Internetwork คือ เครือข่าย ระบบเครือข่ายที่มี LANs จำนวนมาก หรือระบบเครือข่าย
อื่น ๆ เชื่อมต่อผ่านอุปกรณ์ routers โดยในแต่ละเครือข่ายจะมี network ID หรือ network address ที่ต่างกัน ซึ่ง routers จะส่ง data packets จากต้นทางไปยังปลายทาง แต่ละ node ในเครือข่ายจะมี address ที่ไม่ซ้ำกัน โดย internetwork address จะเป็นได้ทั้ง network address และ host address รวมถึงค้นหา node เมื่อ data packet ได้ถูกส่งจาก host ต้นทางไปยัง host ปลายทางบน internetwork โดยผ่านอุปกรณ์ router ซึ่งอุปกรณ์ router จะไม่สามารถระบุ host address ได้ แต่จะเป็นการระบุ network address แทน

โพรโทคอลระบบเครือข่าย

• โพรโทคอล OSI Reference Model and Network Protocols
• โพรโทคอล TCP/IP Model

Transmission Control Protocol/Internet Protocol (TCP/IP) คือ มาตรการสำหรับการสื่อสาร ใช้ในการเชื่อม Host บนอินเตอร์เน็ต ซึ่งระบบจะมีการรับส่งข้อมูลผ่านทาง TCP/IP นี้ โดยจะถูกแบ่งออกเป็น 2 layer ดังนี้

• Higher Layer ดำเนินการจัดการรับส่งข้อมูลที่เป็น data package ขนาดเล็กบนเครือข่ายอินเทอร์เน็ต และรวบรวม Package เข้าด้วยกัน

Lower Layer ดำเนินการจัดการให้ data Package สามารถส่งถึงปลายทางได้อย่างเหมาะสม

ช่องโหว่และภัยคุกคามระบบเครือข่าย

เนื่องจากความก้าวหน้าทางเทคโนโลยี ความซับซ้อน และช่องโหว่บนระบบเครือข่ายที่เพิ่มขึ้น สิ่งที่ผู้ดูแลระบบจำเป็นต้องทำคือการลดช่องโหว่ให้เหลือน้อยที่สุด ซึ่งช่องโหว่อาจเกิดจากปัจจัยภายใน
และภายนอกไฟล์ประกาศ จนทำให้เกิดความเสี่ยงบนระบบเครือข่าย โดยมีรายละเอียดดังนี้

• Internal Network Vulnerabilities

ช่องโหว่บนระบบเครือข่ายภายในองค์กร เกิดจากขนาด bandwidth ที่มากเกินไป
และเกิดคอขวดของระบบเครือข่าย ปัญหาเหล่านี้สามารถแก้ไขได้ โดยวิธีการ เช่น traceroute ซึ่งช่วยให้ผู้ดูแลระบบสามารถเห็นตำแหน่งของการชะลอตัวบนระบบเครือข่าย ด้วยข้อมูลนี้สามารถช่วยปรับปรุง network architecture เพิ่มความเร็วของระบบเครือข่าย

• External Network Vulnerabilities

ช่องโหว่บนระบบเครือข่ายจากภายนอกองค์กร อาจเกิดขึ้นจากการโจมตี เช่น DoS/DDoS และการดักจับข้อมูลบนเครือข่าย

การโจมตีแบบ DoS/DDoS จะส่งผลให้ระบบเครือข่ายทำงานช้าลง หรืออาจถึงขั้นระบบเครือข่ายไม่สามารถใช้งานได้ ทั้งนี้เพื่อลดการโจมตีประเภท DoS/DDoS จำเป็นต้องมีการตรวจสอบระบบเครือข่ายโดยใช้เครื่องมือ เพื่อแจ้งเตือนผู้ดูแลระบบทันทีที่ตรวจพบการโจมตี

การดักจับข้อมูลเป็นช่องโหว่ที่พบได้บน LAN และ WLANs ซึ่งการโจมตีประเภทนี้
ผู้โจมตีจะเปลี่ยนเปลี่ยนสิทธิ์เป็นผู้ดูแลระบบ และตรวจสอบหรือแก้ไขข้อมูลบนระบบเครือข่าย เพื่อให้สามารถเข้าถึงหรือแก้ไขการทำงานของระบบเครือข่ายได้ เพื่อลดการโจมตีเหล่านี้ และติดตั้ง firewalls เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตบนระบบเครือข่าย

ประเภทการโจมตีระบบเครือข่าย

ประเภทของการโจมตีบนระบบเครือข่าย มีรายละเอียดดังต่อไปนี้

• IP Address Spoofing: เป็นการปลอม IP เพื่อเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต ซึ่งคอมพิวเตอร์จะส่งข้อความไปให้ผู้ไม่ประสงค์ดี ซึ่งปลอมเป็น IP ที่เชื่อถือได้
• Packet Sniffing: เป็นการดักจับข้อมูลบนระบบเครือข่ายภาพซอฟต์แวร์ต่าง ๆ ที่เรียกว่า packet sniffers
• Data Modification Attacks: คือการเข้าถึงข้อมูลที่สำคัญ และดำเนินการเปลี่ยนแปลงข้อมูลนั้น
• Port Scanning: เป็นการสแกนเพื่อหาพอร์ตในเครื่องคอมพิวเตอร์ และหาพอร์ต
  ที่เป็นไปได้เพื่อใช้ในการโจมตี ซึ่งเป็นวิธีที่ได้รับความนิยมจากผู้ไม่ประสงค์ดี
• Session Sniffing: คือการดักจับข้อมูล และเปลี่ยนเส้นทางการรับส่งข้อมูล ผ่าน HTTP ที่มีการเข้ารหัส
• Enumeration: คือการรวบรวมข้อมูลเกี่ยวกับระบบเครือข่ายเพื่อใช้ในการโจมตี ซึ่งจะดำเนินการผ่านช่องทางอินเทอร์เน็ต
• Man-in-the-Middle Attack: คือการสร้างการเชื่อมต่อแบบอิสระ ระหว่างผู้ไม่ประสงค์ดีกับผู้ใช้งาน และส่งข้อความระหว่างกันเพื่อให้ผู้ใช้งานหลงเชื่อ หลังจากนั้นจึงดำเนินการเข้าควบคุมระบบ
• Denial-of-Service (DoS): ผู้ไม่ประสงค์ดี โจมตีเพื่อให้ระบบไม่สามารถใช้งานได้
  โดยการส่งข้อมูลที่ไม่ถูกต้องไปยังระบบเครือข่ายปลายทาง ทำให้ระบบเครือข่ายมีปริมาณการจราจรข้อมูลจำนวนมาก จนไม่สามารถให้บริการได้ ซึ่งอาจนำไปสู่การเข้าถึงระบบเครือข่ายโดยไม่ได้รับอนุญาต
• Buffer Overflow: บัฟเฟอร์ คือ พื้นที่จัดเก็บข้อมูลชั่วคราว ถ้ามีจำนวนข้อมูลมากเกินไปอาจทำให้บัฟเฟอร์เกินกว่าพื้นที่จัดเก็บ และส่งผลต่อระบบการทำงานได้
• Trojan Horse: คือ โปรแกรมที่มีความอันตราย และติดตั้งลงในเครื่องของผู้ใช้งาน
  ทำให้เกิด backdoors เพื่อใช้ในการขโมยข้อมูลออกจากระบบ
• Email Infection: เป็นการโจมตีผ่านทางอีเมล โดยส่งสแปมเมล หรือ วิธีการอื่น ๆ เพื่อให้ระบบเครือข่าย ไม่สามารถใช้งานได้ ซึ่งเป็นการโจมตีประเภทเดียวกับ DoS
• Malware Attacks: คือ malicious code หรือซอฟต์แวร์ประเภทหนึ่งที่มีอันตราย ซึ่งผู้โจมตีจะพยายามติดตั้งในระบบของผู้ใช้งาน เมื่อติดตั้งสำเร็จจะส่งผลให้เกิดความเสียหาย กับระบบปฏิบัติการหรือข้อมูลที่สำคัญ

Virus and Worms: คือ ซอฟต์แวร์ที่เขียนขึ้น เพื่อเปลี่ยนลักษณะการทำงานของระบบคอมพิวเตอร์ หรือ อุปกรณ์บนระบบเครือข่าย โดยใช้โปรแกรมประยุกต์บางอย่าง ที่ไม่ได้รับอนุญาตจากผู้ใช้งาน

การตรวจสอบข้อมูลจราจรระบบเครือข่าย
เหตุผลที่ต้องมีการตรวจสอบข้อมูลจราจรระบบเครือข่าย

• เพื่อให้ทราบว่ามีผู้ไม่ประสงค์ดีกําลังสร้างช่องสำหรับการโจมตีหรือไม่ และให้ทราบว่าข้อมูลนั้นถูกส่งจากที่ใดไปยังที่ใด
• เพื่อค้นหาข้อมูลจราจรระบบเครือข่ายที่น่าสงสัย
• เพื่อหาจุดที่เกิดปัญหาบนระบบเครือข่าย

การเก็บรวบรวมหลักฐานผ่านการดักจับข้อมูล

คอมพิวเตอร์ที่เชื่อมต่อกับ LAN มีสอง addresses ซึ่งอย่างแรกคือ MAC address ซึ่งเก็บไว้ในการ์ดเครือข่ายและระบุ node ทั้งหมดบนระบบเครือข่าย และมีการใช้งานโดย Ethernet protocol เพื่อถ่ายโอนข้อมูลจากระบบในขณะที่สร้าง frames ในส่วนของ IP address จะถูกใช้งานโดยแอปพลิเคชัน โดย MAC address จะใช้ระดับ Data-link layer สำหรับการกำหนด address แทน IP address ขั้นตอนต่อมา MAC address จะถูก map ไปยัง IP address ที่เกี่ยวข้องที่ระดับ Network layer จากนั้นระดับ  Data-link layer จะค้นหา MAC address ของอุปกรณ์ปลายทาง ในกรณีค้นหา IP address ไม่พบ ARP broadcast จะทำการจะค้นหาไปที่อุปกรณ์ทั้งหมดบนระบบครือข่าย เพื่อให้พบกับอุปกรณ์ที่มี IP address ที่ถูกต้อง หลังจากนั้น ARP cache จะเพิ่ม MAC address ของอุปกรณ์ปลายทาง และการสื่อสารเก็บ MAC address ที่ได้รับการเพิ่มต่อไป

เครื่องมือที่ใช้
เครื่องมือการดักจับแพ็กเกจข้อมูลโดยใช้ Wireshark

Wireshark เป็นเครื่องวิเคราะห์โพรโทคอลเครือข่าย GUI ช่วยให้ผู้ใช้เรียกดูข้อมูลแพ็กเกจแบบโต้ตอบจากเครือข่ายสด หรือ จากไฟล์จับภาพที่บันทึกไว้ก่อนหน้านี้ รูปแบบไฟล์การดักจับของ Wireshark เป็นรูปแบบ libpcap ซึ่งเป็นรูปแบบที่ใช้โดย tcpdump และสามารถนำไปใช้กับเครื่องมืออื่น ๆ ได้ นอกจากนี้ Wireshark สามารถอ่านไฟล์การดักจับจาก snoop และ atmsnoop, Shomiti/ Finisar Surveyor, Novell LANalyzer, Network General/Network Associates DOS-based Sniffer (บีบอัดหรือไม่บีบอัด), Microsoft Network Monitor และอื่น ๆ ได้

สรุปคือ นิติวิทยาระบบเครือข่าย คือการวินิจฉัยเหตุการณ์ที่ส่งผลกระทบระบบเครือข่าย ซึ่งทำให้ทราบว่าผู้ไม่ประสงค์ดี กำลังสร้างเส้นทาง การโจมตีมาจากที่ใด รวมถึงสามารถวิเคราะห์ข้อมูลที่น่าสงสัย จากระบบเครือข่าย เพื่อนำหลักฐานนั้นไปใช้ในการดำเนินคดีในชั้นศาลต่อไป