25 november 2015 14:11

Forensische netwerksniffer

NetworkMiner is een netwerksniffer maar dan vooral gericht om data op te vissen die met het oog op forensisch onderzoek van belang kan zijn.

[download_file]Er bestaan verschillende – ook gratis – pakketten waarmee je allerlei informatie uit al dan niet live systemen kunt opdiepen, bijvoorbeeld in het kader van forensisch onderzoek. NetworkMiner is precies zo’n forensische tool, maar dan met de focus op het netwerkverkeer.

NetworkMiner is in wezen een netwerksniffer maar met een specifieke twist: de voornaamste bedoeling is in het netwerkverkeer allerlei informatie op te vissen, zoals gebruikte besturingssystemen, hostnamen, open poorten, enz. Of, zoals het makers zelf de tool omschrijven: een Network Forensics Analysis Tool (NFAT).

Zoals het een forensische tool betaamt, is het een ‘passieve’ sniffer, wat inhoudt dat het programma zelf geen data op het netwerk gaat plaatsen zodat de omgeving ‘clean’ blijft met het oog op forensisch onderzoek.

Overigens kan NetworkMiner ook Pcap-bestanden parsen, afkomstig van andere netwerksniffers – de betaalde Professional-versie kan ook overweg met de nieuwere PcapNG-bestanden (maar er bestaan wel gratis converters die PcapNG omzetten naar het Pcap-formaat). Het is trouwens ook mogelijk de Pcap-bestanden over een TCP-socket te ontvangen. Dat kan bijvoorbeeld door zo’n pcap-bestanden met behulp van Netcat te kanaliseren naar de juiste pc. Hoe je dit precies aanpakt, lees je hier.

Wanneer je het programma opstart en data ‘live’ van het netwerk wil plukken, moet je logischerwijze eerst de gewenste netwerkadapter selecteren, waarna je de data kunt capteren. Alle gevonden data wordt dan uitgesplitst over diverse tabbladen, waaronder Hosts, Frames, Files, Images, Sessions, DNS, Cleartext, enz.

Op het tabblad Hosts vind je een overzicht terug van alle hosts die bij het opgeviste netwerkverkeer betrokken zijn, zowel binnen als buiten je eigen LAN. Deze lijst met hosts kun je op diverse manieren gaan sorteren, waaronder alfabetisch, op basis van het IP-adres, MAC-adres, de hoeveelheid verstuurde of ontvangen pakketten of bytes, enz.

Op het tabblad Frames dan weer vind je een chronologisch overzicht van de dataframes terug, inclusief bron- en doel-IP en –poorten. Verwacht hier echter geen protocol-analyse zoals je die bijvoorbeeld bij het populaire Wireshark te zien krijgt. Het tabblad Cleartext legt data bloot die in ‘leesbare vorm’ over het netwerk worden verstuurd, maar hier missen we wel een geïntegreerde zoekfunctie.

NetworkMiner is, zoals alle netwerksniffers, bedoeld voor wat gevorderde gebruikers die de gecapteerde data correct weten te interpreteren. Enerzijds maakt de manier waarop de data worden gepresenteerd het forensisch onderzoekers makkelijker maar anderzijds is het programma lang niet zo flexibel of gedetailleerd als Wireshark.