@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

10章ネットワーク フォレンジックス

9章で解析の概要が解説された後に、10章ではネットワークのトラフィックログを利用した調査(フォレンジック)について解説されています。ネットワークのトラフィック ログ、平たく言うとキャプチャしておいたパケットを SnortEthereal を利用して解析していく手順が詳しく書かれています。
ハニーネットプロジェクトの目的でもある外部からの不正侵入のインシデントに対して、利用された攻撃手法やツールの復元*1や、侵入者の IRC チャネルの会話復元に Snort を利用する方法などが解説されています。Snort を単に IDS として利用するのではなく、フォレンジックに利用する方法についてはとても参考になると思います。
また、ネットワーク フォレンジックスの難点として、暗号化された通信にどう対応するかという点についての解説は興味深いものがあります。
個人的には P251 10.6 にある下記文をウンウンとうなずきながら読んでました。

これまでの例を見ても明らかなように、フォレンジックスにおける難題であり、そしてエキサイティングなことの一つは、価値のあるものと価値のないものを選別することにあります。

オープンソースなツールでも、商用製品でもフィルタ機能がそれなりに実装されていますが、絞り込む方向になっているんですよね。一般的なトラブルシューティングとかでフィルタを使うケースを考えると、「特定の通信を探したい!」といった感じで絞り込むほうが多いですし作業的にもそのほうが早いのですが、フォレンジック的にはそもそも何を探すべきか対象が不明なこともあるので、まずは問題ない通信を排除することからやっていく場合が多々あります。
このとき、排除するフィルタをたくさん書こうとするわけですが、意外にどのツールでも使いにくいことがあります。絞り込んで検索する場合には、それほど条件文が長くならないのですが、徐々に不要なデータを排除するルールを適用(追加)していくと、条件文が長くなりすぎてそれ以上入力できなくなってしまうことがあったりするんですよね。
複雑な条件文を書いて短くする工夫もありますが、そうすると条件文の記述をミスする可能性があるので、個人的には可読が悪くなる条件文はあまり書きたくなったりもします。(単に頭が悪くて複雑な条件文を書けないだけですけど)
10章では不正アクセスの調査が主な目的なので電子メールや Web 閲覧といった組織内部の調査に関連する話題は出てきませんが、ここで解説されているトラフィック解析は内部調査でも重要な項目だと思います。
さて、お次はいよいよ11章のコンピュータフォレンジックを読むことにしよう。

*1:通信データからバイナリを取り出す