Cos'è la Network Forensics

È il ramo della digital forensics che si occupa degli aspetti forensi delle reti. Si lavora principalmente su live system: si acquisisce il traffico raw prodotto dalle interfacce di rete (pacchetti, log, ecc.) e lo si analizza.

Il formato standard per i file di acquisizione del traffico di rete è il .pcap (packet capture).

All'interno del traffico di rete si possono trovare: indirizzi web di siti visitati, contenuto di email, chat di social network, pacchetti VoIP, file stampati — tutto ciò che transita sulla rete.


Tool Xplico

Tool open source per l'analisi forense di traffico di rete. Prende in input file .pcap e ne estrae e organizza il contenuto per tipologia.

Interfaccia e output

Dopo aver importato un file .pcap, Xplico mostra:

La sezione Sconosciuti è sempre da approfondire: potrebbe contenere traffico cifrato, protocolli non standard o comunicazioni che si vuole nascondere.

Per ogni connessione vengono mostrati: data/ora, indirizzo IP e porta di destinazione, protocollo, durata in secondi, numero di byte.


Esempio 1 — HTTP e Web

Cliccando sull'IP di destinazione si scarica un file testuale col contenuto dei pacchetti. Cliccando su info.xml si ottengono ulteriori dettagli sulla connessione.


Esempio 2 — VoIP

VoIP (Voice over IP) converte il segnale vocale analogico in digitale, lo incapsula in pacchetti e lo trasmette sulla rete. Permette telefonate via internet anche verso telefoni fissi (su rete PSTN).

Vantaggi: risparmio economico, meno hardware, uso efficiente della banda, servizi aggiuntivi (trasferimento immagini, ecc.).