Home » Network Forensics: วิเคราะห์ Traffic เพื่อสืบสวนเหตุ Security
Network Forensics: วิเคราะห์ Traffic เพื่อสืบสวนเหตุ Security
Network Forensics: วิเคราะห์ Traffic เพื่อสืบสวนเหตุ Security
Network Forensics คือกระบวนการจับ บันทึก และวิเคราะห์ network traffic เพื่อสืบสวนเหตุการณ์ด้าน security เช่น data breach, malware infection, insider threat หรือ unauthorized access เป็นส่วนสำคัญของ incident response ที่ช่วยตอบคำถามว่า เกิดอะไรขึ้น เมื่อไหร่ ใครทำ และข้อมูลอะไรถูกขโมย
ต่างจาก network monitoring ที่ดู traffic แบบ real-time network forensics เน้นการวิเคราะห์ย้อนหลัง (post-incident analysis) จากข้อมูลที่บันทึกไว้ เช่น packet captures, NetFlow records, firewall logs และ DNS logs ข้อมูลเหล่านี้เป็นหลักฐานสำคัญในการสืบสวนและอาจใช้ในชั้นศาลได้ บทความนี้จะอธิบายเครื่องมือและวิธีการวิเคราะห์
Network Forensics Process
| Phase |
Action |
เครื่องมือ |
| 1. Collection |
จับ/บันทึก network traffic และ logs |
tcpdump, Wireshark, NetFlow, SPAN port |
| 2. Preservation |
รักษาหลักฐาน chain of custody |
Write-once storage, hashing (MD5/SHA) |
| 3. Examination |
ตรวจสอบข้อมูลเบื้องต้น filter สิ่งที่เกี่ยวข้อง |
Wireshark filters, tshark, NetworkMiner |
| 4. Analysis |
วิเคราะห์ลึก หาต้นเหตุ timeline สร้าง |
Zeek/Bro, Moloch/Arkime, SIEM |
| 5. Reporting |
สรุปผล เขียนรายงาน จัดทำหลักฐาน |
Report templates, timeline tools |
Data Sources
| Source |
ข้อมูลที่ได้ |
ข้อดี |
ข้อเสีย |
| Full Packet Capture (PCAP) |
ทุก byte ของทุก packet |
ข้อมูลครบ reconstruct ได้ทุกอย่าง |
Storage มหาศาล (GB/hour) |
| NetFlow/IPFIX |
Flow metadata (src/dst IP, port, bytes, duration) |
Storage น้อย ดู patterns ได้ |
ไม่มี payload content |
| Firewall Logs |
Allow/deny decisions, NAT translations |
มีทุกองค์กร |
Limited detail |
| DNS Logs |
DNS queries/responses |
หา C2 domains, data exfiltration |
ต้อง enable logging |
| Proxy/Web Logs |
HTTP/HTTPS requests, URLs |
ดู web activity ของ users |
HTTPS = encrypted payload |
| IDS/IPS Alerts |
Signature-based detections |
หา known attacks |
Miss zero-day attacks |
| SIEM Logs |
Correlated events จากหลาย sources |
Centralized view |
ขึ้นกับ log sources ที่ส่งเข้า |
Forensics Tools
| Tool |
ประเภท |
จุดเด่น |
ราคา |
| Wireshark |
Packet analyzer |
GUI ดี deep packet inspection filters |
Free |
| tshark |
CLI packet analyzer |
Wireshark CLI version scripting ได้ |
Free |
| tcpdump |
Packet capture |
Lightweight capture บน Linux/Unix |
Free |
| Arkime (Moloch) |
Full packet capture + indexing |
Large-scale PCAP storage + search |
Free (open-source) |
| Zeek (Bro) |
Network security monitor |
Generate structured logs จาก traffic |
Free (open-source) |
| NetworkMiner |
Network forensics tool |
Extract files, images, credentials จาก PCAP |
Free / $900+ |
| Snort/Suricata |
IDS/IPS |
Signature-based detection + PCAP logging |
Free (open-source) |
Wireshark Analysis Techniques
| Technique |
Wireshark Filter |
หาอะไร |
| หา IP ที่สงสัย |
ip.addr == 10.1.1.100 |
ดู traffic ทั้งหมดของ IP นั้น |
| หา DNS queries |
dns.qry.name contains “suspicious” |
DNS queries ไปยัง domain ที่สงสัย |
| หา HTTP requests |
http.request.method == “POST” |
Data exfiltration ผ่าน HTTP POST |
| หา failed logins |
smb2.nt_status == 0xc000006d |
Brute force attempts (SMB) |
| หา large transfers |
tcp.len > 10000 |
Large data transfers (possible exfiltration) |
| หา unusual ports |
tcp.port == 4444 or tcp.port == 1337 |
Common backdoor/C2 ports |
| Follow TCP Stream |
Right-click → Follow → TCP Stream |
ดู conversation ทั้งหมดระหว่าง 2 hosts |
Common Attack Patterns
| Attack |
Network Indicators |
วิธีตรวจจับ |
| Port Scanning |
SYN packets ไปหลาย ports จาก IP เดียว |
NetFlow: 1 src → many dst ports |
| Brute Force |
Failed login attempts จำนวนมาก |
Auth logs: many failures from 1 src |
| C2 Communication |
Periodic connections ไปยัง external IP |
DNS/proxy logs: beaconing pattern |
| Data Exfiltration |
Large outbound transfers ผิดปกติ |
NetFlow: large bytes to unknown dst |
| DNS Tunneling |
Unusually long DNS queries/TXT records |
DNS logs: long subdomain names |
| Lateral Movement |
Internal scanning + SMB/RDP connections |
Internal NetFlow: unusual east-west traffic |
| Ransomware |
SMB traffic spike + file renames |
IDS alerts + SMB file operations |
Packet Capture Setup
| Method |
วิธีการ |
เหมาะกับ |
| SPAN/Mirror Port |
Switch copy traffic ไปยัง monitoring port |
ดู traffic บน specific switch/VLAN |
| Network TAP |
อุปกรณ์ passive คั่นกลาง link copy traffic |
Full-duplex capture ไม่ miss packets |
| Inline IDS/IPS |
อุปกรณ์วางกลาง traffic path |
Detect + block + capture |
| Host-based capture |
tcpdump/Wireshark บน server/endpoint |
ดู traffic ของ specific host |
| Cloud VPC Flow Logs |
Enable flow logs ใน AWS/Azure/GCP |
Cloud environment forensics |
Timeline Analysis
| Step |
Action |
| 1. กำหนดขอบเขตเวลา |
เมื่อไหร่ incident ถูกพบ → ย้อนกลับไป 24-48 ชั่วโมง |
| 2. รวบรวม logs ทั้งหมด |
Firewall, DNS, proxy, SIEM, PCAP ในช่วงเวลานั้น |
| 3. Sync timestamps |
ตรวจสอบว่า logs ทุกตัวใช้ NTP/เวลาเดียวกัน |
| 4. สร้าง timeline |
เรียง events ตามเวลา หา initial access → lateral → exfiltration |
| 5. ระบุ IOCs |
IP addresses, domains, file hashes, user agents ที่เกี่ยวข้อง |
ทิ้งท้าย: เตรียมพร้อมก่อนเกิดเหตุ
Network Forensics ต้องเตรียม data collection ก่อนเกิดเหตุ enable logging ทุกที่ (firewall, DNS, proxy, NetFlow) เก็บ PCAP สำหรับ critical segments (ถ้ามี storage) ฝึก Wireshark + Zeek + timeline analysis สร้าง incident response playbook ที่รวม forensics procedures
อ่านเพิ่มเติมเกี่ยวกับ Network Troubleshooting Tools และ NetFlow sFlow ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
