บทนำ: Network Forensics คืออะไร และทำไมจึงสำคัญในยุคปัจจุบัน
Network Forensics หรือ นิติวิทยาศาสตร์เครือข่าย คือกระบวนการจับ บันทึก และวิเคราะห์ข้อมูลที่สื่อสารผ่านระบบเครือข่ายคอมพิวเตอร์ เพื่อตรวจสอบหาหลักฐานของการโจมตีทางไซเบอร์ การรั่วไหลของข้อมูล หรือกิจกรรมที่ผิดปกติต่างๆ ที่เกิดขึ้นภายในเครือข่ายขององค์กร Network Forensics เป็นสาขาย่อยที่สำคัญของ Digital Forensics ซึ่งมุ่งเน้นไปที่การวิเคราะห์ Network Traffic โดยเฉพาะ
ในยุคที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ ไม่ว่าจะเป็น Advanced Persistent Threat (APT), Ransomware, Data Exfiltration หรือ Insider Threat การมีทักษะในการวิเคราะห์ Packet ระดับลึกถือเป็นสิ่งจำเป็นอย่างยิ่งสำหรับ Network Engineer, Security Analyst และ SOC Analyst ในประเทศไทย เพราะการทำ Network Forensics ช่วยให้เราสามารถตรวจจับการโจมตีที่หลุดรอดจาก Firewall, IDS/IPS, SIEM ได้ รวมถึงสามารถสืบสวนย้อนหลังเพื่อหาสาเหตุที่แท้จริงของเหตุการณ์ด้านความปลอดภัย
บทความนี้จะพาคุณทำความเข้าใจ Network Forensics ตั้งแต่พื้นฐานไปจนถึงระดับสูง พร้อมสอนใช้เครื่องมือที่สำคัญที่สุดอย่าง Wireshark และ tcpdump ในการจับและวิเคราะห์ Packet อย่างมืออาชีพ รวมถึง tshark, Zeek/Bro และเทคนิคการตรวจจับ Malicious Traffic รูปแบบต่างๆ
พื้นฐาน Packet Analysis กับ OSI Model
Packet คืออะไร
Packet คือหน่วยข้อมูลที่ถูกส่งผ่านเครือข่าย เมื่อเราส่งข้อมูลใดๆ ผ่าน Network ข้อมูลจะถูกแบ่งออกเป็นชิ้นเล็กๆ ที่เรียกว่า Packet แต่ละ Packet จะถูกห่อหุ้มด้วย Header ของ Protocol ต่างๆ ตามชั้นของ OSI Model ทำให้เราสามารถติดตามการสื่อสารได้ตั้งแต่ต้นทางจนถึงปลายทาง
OSI Model ในบริบทของ Packet Analysis
เมื่อทำ Packet Analysis จำเป็นต้องเข้าใจ OSI Model อย่างถ่องแท้ เพราะเครื่องมืออย่าง Wireshark จะแสดง Packet ตามโครงสร้างของ OSI Layers ดังนี้
Layer 2 – Data Link Layer: ข้อมูลในระดับ Frame ประกอบด้วย Source MAC Address, Destination MAC Address, EtherType ในการทำ Forensics ชั้นนี้สำคัญมากสำหรับการตรวจจับ ARP Spoofing, MAC Flooding หรือ VLAN Hopping
Layer 3 – Network Layer: ข้อมูลในระดับ Packet ที่มี Source IP, Destination IP, TTL (Time to Live), Protocol Field การวิเคราะห์ Layer 3 ช่วยให้เห็นว่าข้อมูลถูกส่งจาก IP ใดไปยัง IP ใด มี Routing Path อย่างไร สามารถใช้ตรวจจับ IP Spoofing, Fragmentation Attack หรือ ICMP Tunneling
Layer 4 – Transport Layer: ข้อมูล TCP/UDP ที่มี Source Port, Destination Port, Sequence Number, Acknowledgment Number, Flags (SYN, ACK, FIN, RST, PSH, URG) การวิเคราะห์ TCP Flags ช่วยให้ตรวจจับ Port Scanning (SYN Scan, FIN Scan, XMAS Scan), SYN Flood Attack หรือ Connection Hijacking
Layer 7 – Application Layer: ข้อมูลในระดับ Application Protocol เช่น HTTP Request/Response, DNS Query/Response, SMTP, FTP, SSH การวิเคราะห์ Layer 7 ช่วยให้เห็นเนื้อหาที่แท้จริงของการสื่อสาร เช่น URL ที่ถูกเข้าถึง, DNS Domain ที่ถูก Query, ไฟล์ที่ถูกส่ง สิ่งนี้สำคัญมากสำหรับการตรวจจับ Malware Communication, Data Exfiltration หรือ Command and Control (C2) Traffic
ประเภทของ Network Traffic ที่ต้องรู้จัก
ในการทำ Network Forensics คุณต้องเข้าใจประเภทของ Traffic หลักๆ ดังนี้ Unicast คือการส่งข้อมูลจากจุดหนึ่งไปอีกจุดหนึ่ง Broadcast คือการส่งข้อมูลไปยังทุกเครื่องในเครือข่าย Multicast คือการส่งข้อมูลไปยังกลุ่มเครื่องที่สมัครรับ การเข้าใจประเภท Traffic เหล่านี้จะช่วยให้คุณแยกแยะ Traffic ปกติออกจาก Traffic ที่ผิดปกติได้อย่างแม่นยำ
Wireshark: เครื่องมือวิเคราะห์ Packet ที่ทรงพลังที่สุด
การติดตั้ง Wireshark
Wireshark เป็นเครื่องมือ Open Source ที่ได้รับความนิยมสูงสุดในการวิเคราะห์ Packet สามารถดาวน์โหลดและติดตั้งได้ฟรีจาก wireshark.org รองรับทั้ง Windows, macOS และ Linux
การติดตั้งบน Windows: ดาวน์โหลด Installer จากเว็บไซต์ Wireshark เลือกติดตั้ง Npcap (ที่ใช้แทน WinPcap เดิม) สำหรับ Packet Capture ระหว่างการติดตั้งควรเลือก Install USBPcap หากต้องการจับ USB Traffic ด้วย
การติดตั้งบน Linux (Ubuntu/Debian): ใช้คำสั่ง sudo apt update && sudo apt install wireshark จากนั้นเพิ่ม User เข้ากลุ่ม wireshark ด้วยคำสั่ง sudo usermod -aG wireshark $USER เพื่อให้สามารถจับ Packet ได้โดยไม่ต้องใช้ root
การติดตั้งบน macOS: ใช้ Homebrew ด้วยคำสั่ง brew install –cask wireshark หรือดาวน์โหลด DMG จากเว็บไซต์โดยตรง
ส่วนประกอบของหน้าจอ Wireshark
เมื่อเปิด Wireshark ขึ้นมา หน้าจอจะแบ่งออกเป็นส่วนหลักๆ ดังนี้
Interface List: แสดงรายการ Network Interface ทั้งหมดบนเครื่อง พร้อมกราฟแสดงปริมาณ Traffic แบบ Real-time ให้เลือก Interface ที่ต้องการจับ Packet
Packet List Pane: แสดงรายการ Packet ทั้งหมดที่จับได้ แต่ละแถวแสดงข้อมูลพื้นฐาน ได้แก่ หมายเลข Packet, เวลาที่จับได้, Source IP, Destination IP, Protocol, ขนาด Packet และข้อมูลสรุปจาก Protocol
Packet Details Pane: เมื่อเลือก Packet ในรายการ จะแสดงรายละเอียดแบบต้นไม้ (Tree View) ตาม Layer ของ Protocol ตั้งแต่ Frame, Ethernet, IP, TCP/UDP จนถึง Application Layer สามารถกดขยายแต่ละ Layer เพื่อดูรายละเอียด Field ต่างๆ
Packet Bytes Pane: แสดงข้อมูลดิบของ Packet ในรูปแบบ Hexadecimal และ ASCII ใช้สำหรับการตรวจสอบข้อมูลดิบที่อาจมี Pattern ที่น่าสนใจซ่อนอยู่ เช่น Malware Signature, ข้อมูลที่ถูก Encode หรือ Encrypt
Capture Filters vs Display Filters ใน Wireshark
Capture Filters (BPF Syntax)
Capture Filters ใช้กรอง Traffic ก่อนที่จะจับ Packet ใช้ภาษา BPF (Berkeley Packet Filter) ซึ่งมีไวยากรณ์ที่แตกต่างจาก Display Filters ข้อดีของ Capture Filters คือช่วยลดขนาดไฟล์ pcap และลดภาระ CPU แต่ข้อเสียคือ Packet ที่ถูกกรองออกจะหายไปตลอด ไม่สามารถดูย้อนหลังได้
ตัวอย่าง Capture Filters ที่ใช้บ่อย ได้แก่ host 192.168.1.100 สำหรับจับ Traffic ของ IP ที่ระบุ, port 80 สำหรับ HTTP Traffic, port 443 สำหรับ HTTPS Traffic, net 10.0.0.0/8 สำหรับจับ Traffic ทั้ง Subnet, tcp สำหรับเฉพาะ TCP Traffic, not broadcast and not multicast สำหรับกรอง Broadcast/Multicast ออก, src host 192.168.1.100 and dst port 443 สำหรับจับ HTTPS Traffic จาก IP ที่ระบุ
Display Filters (Wireshark Filter Syntax)
Display Filters ใช้กรอง Packet ที่จับได้แล้ว เพื่อแสดงเฉพาะ Packet ที่สนใจ ใช้ไวยากรณ์เฉพาะของ Wireshark ที่มีความยืดหยุ่นสูงกว่า BPF มาก และสามารถเปลี่ยนเงื่อนไขได้ตลอดเวลาโดยไม่สูญเสียข้อมูล
ตัวอย่าง Display Filters ที่สำคัญสำหรับ Network Forensics ได้แก่ ip.addr == 192.168.1.100 สำหรับแสดง Traffic ของ IP ที่ระบุ, tcp.port == 80 สำหรับ HTTP Traffic, http.request.method == “POST” สำหรับ HTTP POST Request, dns.qry.name contains “malicious” สำหรับค้นหา DNS Query ที่น่าสงสัย, tcp.flags.syn == 1 and tcp.flags.ack == 0 สำหรับแสดง SYN Packet (ใช้ตรวจจับ Port Scan), tcp.analysis.retransmission สำหรับแสดง Retransmission (ใช้วิเคราะห์ปัญหาเครือข่าย), frame.len > 1400 สำหรับแสดง Packet ขนาดใหญ่, tcp.stream eq 5 สำหรับ Follow TCP Stream เฉพาะ Stream ที่ระบุ
เทคนิคการรวม Filters
สามารถรวม Filters ด้วย Logical Operators ได้ เช่น and, or, not ตัวอย่าง ip.src == 192.168.1.100 and tcp.dstport == 80 หมายถึงแสดง HTTP Traffic จาก Source IP ที่ระบุ หรือ dns or http หมายถึงแสดงทั้ง DNS และ HTTP Traffic หรือ not arp and not icmp หมายถึงกรอง ARP และ ICMP ออก เพื่อให้เหลือเฉพาะ Traffic ที่สนใจ
การวิเคราะห์ TCP Three-Way Handshake
TCP Three-Way Handshake เป็นกระบวนการพื้นฐานที่สำคัญที่สุดในการวิเคราะห์ Network Traffic เพราะทุกการเชื่อมต่อ TCP เริ่มต้นด้วยกระบวนการนี้ การทำความเข้าใจ Handshake จะช่วยให้คุณตรวจจับความผิดปกติได้
ขั้นตอนปกติของ TCP Three-Way Handshake
ขั้นตอนที่ 1 SYN: Client ส่ง SYN Packet ไปยัง Server เพื่อขอเริ่มการเชื่อมต่อ Packet จะมี Flag SYN=1, ACK=0 พร้อม Initial Sequence Number (ISN) แบบ Random
ขั้นตอนที่ 2 SYN-ACK: Server ตอบกลับด้วย SYN-ACK Packet ที่มี Flag SYN=1, ACK=1 พร้อม Server ISN และ Acknowledgment Number เท่ากับ Client ISN+1
ขั้นตอนที่ 3 ACK: Client ส่ง ACK Packet กลับไปยัง Server ที่มี Flag SYN=0, ACK=1 เมื่อ Server ได้รับ ACK ถือว่า Connection สำเร็จ ทั้งสองฝ่ายพร้อมส่งข้อมูล
ความผิดปกติที่ต้องจับตา
SYN Flood: เห็น SYN Packet จำนวนมากจาก IP เดียวหรือหลาย IP ไปยัง Server โดยไม่มี ACK กลับมา แสดงว่ากำลังเกิด DoS/DDoS Attack ใช้ Display Filter tcp.flags.syn == 1 and tcp.flags.ack == 0 ในการตรวจจับ แล้วดูสถิติ Source IP ที่ส่ง SYN มากที่สุด
RST Flood: เห็น RST Packet จำนวนมาก อาจเกิดจาก Connection Reset Attack หรือ Firewall ที่บล็อก Traffic ใช้ Filter tcp.flags.rst == 1 ในการตรวจสอบ
Incomplete Handshake: เห็น SYN-SYN/ACK แต่ไม่มี ACK อาจเกิดจาก Half-open Connection ที่ใช้ใน SYN Scan ของเครื่องมือ Nmap หรือเกิดจากปัญหาเครือข่ายจริงๆ
การวิเคราะห์ HTTP/HTTPS Traffic
HTTP Traffic Analysis
HTTP Traffic ที่ไม่ได้เข้ารหัสสามารถวิเคราะห์ได้อย่างละเอียด เพราะ Wireshark สามารถอ่าน Payload ได้ทั้งหมด ข้อมูลที่สามารถเห็นได้ใน HTTP Packet ได้แก่
HTTP Request Method (GET, POST, PUT, DELETE), URL ที่ถูกเข้าถึง, HTTP Headers (User-Agent, Referer, Cookie, Authorization), Request Body (สำหรับ POST), HTTP Response Status Code (200, 301, 404, 500), Response Headers (Content-Type, Set-Cookie, Server), Response Body (HTML, JSON, ไฟล์ที่ดาวน์โหลด)
ใน Wireshark สามารถใช้ Follow HTTP Stream (คลิกขวาที่ Packet แล้วเลือก Follow > HTTP Stream) เพื่อดู Request และ Response ทั้งหมดในการสื่อสารครั้งเดียว ข้อมูลจะแสดงเป็นข้อความที่อ่านง่าย โดยสีแดงคือ Request จาก Client และสีน้ำเงินคือ Response จาก Server
HTTPS/TLS Traffic Analysis
HTTPS Traffic ถูกเข้ารหัสด้วย TLS ทำให้ไม่สามารถอ่าน Payload ได้โดยตรง แต่ยังสามารถวิเคราะห์ข้อมูลบางส่วนได้ เช่น TLS Client Hello (สามารถเห็น SNI – Server Name Indication ที่บอกว่าเชื่อมต่อไปยัง Domain ใด), TLS Version ที่ใช้ (TLS 1.2 หรือ 1.3), Cipher Suite ที่ตกลงกัน, Certificate ของ Server
สำหรับการ Decrypt HTTPS Traffic เพื่อการ Forensics สามารถทำได้ 2 วิธีหลัก วิธีแรกคือใช้ Pre-Master Secret Log ที่สร้างจาก Browser โดยตั้ง Environment Variable SSLKEYLOGFILE ให้ชี้ไปยังไฟล์ที่ต้องการ จากนั้นตั้งค่าใน Wireshark ที่ Preferences > Protocols > TLS > Pre-Master-Secret log filename วิธีที่สองคือใช้ Private Key ของ Server (เฉพาะกรณี RSA Key Exchange ที่ไม่ได้ใช้ Perfect Forward Secrecy)
JA3/JA3S Fingerprinting
JA3 เป็นเทคนิคในการสร้าง Fingerprint ของ TLS Client Hello โดยใช้ค่า TLS Version, Cipher Suites, Extensions, Elliptic Curves, EC Point Formats มาสร้าง MD5 Hash JA3 Hash ช่วยให้สามารถระบุ Application หรือ Malware ที่สื่อสารผ่าน HTTPS ได้ แม้จะไม่สามารถอ่าน Payload ก็ตาม เช่น Cobalt Strike, Metasploit หรือ Malware ต่างๆ มี JA3 Hash ที่เป็นเอกลักษณ์ ทำให้สามารถตรวจจับได้
การวิเคราะห์ DNS Query
DNS Protocol Basics ในมุมมอง Forensics
DNS เป็น Protocol ที่สำคัญมากสำหรับ Network Forensics เพราะแทบทุกกิจกรรมบนเครือข่ายเริ่มต้นด้วย DNS Query และ Malware จำนวนมากใช้ DNS เป็นช่องทางในการสื่อสารกับ C2 Server หรือ Exfiltrate ข้อมูล
ใน Wireshark ใช้ Display Filter dns เพื่อแสดงเฉพาะ DNS Traffic ข้อมูลที่สามารถวิเคราะห์ได้ ได้แก่ Transaction ID, Query Name (Domain ที่ถูก Query), Query Type (A, AAAA, MX, CNAME, TXT, NS), Response IP Address, Response Code (NOERROR, NXDOMAIN, SERVFAIL), TTL ของ Record
สัญญาณ DNS ที่ผิดปกติ
DNS Tunneling: เป็นเทคนิคที่ Attacker ใช้ DNS Protocol ในการส่งข้อมูลผ่าน DNS Query และ Response โดยการ Encode ข้อมูลเป็น Subdomain ที่ยาวมาก สัญญาณที่ควรจับตา ได้แก่ DNS Query ที่มี Subdomain ยาวผิดปกติ (เกิน 50 ตัวอักษร), Query Type TXT ที่มีจำนวนมาก, DNS Response ที่มี TXT Record ขนาดใหญ่, ปริมาณ DNS Query ไปยัง Domain เดียวกันจำนวนมากผิดปกติ ตัวอย่าง Filter dns.qry.name.len > 50 หรือ dns.qry.type == 16 (TXT record)
DGA (Domain Generation Algorithm): Malware หลายตัวใช้ DGA ในการสร้าง Domain ที่ดูสุ่มเพื่อเชื่อมต่อกับ C2 Server ทำให้ยากต่อการ Block สัญญาณที่ควรจับตา ได้แก่ DNS Query ไปยัง Domain ที่ดูสุ่ม เช่น xkjh3nsd8f.com, hjks92md.net จำนวนมากในช่วงเวลาสั้นๆ และส่วนใหญ่จะได้รับ NXDOMAIN Response ใช้ Filter dns.flags.rcode == 3 เพื่อดู NXDOMAIN Response
DNS Exfiltration: การส่งข้อมูลออกผ่าน DNS Query โดยการ Encode ข้อมูลเข้าไปใน Query Name ตัวอย่างเช่น base64encodeddata.attacker.com การตรวจจับใช้หลักการเดียวกับ DNS Tunneling คือดูความยาวของ Query Name และความถี่ของ Query
การตรวจจับ Malicious Traffic
Command and Control (C2) Callbacks
C2 Communication คือการสื่อสารระหว่าง Malware ที่อยู่ในเครื่องเหยื่อกับ C2 Server ของ Attacker ลักษณะ C2 Traffic ที่พบบ่อยมีหลายรูปแบบ
HTTP/HTTPS Beaconing: Malware จะส่ง HTTP Request ไปยัง C2 Server เป็นระยะๆ อย่างสม่ำเสมอ เช่น ทุก 30 วินาที ทุก 1 นาที หรือทุก 5 นาที การตรวจจับ Beaconing ใน Wireshark สามารถทำได้โดยไปที่ Statistics > Conversations > TCP แล้วเรียงตาม Bytes หรือ Packets เพื่อดู Connection ที่มีปริมาณมากผิดปกติ หรือใช้ Statistics > Flow Graph เพื่อดูรูปแบบการสื่อสารที่เป็นจังหวะสม่ำเสมอ
DNS-based C2: Malware ใช้ DNS Query เพื่อรับคำสั่งจาก C2 Server โดยส่ง Query ไปยัง Domain ของ Attacker แล้วรับคำสั่งผ่าน DNS Response (มักเป็น TXT Record) การตรวจจับใช้วิธีดูปริมาณ DNS Query ไปยัง Domain ที่ไม่คุ้นเคยจำนวนมาก
Encrypted C2: Malware สมัยใหม่มักเข้ารหัส C2 Communication ด้วย TLS หรือ Custom Encryption ทำให้การวิเคราะห์ Payload ทำได้ยาก แต่ยังสามารถตรวจจับได้จาก Traffic Pattern, JA3 Fingerprint หรือ Certificate ที่ใช้
Data Exfiltration Detection
Data Exfiltration คือการที่ข้อมูลถูกส่งออกจากเครือข่ายองค์กรไปยังภายนอกโดยไม่ได้รับอนุญาต สัญญาณที่ควรจับตา ได้แก่ ปริมาณ Data Upload ที่มากผิดปกติจาก Workstation ปกติที่มักจะ Download มากกว่า Upload, การส่งข้อมูลไปยัง IP หรือ Domain ที่ไม่เคยเห็นมาก่อน, การส่งข้อมูลในช่วงเวลาผิดปกติ เช่น ดึกๆ หรือวันหยุด, การใช้ Protocol ที่ผิดปกติในการส่งข้อมูล เช่น ICMP Tunneling หรือ DNS Tunneling
ใน Wireshark ใช้ Statistics > Endpoints > IPv4 เรียงตาม Tx Bytes เพื่อดูว่า IP ใดส่งข้อมูลออกมากที่สุด หรือใช้ Statistics > Protocol Hierarchy เพื่อดูสัดส่วน Protocol ที่ผิดปกติ
Port Scanning Detection
Port Scanning เป็นกิจกรรมแรกๆ ที่ Attacker ทำหลังจากเข้าถึงเครือข่ายได้ เพื่อค้นหา Service และช่องโหว่ รูปแบบ Port Scan ที่พบบ่อย ได้แก่
SYN Scan (Half-open Scan): ส่ง SYN ไปยัง Port ต่างๆ ถ้าได้ SYN-ACK กลับแสดงว่า Port เปิด จากนั้นส่ง RST เพื่อยกเลิก Connection Filter ที่ใช้ตรวจจับ tcp.flags == 0x002 (SYN only) แล้วดูว่ามี IP ใดส่ง SYN ไปยัง Destination Port ที่หลากหลาย
FIN Scan: ส่ง FIN Packet ไปยัง Port ต่างๆ ถ้าไม่ได้ Response แสดงว่า Port เปิด ถ้าได้ RST แสดงว่า Port ปิด Filter tcp.flags == 0x001
XMAS Scan: ส่ง Packet ที่ตั้ง Flag FIN, PSH, URG พร้อมกัน Filter tcp.flags == 0x029
UDP Scan: ส่ง UDP Packet ไปยัง Port ต่างๆ ถ้าได้ ICMP Port Unreachable กลับแสดงว่า Port ปิด ถ้าไม่ได้ Response อาจหมายถึง Port เปิดหรือถูก Filter
tcpdump สำหรับ CLI Packet Capture
ทำไมต้องใช้ tcpdump
tcpdump เป็นเครื่องมือ Command-line สำหรับจับ Packet ที่มีอยู่ในระบบ Linux/macOS แทบทุกตัว ข้อดีของ tcpdump คือสามารถใช้ได้บน Server ที่ไม่มี GUI, ใช้ทรัพยากรน้อย, สามารถเขียน Script อัตโนมัติได้ และสามารถจับ Packet แล้วบันทึกเป็นไฟล์ pcap เพื่อนำมาวิเคราะห์ใน Wireshark ภายหลัง
คำสั่ง tcpdump พื้นฐาน
จับ Packet ทั้งหมดบน Interface eth0: sudo tcpdump -i eth0 คำสั่งนี้จะแสดง Packet ทั้งหมดที่ผ่าน eth0 บนหน้าจอ ใช้สำหรับดู Traffic แบบ Real-time
จับ Packet แล้วบันทึกเป็นไฟล์ pcap: sudo tcpdump -i eth0 -w capture.pcap คำสั่ง -w ใช้สำหรับบันทึก Packet ลงไฟล์ ซึ่งสามารถนำไปเปิดใน Wireshark ได้ ควรใช้ -w เสมอเมื่อทำ Forensics เพราะไฟล์ pcap เป็นหลักฐานที่เก็บข้อมูลครบถ้วน
จับ Packet พร้อม Filter: sudo tcpdump -i eth0 -w suspicious.pcap host 10.0.0.50 and port 443 คำสั่งนี้จับเฉพาะ Traffic ที่เกี่ยวกับ IP 10.0.0.50 บน Port 443 (HTTPS)
จับ Packet จำกัดขนาด: sudo tcpdump -i eth0 -w capture.pcap -c 10000 -C 100 คำสั่ง -c 10000 จำกัดจำนวน Packet ที่ 10,000 Packet ส่วน -C 100 จำกัดขนาดไฟล์ที่ 100 MB เมื่อเกินจะสร้างไฟล์ใหม่
จับ Packet พร้อมแสดงรายละเอียด: sudo tcpdump -i eth0 -nn -vvv -X host 192.168.1.100 คำสั่ง -nn ไม่แปลง IP/Port เป็นชื่อ, -vvv แสดงรายละเอียดสูงสุด, -X แสดง Hex และ ASCII dump
tcpdump Filters ขั้นสูงสำหรับ Forensics
tcpdump ใช้ BPF Syntax เดียวกับ Capture Filter ของ Wireshark ตัวอย่าง Filter ขั้นสูงที่ใช้ในงาน Forensics ได้แก่
จับเฉพาะ SYN Packet (ตรวจจับ Port Scan): sudo tcpdump -i eth0 ‘tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) == 0’ -w syn_scan.pcap
จับเฉพาะ DNS Traffic: sudo tcpdump -i eth0 port 53 -w dns_traffic.pcap
จับ Traffic ที่ไม่ใช่เครือข่ายภายใน (สำหรับดู Outbound Traffic): sudo tcpdump -i eth0 ‘not (src net 10.0.0.0/8 and dst net 10.0.0.0/8)’ -w outbound.pcap
จับ ICMP Traffic (ตรวจจับ ICMP Tunneling): sudo tcpdump -i eth0 icmp and ‘icmp[0] == 8 or icmp[0] == 0’ -w icmp_traffic.pcap
tshark สำหรับ Scripted Analysis
tshark คืออะไร
tshark เป็น Command-line Version ของ Wireshark ที่มีความสามารถในการวิเคราะห์ Packet เทียบเท่า Wireshark แต่ทำงานผ่าน CLI ทำให้สามารถใช้ใน Script, Automation หรือ Pipeline ได้ tshark ติดตั้งมาพร้อมกับ Wireshark
คำสั่ง tshark ที่ใช้บ่อยในงาน Forensics
อ่านไฟล์ pcap และแสดง Summary: tshark -r capture.pcap คำสั่งนี้แสดง Packet Summary คล้ายกับ Packet List Pane ใน Wireshark
กรอง Packet ด้วย Display Filter: tshark -r capture.pcap -Y “http.request.method == POST” คำสั่ง -Y ใช้ Display Filter เดียวกับ Wireshark ตัวอย่างนี้แสดงเฉพาะ HTTP POST Request
แสดง Field ที่ต้องการ: tshark -r capture.pcap -Y “dns” -T fields -e dns.qry.name -e dns.a คำสั่ง -T fields ใช้แสดงเฉพาะ Field ที่ระบุ ตัวอย่างนี้แสดง DNS Query Name และ Response IP
สถิติ Protocol: tshark -r capture.pcap -z io,phs คำสั่งนี้แสดง Protocol Hierarchy Statistics เหมือนเมนู Statistics ใน Wireshark
สถิติ Conversation: tshark -r capture.pcap -z conv,tcp คำสั่งนี้แสดงรายการ TCP Conversation ทั้งหมด เรียงตาม Bytes
Export HTTP Objects: tshark -r capture.pcap –export-objects http,exported_files คำสั่งนี้ Export ไฟล์ที่ถูกดาวน์โหลดผ่าน HTTP ทั้งหมดไปเก็บในโฟลเดอร์ exported_files ใช้สำหรับค้นหา Malware ที่ถูกดาวน์โหลด
สร้าง Script สำหรับวิเคราะห์ pcap อัตโนมัติ
สามารถใช้ tshark ร่วมกับ Shell Script หรือ Python เพื่อสร้างเครื่องมือวิเคราะห์ pcap อัตโนมัติได้ ตัวอย่างเช่น Script ที่ดึง DNS Query ทั้งหมด หา Top Talkers สร้าง Timeline ของ Events หรือตรวจจับ Pattern ที่น่าสงสัย ทั้งหมดนี้สามารถทำได้ด้วย tshark ร่วมกับ grep, awk, sort, uniq หรือ Python Script
การวิเคราะห์ pcap File อย่างเป็นระบบ
ขั้นตอนการวิเคราะห์ pcap File
เมื่อได้รับไฟล์ pcap มาวิเคราะห์ ควรทำตามขั้นตอนที่เป็นระบบดังนี้
ขั้นตอนที่ 1 Overview: เปิดไฟล์ใน Wireshark แล้วดูภาพรวมก่อน ไปที่ Statistics > Capture File Properties เพื่อดูข้อมูลทั่วไป เช่น ระยะเวลาที่จับ จำนวน Packet ขนาดไฟล์ จากนั้นดู Statistics > Protocol Hierarchy เพื่อดูสัดส่วนของ Protocol ต่างๆ
ขั้นตอนที่ 2 Identify Endpoints: ไปที่ Statistics > Endpoints เพื่อดู IP Address ทั้งหมดที่มีในไฟล์ เรียงตาม Bytes หรือ Packets เพื่อหา Top Talkers จดบันทึก IP ที่น่าสนใจหรือน่าสงสัย
ขั้นตอนที่ 3 Identify Conversations: ไปที่ Statistics > Conversations เพื่อดู Pair ของ IP ที่สื่อสารกัน ดูว่ามี Conversation ที่มีปริมาณมากผิดปกติหรือไม่ มีการเชื่อมต่อไปยัง IP ภายนอกที่ไม่คุ้นเคยหรือไม่
ขั้นตอนที่ 4 DNS Analysis: กรอง DNS Traffic แล้วดู Domain ที่ถูก Query ทั้งหมด ใช้ tshark -r file.pcap -Y dns -T fields -e dns.qry.name เพื่อดึงรายการ Domain แล้วตรวจสอบ Domain ที่น่าสงสัยกับ VirusTotal, AbuseIPDB หรือ Threat Intelligence Platform
ขั้นตอนที่ 5 Deep Dive: เจาะลึกลงไปใน Traffic ที่น่าสงสัย Follow TCP/HTTP Stream เพื่อดูเนื้อหาการสื่อสาร ดู Payload ของ Packet ตรวจสอบ File ที่ถูก Transfer
ขั้นตอนที่ 6 Timeline: สร้าง Timeline ของ Events ที่สำคัญ ใช้ข้อมูลจาก Packet Timestamp เพื่อลำดับเหตุการณ์ว่าเกิดอะไรขึ้นก่อนหลัง
Network Forensics Methodology และ Evidence Collection
กระบวนการทำ Network Forensics
การทำ Network Forensics ที่ถูกต้องตามมาตรฐานประกอบด้วย 4 ขั้นตอนหลัก
1. Collection (เก็บรวบรวม): จับ Network Traffic จากจุดที่เหมาะสม เช่น SPAN Port, Network TAP, หรือ Mirror Port บน Switch เก็บ Log จาก Firewall, IDS/IPS, Proxy Server, DNS Server เก็บ NetFlow/sFlow Data จาก Router สำรอง pcap File อย่างปลอดภัย โดยต้องรักษา Integrity ของข้อมูล
2. Examination (ตรวจสอบ): ตรวจสอบข้อมูลที่เก็บได้ จัดระเบียบ กรอง และแยกส่วนที่เกี่ยวข้อง ใช้เครื่องมือที่เหมาะสม เช่น Wireshark, tcpdump, tshark ในการตรวจสอบ Packet
3. Analysis (วิเคราะห์): วิเคราะห์ข้อมูลที่ผ่านการตรวจสอบเพื่อหาคำตอบ เช่น เกิดอะไรขึ้น ใครเป็นผู้กระทำ ทำเมื่อไหร่ ทำอย่างไร ข้อมูลใดถูกกระทบ สร้าง Timeline ของเหตุการณ์ เชื่อมโยงหลักฐานจากหลายแหล่ง
4. Reporting (รายงาน): จัดทำรายงานที่ชัดเจน ครบถ้วน ประกอบด้วย Executive Summary, รายละเอียดทางเทคนิค, หลักฐานที่พบ, Timeline, ข้อสรุป และคำแนะนำ รายงานต้องเขียนให้ทั้งผู้เชี่ยวชาญเทคนิคและผู้บริหารสามารถเข้าใจได้
Chain of Custody (ห่วงโซ่การครอบครองหลักฐาน)
Chain of Custody เป็นกระบวนการสำคัญในการรักษาความน่าเชื่อถือของหลักฐานดิจิทัล โดยเฉพาะเมื่อต้องนำไปใช้ในกระบวนการทางกฎหมาย สิ่งที่ต้องทำ ได้แก่
บันทึก Hash (MD5, SHA-256) ของไฟล์ pcap ทันทีหลังจากจับ Packet เสร็จ เพื่อยืนยันว่าไฟล์ไม่ถูกแก้ไข ใช้คำสั่ง sha256sum capture.pcap ใน Linux หรือ Get-FileHash ใน PowerShell
บันทึกข้อมูลว่าใครเป็นคนจับ Packet จับเมื่อไหร่ จากจุดไหน ใช้เครื่องมืออะไร เก็บไว้ที่ไหน ใครเข้าถึงบ้าง เก็บไฟล์ pcap ไว้ใน Write-protected Storage ที่มี Access Control ทำสำเนาก่อนทำการวิเคราะห์ ไม่ทำงานกับไฟล์ต้นฉบับโดยตรง
รูปแบบการโจมตีที่พบบ่อยใน Packet
ARP Poisoning/Spoofing
ARP Poisoning เป็นการโจมตีแบบ Man-in-the-Middle (MitM) ที่ Attacker ส่ง ARP Reply ปลอมเพื่อเปลี่ยน ARP Table ของเครื่องเหยื่อ ทำให้ Traffic ถูกส่งผ่านเครื่องของ Attacker แทน
การตรวจจับใน Wireshark ใช้ Filter arp.duplicate-address-detected หรือ arp.opcode == 2 (ARP Reply) แล้วดูว่ามี IP ใดที่มี MAC Address เปลี่ยนแปลงบ่อย หรือมี Gratuitous ARP จำนวนมากจาก MAC ที่ไม่คุ้นเคย สามารถเปิด Expert Information (Analyze > Expert Information) เพื่อดู Warning เกี่ยวกับ ARP ที่ผิดปกติ
SYN Flood Attack
SYN Flood เป็นการโจมตีแบบ DoS/DDoS ที่ส่ง SYN Packet จำนวนมหาศาลไปยัง Server เพื่อทำให้ Server ไม่สามารถให้บริการได้ เพราะ TCP Connection Queue เต็ม
การตรวจจับใน Wireshark ใช้ Filter tcp.flags.syn == 1 and tcp.flags.ack == 0 แล้วดูจำนวน SYN Packet ต่อวินาที ไปที่ Statistics > I/O Graphs แล้วตั้ง Display Filter เป็น SYN Packet จะเห็นกราฟที่พุ่งขึ้นผิดปกติ หรือใช้ Statistics > Endpoints เพื่อดู Source IP ที่ส่ง SYN มากที่สุด
DNS Tunneling
DNS Tunneling เป็นเทคนิคที่ Attacker ใช้ DNS Protocol ในการส่งข้อมูลผ่าน DNS Query และ Response โดยอาศัยข้อเท็จจริงที่ว่า DNS Traffic มักถูกอนุญาตให้ผ่าน Firewall ทำให้เป็นช่องทางที่ดีในการหลบเลี่ยงการตรวจจับ
การตรวจจับใน Wireshark ดู DNS Query Name ที่ยาวผิดปกติ มักมี Character ที่ดูเหมือน Base64 Encoded ดูปริมาณ DNS Traffic ที่มากผิดปกติ ดู TXT Record ที่มีขนาดใหญ่ ใช้ Statistics > DNS เพื่อดูสถิติ DNS Traffic ทั้งหมด
Zeek (Bro) สำหรับ Network Monitoring
Zeek คืออะไร
Zeek (เดิมชื่อ Bro) เป็น Network Security Monitor ที่ทำงานโดยการวิเคราะห์ Network Traffic แบบ Passive และสร้าง Log ที่มีโครงสร้างอย่างละเอียด Zeek แตกต่างจาก Wireshark ตรงที่ Zeek ไม่ได้ออกแบบมาเพื่อดู Packet ทีละตัว แต่ออกแบบมาเพื่อวิเคราะห์ Traffic ในภาพรวมและสร้าง Log ที่มีประโยชน์สำหรับงาน Forensics และ Monitoring
Zeek Logs ที่สำคัญสำหรับ Forensics
conn.log: บันทึกทุก Connection ที่เกิดขึ้น ประกอบด้วย Source/Destination IP, Port, Protocol, Duration, Bytes Transferred, Connection State ข้อมูลนี้เทียบเท่ากับ NetFlow แต่มีรายละเอียดมากกว่า
dns.log: บันทึกทุก DNS Query และ Response ที่เกิดขึ้น ประกอบด้วย Query Name, Query Type, Response Code, Response IP ใช้สำหรับตรวจจับ DNS Tunneling, DGA, C2 Communication
http.log: บันทึกทุก HTTP Transaction ประกอบด้วย Method, Host, URI, User-Agent, Status Code, Response Body Length ใช้สำหรับตรวจจับ Web Attack, Malware Download, C2 over HTTP
ssl.log: บันทึกทุก TLS/SSL Connection ประกอบด้วย Server Name (SNI), TLS Version, Cipher Suite, Certificate Subject, Certificate Issuer ใช้สำหรับตรวจจับ C2 over HTTPS, Self-signed Certificate, Expired Certificate
files.log: บันทึกทุกไฟล์ที่ถูก Transfer ผ่าน Network ประกอบด้วย Filename, MIME Type, File Size, MD5/SHA1 Hash ใช้สำหรับตรวจจับ Malware ที่ถูกดาวน์โหลด
notice.log: บันทึก Alert และ Notice ที่ Zeek ตรวจพบ เช่น Self-signed Certificate, SQL Injection Attempt, Large DNS Response
การใช้ Zeek วิเคราะห์ pcap File
Zeek สามารถวิเคราะห์ pcap File ที่มีอยู่แล้วได้ โดยใช้คำสั่ง zeek -r capture.pcap Zeek จะสร้าง Log Files ต่างๆ ในโฟลเดอร์ปัจจุบัน จากนั้นสามารถใช้ zeek-cut เพื่อดึง Field ที่ต้องการจาก Log เช่น cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration orig_bytes resp_bytes เพื่อดู Connection Summary
Packet Analysis สำหรับ Troubleshooting เครือข่าย
วิเคราะห์ Application ที่ช้า
เมื่อผู้ใช้งานร้องเรียนว่า Application ทำงานช้า Packet Analysis สามารถช่วยระบุสาเหตุได้อย่างแม่นยำ สิ่งที่ต้องดู ได้แก่
TCP Retransmission: ใช้ Filter tcp.analysis.retransmission เพื่อดู Packet ที่ต้องส่งซ้ำ ถ้ามี Retransmission มากแสดงว่ามีปัญหา Packet Loss อาจเกิดจาก Network Congestion, สาย LAN หรืออุปกรณ์เครือข่ายที่มีปัญหา
TCP Window Size: ใช้ Filter tcp.analysis.window_full หรือ tcp.analysis.zero_window เพื่อดู Window Size ที่เล็กเกินไป ถ้า Receiver Window เต็มหรือเป็นศูนย์ แสดงว่า Application ฝั่งรับไม่สามารถรับข้อมูลได้ทันอาจเกิดจาก CPU หรือ Memory ของ Server ไม่เพียงพอ
High Latency: ดู Time Delta ระหว่าง Request และ Response ถ้า Response Time สูงอาจเกิดจาก Server Processing Time ที่นาน หรือ Network Latency ที่สูง สามารถดูได้จาก Statistics > Service Response Time
TCP Reset: ถ้าเห็น RST จำนวนมาก อาจเกิดจาก Application Crash, Firewall Block หรือ Server Overload
วิเคราะห์ปัญหา Connectivity
เมื่อผู้ใช้งานไม่สามารถเชื่อมต่อ Service ได้ Packet Analysis ช่วยระบุจุดที่มีปัญหาได้ ตัวอย่างเช่น ถ้าเห็น SYN Packet ถูกส่งออกไปแต่ไม่มี SYN-ACK กลับมา แสดงว่า Packet ไม่ถึง Server หรือ Server ไม่ตอบ อาจเกิดจาก Firewall Block, Server Down หรือ Routing Problem ถ้าเห็น SYN-ACK กลับมาแต่ไม่มี ACK จาก Client แสดงว่าอาจมี Firewall บน Client ที่ Block Return Traffic ถ้าเห็น ICMP Destination Unreachable แสดงว่ามีปัญหา Routing
Wireshark Profiles และ Coloring Rules
Wireshark Profiles
Wireshark Profiles ช่วยให้คุณสร้างชุดการตั้งค่าที่แตกต่างกันสำหรับงานที่แตกต่างกัน เช่น Profile สำหรับ Forensics อาจมี Column Layout, Coloring Rules และ Filter Buttons ที่แตกต่างจาก Profile สำหรับ Troubleshooting
วิธีสร้าง Profile ใหม่ ไปที่ Edit > Configuration Profiles หรือคลิกขวาที่ Profile Bar ด้านล่างขวาของ Wireshark แนะนำให้สร้าง Profile ต่อไปนี้
Forensics Profile: เพิ่ม Column สำหรับ Source/Destination Country (ใช้ GeoIP), HTTP Host, DNS Query Name ตั้ง Coloring Rules สำหรับ Suspicious Traffic เพิ่ม Filter Buttons สำหรับ C2 Detection, Scanning, Exfiltration
Troubleshooting Profile: เพิ่ม Column สำหรับ TCP Window Size, Delta Time, Expert Info ตั้ง Coloring Rules สำหรับ Retransmission, Zero Window, RST เพิ่ม Filter Buttons สำหรับ Performance Analysis
Coloring Rules
Coloring Rules ช่วยให้มองเห็น Packet ที่สำคัญได้ทันที ไปที่ View > Coloring Rules เพื่อจัดการ แนะนำ Coloring Rules สำหรับ Forensics ดังนี้
สีแดงสำหรับ RST Packet และ TCP Errors (Filter tcp.analysis.flags), สีส้มสำหรับ Retransmission (Filter tcp.analysis.retransmission), สีเหลืองสำหรับ DNS ที่น่าสงสัย (Filter dns.qry.name.len > 50), สีม่วงสำหรับ ICMP (Filter icmp), สีเขียวสำหรับ HTTP 200 OK (Filter http.response.code == 200), สีฟ้าสำหรับ DNS (Filter dns)
Advanced Filters และ Statistics ใน Wireshark
Advanced Display Filters
นอกจาก Filter พื้นฐานแล้ว Wireshark ยังรองรับ Filter ขั้นสูงที่มีประโยชน์มากสำหรับ Forensics
Filter ด้วย Regular Expression: ใช้ matches operator เช่น http.host matches “.*\.ru$” เพื่อค้นหา HTTP Traffic ไปยัง Domain ที่ลงท้ายด้วย .ru
Filter ด้วย Contains: ใช้ contains operator เช่น tcp contains “password” เพื่อค้นหา Packet ที่มีคำว่า password อยู่ใน Payload (ใช้ได้เฉพาะ Unencrypted Traffic)
Filter ด้วย Time Range: ใช้ frame.time >= “2026-01-15 10:00:00” and frame.time <= "2026-01-15 11:00:00" เพื่อดู Traffic ในช่วงเวลาที่ระบุ
Filter Subnet: ใช้ ip.addr == 10.0.0.0/24 เพื่อดู Traffic ทั้ง Subnet
GeoIP Filter: ถ้าตั้งค่า GeoIP Database แล้ว สามารถใช้ ip.geoip.country == “China” เพื่อดู Traffic จาก/ไปยังประเทศที่ระบุ
Statistics ที่สำคัญสำหรับ Forensics
I/O Graphs: ไปที่ Statistics > I/O Graphs เพื่อดูปริมาณ Traffic ในรูปแบบกราฟ สามารถเพิ่มหลาย Graph พร้อมกันด้วย Filter ที่แตกต่างกัน เช่น Graph สำหรับ All Traffic, HTTP, DNS, SYN Packet เพื่อเปรียบเทียบ Pattern
Flow Graph: ไปที่ Statistics > Flow Graph เพื่อดู Packet Flow ระหว่าง IP ต่างๆ ในรูปแบบ Sequence Diagram ช่วยให้เห็นลำดับของ Packet อย่างชัดเจน
Expert Information: ไปที่ Analyze > Expert Information เพื่อดู Warning และ Error ทั้งหมดที่ Wireshark ตรวจพบ เช่น Retransmission, Out-of-Order, Zero Window, Malformed Packet ข้อมูลเหล่านี้ช่วยให้หาปัญหาได้เร็วขึ้น
HTTP Statistics: ไปที่ Statistics > HTTP เพื่อดูสถิติ HTTP Request ทั้งหมด แยกตาม Server, Request URI, Content Type ช่วยให้เห็นภาพรวมของ Web Activity
เครื่องมือเสริมสำหรับ Network Forensics
NetworkMiner
NetworkMiner เป็นเครื่องมือ Network Forensics ที่ออกแบบมาเพื่อ Extract ข้อมูลจาก pcap File โดยเฉพาะ สามารถ Extract Host Information, Images, Files, Credentials, Sessions, DNS, Parameters จาก pcap File ได้อัตโนมัติ มีทั้ง Free Version และ Professional Version
Arkime (Moloch)
Arkime (เดิมชื่อ Moloch) เป็นระบบ Full Packet Capture ที่ออกแบบมาสำหรับองค์กรขนาดใหญ่ สามารถจับและ Index Packet ได้ในปริมาณมหาศาล พร้อม Web Interface สำหรับค้นหาและวิเคราะห์ Traffic เหมาะสำหรับองค์กรที่ต้องการเก็บ Network Traffic ย้อนหลังเพื่อการสืบสวน
Suricata
Suricata เป็น IDS/IPS ที่สามารถวิเคราะห์ pcap File ได้เช่นกัน ใช้ Rule-based Detection ที่สามารถตรวจจับ Known Attack Signature ได้ ใช้ร่วมกับ Zeek เพื่อให้ได้ทั้ง Signature-based และ Behavior-based Detection
แนวทางปฏิบัติที่ดีสำหรับ Network Forensics
การเตรียมความพร้อมก่อนเกิดเหตุ
องค์กรควรเตรียมความพร้อมสำหรับ Network Forensics ก่อนที่จะเกิดเหตุการณ์ด้านความปลอดภัย ได้แก่
ติดตั้ง Network TAP หรือ SPAN Port ที่จุดสำคัญในเครือข่าย เช่น Core Switch, Internet Gateway, DMZ เพื่อให้สามารถจับ Packet ได้ทันทีเมื่อเกิดเหตุ
ติดตั้ง Full Packet Capture System เช่น Arkime หรือ Security Onion เพื่อบันทึก Network Traffic อย่างต่อเนื่อง โดยกำหนด Retention Policy ที่เหมาะสม เช่น เก็บ Metadata 90 วัน เก็บ Full Packet 30 วัน
ติดตั้ง Zeek เพื่อสร้าง Network Log อย่างต่อเนื่อง ข้อมูลจาก Zeek Log มีขนาดเล็กกว่า Full Packet Capture มาก ทำให้สามารถเก็บได้นานกว่า
ฝึกอบรมทีม SOC และ Incident Response ให้มีทักษะในการใช้ Wireshark, tcpdump, tshark และ Zeek เพื่อให้สามารถวิเคราะห์ Traffic ได้อย่างรวดเร็วเมื่อเกิดเหตุ
จัดทำ Standard Operating Procedure (SOP) สำหรับ Network Forensics ที่ครอบคลุมขั้นตอนการจับ Packet, การเก็บรักษาหลักฐาน, การวิเคราะห์ และการรายงาน
ข้อควรระวังในการทำ Network Forensics
การทำ Network Forensics มีข้อควรระวังหลายประการ เช่น ต้องได้รับอนุญาตก่อนจับ Packet เพราะการจับ Network Traffic อาจละเมิด Privacy ของผู้ใช้งาน ต้องปฏิบัติตามกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และ พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ต้องจัดเก็บหลักฐานอย่างถูกต้องตาม Chain of Custody ไฟล์ pcap อาจมีข้อมูลที่ละเอียดอ่อน เช่น Password, Credit Card Number ต้องจัดเก็บอย่างปลอดภัยและจำกัดการเข้าถึง
สรุป: ทักษะ Network Forensics ที่จำเป็นในปี 2026
Network Forensics เป็นทักษะที่สำคัญมากสำหรับ Network Engineer และ Security Professional ในปี 2026 การมีความสามารถในการวิเคราะห์ Packet จะช่วยให้คุณสามารถตรวจจับการโจมตีที่ซับซ้อน วิเคราะห์ปัญหาเครือข่ายได้อย่างแม่นยำ และสืบสวนเหตุการณ์ด้านความปลอดภัยได้อย่างมืออาชีพ
เครื่องมือที่ควรฝึกฝนเป็นอันดับแรก ได้แก่ Wireshark สำหรับการวิเคราะห์ Packet แบบ GUI ที่มีความละเอียดสูง, tcpdump สำหรับการจับ Packet บน Server ที่ไม่มี GUI, tshark สำหรับการวิเคราะห์แบบ Script และ Automation, Zeek สำหรับ Network Monitoring และการสร้าง Structured Log
สิ่งสำคัญที่สุดคือการฝึกฝนอย่างสม่ำเสมอ ลองหา pcap File ตัวอย่างจาก Malware Traffic Analysis (malware-traffic-analysis.net), PacketTotal, Wireshark Sample Captures มาฝึกวิเคราะห์ ลองท้าทายตัวเองด้วย CTF (Capture The Flag) ที่มี Network Forensics Challenge และลองตั้ง Lab ส่วนตัวเพื่อจับ Traffic จริงๆ มาวิเคราะห์ ยิ่งฝึกมากยิ่งเก่งเร็ว และทักษะนี้จะเป็นประโยชน์อย่างมากในอาชีพ IT ของคุณ
