Forensische netwerksniffer
NetworkMiner is in wezen een netwerksniffer maar met een specifieke twist: de voornaamste bedoeling is in het netwerkverkeer allerlei informatie op te vissen, zoals gebruikte besturingssystemen, hostnamen, open poorten, enz. Of, zoals het makers zelf de tool omschrijven: een Network Forensics Analysis Tool (NFAT).
Zoals het een forensische tool betaamt, is het een ‘passieve’ sniffer, wat inhoudt dat het programma zelf geen data op het netwerk gaat plaatsen zodat de omgeving ‘clean’ blijft met het oog op forensisch onderzoek.
Overigens kan NetworkMiner ook Pcap-bestanden parsen, afkomstig van andere netwerksniffers – de betaalde Professional-versie kan ook overweg met de nieuwere PcapNG-bestanden (maar er bestaan wel gratis converters die PcapNG omzetten naar het Pcap-formaat). Het is trouwens ook mogelijk de Pcap-bestanden over een TCP-socket te ontvangen. Dat kan bijvoorbeeld door zo’n pcap-bestanden met behulp van Netcat te kanaliseren naar de juiste pc. Hoe je dit precies aanpakt, lees je hier.
Wanneer je het programma opstart en data ‘live’ van het netwerk wil plukken, moet je logischerwijze eerst de gewenste netwerkadapter selecteren, waarna je de data kunt capteren. Alle gevonden data wordt dan uitgesplitst over diverse tabbladen, waaronder Hosts, Frames, Files, Images, Sessions, DNS, Cleartext, enz.
Op het tabblad Hosts vind je een overzicht terug van alle hosts die bij het opgeviste netwerkverkeer betrokken zijn, zowel binnen als buiten je eigen LAN. Deze lijst met hosts kun je op diverse manieren gaan sorteren, waaronder alfabetisch, op basis van het IP-adres, MAC-adres, de hoeveelheid verstuurde of ontvangen pakketten of bytes, enz.
Op het tabblad Frames dan weer vind je een chronologisch overzicht van de dataframes terug, inclusief bron- en doel-IP en –poorten. Verwacht hier echter geen protocol-analyse zoals je die bijvoorbeeld bij het populaire Wireshark te zien krijgt. Het tabblad Cleartext legt data bloot die in ‘leesbare vorm’ over het netwerk worden verstuurd, maar hier missen we wel een geïntegreerde zoekfunctie.
NetworkMiner is, zoals alle netwerksniffers, bedoeld voor wat gevorderde gebruikers die de gecapteerde data correct weten te interpreteren. Enerzijds maakt de manier waarop de data worden gepresenteerd het forensisch onderzoekers makkelijker maar anderzijds is het programma lang niet zo flexibel of gedetailleerd als Wireshark.
NetworkMiner is in wezen een netwerksniffer maar met een specifieke twist: de voornaamste bedoeling is in het netwerkverkeer allerlei informatie op te vissen, zoals gebruikte besturingssystemen, hostnamen, open poorten, enz. Of, zoals het makers zelf de tool omschrijven: een Network Forensics Analysis Tool (NFAT).
Zoals het een forensische tool betaamt, is het een ‘passieve’ sniffer, wat inhoudt dat het programma zelf geen data op het netwerk gaat plaatsen zodat de omgeving ‘clean’ blijft met het oog op forensisch onderzoek.
Overigens kan NetworkMiner ook Pcap-bestanden parsen, afkomstig van andere netwerksniffers – de betaalde Professional-versie kan ook overweg met de nieuwere PcapNG-bestanden (maar er bestaan wel gratis converters die PcapNG omzetten naar het Pcap-formaat). Het is trouwens ook mogelijk de Pcap-bestanden over een TCP-socket te ontvangen. Dat kan bijvoorbeeld door zo’n pcap-bestanden met behulp van Netcat te kanaliseren naar de juiste pc. Hoe je dit precies aanpakt, lees je hier.
Wanneer je het programma opstart en data ‘live’ van het netwerk wil plukken, moet je logischerwijze eerst de gewenste netwerkadapter selecteren, waarna je de data kunt capteren. Alle gevonden data wordt dan uitgesplitst over diverse tabbladen, waaronder Hosts, Frames, Files, Images, Sessions, DNS, Cleartext, enz.
Op het tabblad Hosts vind je een overzicht terug van alle hosts die bij het opgeviste netwerkverkeer betrokken zijn, zowel binnen als buiten je eigen LAN. Deze lijst met hosts kun je op diverse manieren gaan sorteren, waaronder alfabetisch, op basis van het IP-adres, MAC-adres, de hoeveelheid verstuurde of ontvangen pakketten of bytes, enz.
Op het tabblad Frames dan weer vind je een chronologisch overzicht van de dataframes terug, inclusief bron- en doel-IP en –poorten. Verwacht hier echter geen protocol-analyse zoals je die bijvoorbeeld bij het populaire Wireshark te zien krijgt. Het tabblad Cleartext legt data bloot die in ‘leesbare vorm’ over het netwerk worden verstuurd, maar hier missen we wel een geïntegreerde zoekfunctie.
NetworkMiner is, zoals alle netwerksniffers, bedoeld voor wat gevorderde gebruikers die de gecapteerde data correct weten te interpreteren. Enerzijds maakt de manier waarop de data worden gepresenteerd het forensisch onderzoekers makkelijker maar anderzijds is het programma lang niet zo flexibel of gedetailleerd als Wireshark.