Show simple item record

Framework for Captured Network Communication Processing

dc.contributor.advisorRyšavý, Ondřejen
dc.contributor.authorPluskal, Janen
dc.date.accessioned2020-06-23T08:18:39Z
dc.date.available2020-06-23T08:18:39Z
dc.date.created2014cs
dc.identifier.citationPLUSKAL, J. Framework for Captured Network Communication Processing [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014.cs
dc.identifier.other128385cs
dc.identifier.urihttp://hdl.handle.net/11012/188800
dc.description.abstractPráce pojednává o možnostech získávání dat a jejich analýzy ze zachycené síťové komunikace. Jsou zhodnoceny možnosti aktuálně dostupných řešení jednotlivých nástrojů i celých prostředí pro síťovou forenzní analýzu. Provedením analýzy těchto nástrojů byly zjištěny nedostatky, pro které není možná integrace již hotových řešení pro záměry projektu SEC6NET, a dále byly stanoveny cíle, které navržené řešení musí splňovat. Na základě cílů a znalostí z předchozích prototypů řešení byla provedena dekompozice problému na jednotlivé funkčně související bloky, které byly implementovány jako nezávislé moduly schopny spolupráce. Správná funkcionalita je po každé změně v implementaci testována pomocí sad Unit testů, které pokrývají majoritní část kódu. Před zahájením samotného vývoje bylo nutné zhodnotit aktuální situaci v komerčních i open-source sférách řešení. Srovnání nástrojů používaných pro forenzní síťovou analýzu nám dalo jasnou představu, na kterou část trhu chce naše řešení směřovat a jaká funkčnost je v jednotlivých nástrojích nepříliš povedená. Následně byly stanoveny hlavní požadavky a směr, kterým by se měl vývoj ubírat. Na začátku vývoje rekonstrukčního frameworku stála fáze vytvoření návrhu architektury a dekompozice průběhu zpracování zachycené komunikace do ucelených částí jednotlivých modulů. Využití předchozích znalostí a zkušeností získaných vývojem rekonstrukčního nástroje Reconsuite nám pomohlo při formování fronty zpracování, kterou budou data při zpracování procházet. Následně byly navrženy základní komponenty provádějící práci se zachycenou komunikací v různých formátech PCAP souborů, rozdělení komunikace na konverzace, provedení defragmentace na úrovni IP a v případě komunikace TCP provedení reassemblingu daných toků. V rané části vývoje jsme se zaměřili na komunikaci zapouzdřenou v nízkoúrovňových protokolech Ethernet, IPv4/IPv6, TCP a UDP. Po definici rozhraní komponent bylo nutné provést další výzkum síťových protokolů a vytvoření algoritmů pro jejich zpracování ze zachycené komunikace, která se liší od standardní a není tedy možné ji zpracovávat dobře známými postupy z RFC či jader operačních systémů. Protože proces zpracování zachycených dat se na komunikaci přímo nepodílí, tak v případě, kdy dojde ke ztrátě či poškození při zachycení, nebo je komunikace směřována jinou cestou, atd., není možné data získat pomocí znovu zasílání, ale je nutné využít jiné mechanismy k označení či obnově takto chybějících dat - algoritmus provádějící IP defragmentaci a TCP reassembling. Po implementaci a otestování byl zjištěn problém se separací jednotlivých TCP toků (TCP sessions), který nebylo možné řešit původním návrhem. Po analýze tohoto problému byla změněna architektura procesní pipeline s výsledným zvýšením počtu rekonstruovaných dat v desítkách procent. V závěrečné fázi je popsána metodologie jakou bylo porvedeno testování výkonu implementovaného řešení a srovnání s již existujícími nástroji. Protože rekonstrukce aplikačních dat je příliš specifická záležitost, při srovnání výkonu byla měřena rychlost zpracování a potřebná paměť pouze při provádění separace toků, IPv4 defragmentace a TCP reassemblingu, tedy operace společné pro všechny rekonstrukční nástroje. Srovnání ukázalo, že Netfox.Framework předčí své konkurenty Wireshark i Network monitor v rychlosti zpracování, tak v úspoře paměti. Jako testovací data byl použit jak generovaný provoz, tak i vzorky reálné komunikace zachycené v laboratorním prostředí.en
dc.description.abstractThis thesis discusses network forensic data analysis possibilities, together with data mining methods to extract data from an intercepted communication. Applicability of commonly available (open-source and proprietary) tools and whole frameworks is evaluated and basic requirements for complex analysis tool are stated based on that review. Using experiences gained in the past experimentation with prototypes, functionally related components were designed based on a Divide and Conquer methodology. Components were implemented as autonomous modules that are able to cooperate each one with another. By committing series of tests some deficiencies were identified in processing of non-standard data captures that were fixed by improvement of reconstruction algorithms. The basic functionality of individual components are validated using UnitTests with more then major code coverage. Finally, the performance of capture processing was benchmarked and compared to similar oriented tools.cs
dc.language.isoencs
dc.publisherVysoké učení technické v Brně. Fakulta informačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectLawful interceptioncs
dc.subjectnetwork forensic framework analysiscs
dc.subjectNetfox.Frameworkcs
dc.subjectNetfox.Detectivecs
dc.subjectNPlangCompilercs
dc.subjectTCP reassemblingcs
dc.subjectZákonný odposlechen
dc.subjectprostředí pro analýzu síťového provozuen
dc.subjectNetfox.Frameworken
dc.subjectNetfox.Detectiveen
dc.subjectNPlangCompileren
dc.subjectTCP znovu sestavení tokůen
dc.titleFramework for Captured Network Communication Processingen
dc.title.alternativeFramework for Captured Network Communication Processingcs
dc.typeTextcs
dcterms.dateAccepted2014-06-25cs
dcterms.modified2020-06-01-09:43:31cs
thesis.disciplinePočítačové sítě a komunikacecs
thesis.grantorVysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémůcs
thesis.levelInženýrskýcs
thesis.nameIng.cs
sync.item.dbid128385en
sync.item.dbtypeZPen
sync.item.insts2020.06.23 10:18:39en
sync.item.modts2020.06.23 08:57:23en
eprints.affiliatedInstitution.facultyFakulta informačních technologiícs
dc.contributor.refereeVeselý, Vladimíren
dc.description.markAcs
dc.type.drivermasterThesisen
dc.type.evskpdiplomová prácecs
but.committeeprof. Ing. Miroslav Švéda, CSc. (předseda) doc. RNDr. Pavel Smrž, Ph.D. (místopředseda) doc. Dr. Ing. Otto Fučík (člen) Mgr. Lukáš Holík, Ph.D. (člen) Prof. Ing. Pavol Návrat, Ph.D. (člen) doc. Ing. Ondřej Ryšavý, Ph.D. (člen)cs
but.defenceStudent nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: Jaké změny by framework vyžadoval, aby podporoval jiné transportní protokoly zajišťující spolehlivé spojení jako např. SCTP či MPTCP?cs
but.resultpráce byla úspěšně obhájenacs
but.programInformační technologiecs
but.jazykangličtina (English)


Files in this item

Thumbnail
Thumbnail

This item appears in the following Collection(s)

Show simple item record