×
ข้ามไปยังเนื้อหาหลัก

การใช้ Packet Replay สำหรับ Network Forensics บน NGAF

ปรับปรุงเมื่อ

Packet Replay เป็นเครื่องมือ Built-in บน Sangfor NGAF / Network Secure ที่ใช้ Replay (เล่นซ้ำ) Packet ที่ Capture ไว้ก่อนหน้า เพื่อใช้สำหรับงาน Network Forensics และการ Verify ระบบ Security เช่น ทดสอบว่า Policy / IPS / Anti-virus ทำงานถูกต้องหรือไม่ โดยไม่ต้องรอให้เกิด Attack จริง

การเข้าใช้งาน

ไปที่เมนู System > Troubleshooting > Packet Replay

หน้า Packet Replay บน NGAF แสดง Entries panel, Configuration Instructions, Replay Targets diagram (HTTP Process Analysis, Cryptomining, Phishing, Virus from Files, Visual Display, Security Logs, Hacking) และ Highlights

หลักการทำงาน

Packet Replay จะ Replay Packet ผ่าน Virtual NIC ภายในอุปกรณ์ เพื่อไม่ให้กระทบกับ Business Traffic จริงบน Network โดย Packet ที่ Replay จะถูกส่งเข้า Module ต่าง ๆ ของ Firewall เพื่อให้เกิด Security Event เหมือนกับการเจอ Traffic จริง

Replay Target ที่รองรับ

หลังจาก Upload Packet File แล้ว สามารถเลือก Replay Target ได้ดังนี้:

  • HTTP Process Analysis — วิเคราะห์การประมวลผล HTTP Traffic
  • Cryptomining — ทดสอบการตรวจจับ Cryptomining
  • Phishing — ทดสอบการตรวจจับ Phishing
  • Virus from Files — ทดสอบการตรวจจับ Virus จากไฟล์
  • Visual Display File — แสดงผลเชิงภาพของ Traffic
  • Security Logs — สร้าง Security Log จาก Packet ที่ Replay
  • Hacking — ทดสอบการตรวจจับ Hacking / Attack

ขั้นตอนการใช้งาน

Step 1. เตรียมไฟล์ Packet (.pcap) ที่ต้องการ Replay บน PC ของท่าน หรือ Download Sample Packets จากในหน้าจอ Packet Replay เพื่อใช้ทดสอบ

Step 2. กด Upload เพื่ออัปโหลด Packet File เข้าไปในระบบ Sample File ที่อัปโหลดจะปรากฏใน Entries ด้านซ้าย

Step 3. เลือก Sample File ที่ต้องการ Replay แล้วเลือก Replay Target ตามวัตถุประสงค์

Step 4. กด Replay ระบบจะส่ง Packet ผ่าน Virtual NIC เข้าสู่ Module ของ Firewall

Step 5. ตรวจสอบผลลัพธ์ที่ Module ปลายทาง เช่น ดู Security Logs เพื่อยืนยันว่า Event ถูกตรวจจับและบันทึก

กรณีใช้งานที่เหมาะสม

  • Quickly collect security events — สร้าง Security Event ตัวอย่างเพื่อเก็บข้อมูลอย่างรวดเร็ว โดยไม่ต้องรอ Attack จริง
  • Reproduce security events — จำลอง Event ที่เคยเกิดขึ้นเพื่อวิเคราะห์ซ้ำหรือ Verify การแก้ไข
  • Perform custom tests — ทดสอบ Policy / Rule ที่กำหนดเองด้วย Packet ที่ Customize ได้
  • Network Forensics — Replay Attack Traffic ที่ Capture ไว้เพื่อวิเคราะห์เชิงนิติเทคโนโลยี

หมายเหตุ

  • Packet Replay ใช้ Virtual NIC เท่านั้น ทำให้ Traffic ที่ Replay ไม่ออกไปบน Network จริงและไม่กระทบกับ Business Traffic — แต่ Virtual NIC มีข้อจำกัดด้าน Hardware และ Bandwidth
  • ควรเตรียม Packet File บน Local Computer ก่อน Upload หรือใช้ Sample Packets ที่ระบบมีให้
  • ใช้ Packet Replay ร่วมกับ Packet Capture ได้ — Capture Traffic ที่สนใจไว้ก่อน แล้วใช้ Packet Replay เพื่อเล่นซ้ำในสภาพแวดล้อมทดสอบ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น