Los desafíos del análisis forense de redesn puede ser elaborados y clasificados en base a las fases del modelo DFRWS.

Identificación: Los ataques deben identificarse instantáneamente y activar el proceso forense. Los eventos de red los cuales son maliciosos deben ser identificados. Ataques futuros y de día cero deben predecirse basándose en las características comunes de ataque. Los grupos de atacantes maliciosos tienen tipos comunes de herramientas para atacar, y las técnicas utilizadas con frecuencia.

Preservación: El tráfico de red es muy volátil (dinámico), por lo cual debe ser capturado y preservado inmediatamente, pues de otra maneras se pierde para siempre. Muchas herramientas para seguridad de red no producen valores hash de los datos capturados, o utilizan los mismos algoritmos hash resultando en inconsistencias. La integridad de los datos recolectados debe ser preservado para los datos capturados pasen procedimientos legales estrictos, y califiquen como evidencia en un juzgado.

Recolección: Capturar tráfico en tiempo real transmitido a través de redes de alta velocidad, sin paquetes de tráfico siendo descartados o perdidos, es un importante reto. La captura completa de paquetes resultará en una gran cantidad de datos. El proceso puede ser hecho eficientemente recolectando únicamente datos útiles. Los datos recolectados pueden ser reducidos filtrando los datos de acuerdo a reglas personalizadas para propósitos específicos. Los dispositivos de seguridad en red deben ser capaces de manejar formatos únicos de entradas, y producir diferentes formatos de salida. También deben facilitar sincronización el tiempo universal del tiempo mostrado en los diferentes formatos, y diferentes zonas horarias entre dispositivos.

Examen: Las capturas de paquetes son examinadas para identificar características del protocolo manipulado. Esta información es correlacionada con eventos de ataque, y el compromiso es validado. La validación de un ataque toma el proceso hacia la fase de investigación. Los paquetes son reorganizados dentro de conexiones individuales en la capa de transporte entre máquinas, y el comportamiento del ataque es analizado para reproducir el ataque.

Análisis: La tecnología para la encriptación de enlace y extremo a extremo, previene el tráfico de red capturado sea analizado. Los datos registrados desde diferentes localizaciones pueden dar consistencia al comportamiento del ataque. El análisis es la agregación de los conjuntos de datos, los cuales provienen desde múltiples fuentes, como cortafuegos, IDSs, y sniffers, pudiendo construir una cadena de pistas y mostrando la escena completa del crimen.

Presentación: Muchos dispositivos de seguridad no tienen la capacidad de analizar visualmente el tráfico de la red y registrar datos. La documentación necesita ser hecha para cada etapa, de tal manera se asegure todas las precauciones han sido tomadas, y no se hayan cometido violaciones a la privacidad.

Decisión (Investigación): Los métodos para el rastreo de una dirección IP pueden trazar un flujo constante de paquetes anónimos de Internet hacia su origen. Estos métodos no se basan en el conocimiento o la cooperación de los ISPs interviniendo en la ruta. El atacante puede lanzar el ataque en un corto lapso de tiempo, y utilizar únicamente algunos paquetes dificultando el proceso de rastreo.

Fuentes:

https://www.dfrws.org/conferences/dfrws-usa-2004/sessions/enhanced-digit...
https://www.researchgate.net/publication/224111950_Network_Forensics_Not...
https://www.riverpublishers.com/journal/journal_articles/RP_Journal_2245...