Las herramientas para el forense de redes permiten vigilar redes, obtener información sobre el tráfico, y asistir en una investigación criminal en la red. Las herramientas forenses ayudar a analizar robos internos, inadecuada utilización de recursos, predecir objetivos de ataque, realizar evaluación de riesgo, evaluar el desempeño de la red, y proteger propiedad intelectual. Las herramientas forenses pueden capturar el tráfico completo de la red, permitiendo analizar el tráfico de la red de acuerdo a necesidades específicas, y descubrir características significativas sobre el tráfico. Las herramientas forenses hacen sinergia con las herramientas para la detección de intrusión y cortafuegos, preservando a largo plazo los registros para el tráfico de red, de tal manera se realice un análisis rápido. Estas herramientas son denominadas Herramientas para Análisis Forense de Red (NFAT).

Algunas herramientas forenses disponibles proporcionan adquisición de datos fiables y capacidades poderosas de análisis. Existen muchas otras herramientas de fuente abierta para la vigilancia y seguridad de red (NSM), las cuales fueron desarrolladas para proporcionar seguridad de red. No están diseñadas con la consideración de obtener y procesar evidencia. Sin embargo, pueden ser utilizadas para ayudar en actividades específicas del análisis forense.

Se pueden categorizar estas herramientas NSM en cinco categorías distintas según su funcionalidad, es decir, herramientas para la evaluación de vulnerabilidades, herramientas sniffer de red y para el análisis de paquetes, herramientas para el escaneo de la red, herramientas para la vigilancia de la red, y sistemas para la prevención de intrusión (IDS).

Fuentes:

https://www.forensicswiki.org/wiki/Network_forensics
https://www.forensicswiki.org/wiki/Tools:Network_Forensics