Los sistemas forenses para redes son clasificados en diferentes tipos, basados en diversas características.

Propósito: El Forense General de Red (GNF) se enfoca en mejorar la seguridad. Los datos del tráfico de red son analizados, y los patrones de ataque son descubiertos. El Forense Estricto de Red (SNF) involucra requerimientos legales rígidos, pues los resultados obtenidos serán utilizados como evidencia, para persecución de crímenes de red.

El Forense de redes trata con los diversos tipos de datos encontrados a través de las conexiones de redes, principalmente relacionado con el tráfico saliente y el tráfico entrante. El Forense de Redes intenta analizar los datos del tráfico registrado a través de los más diversos y variados tipos de dispositivos como cortafuegos (firewalls) y Sistemas para la Detección de Intrusión (Intrusion Detection System - IDS), o también en dispositivos de red como encaminadores (routers) o conmutadores (switches), entre otros.

El Módulo de nombre “auxiliary/scanner/dcerpc/tcp_dcerpc_auditor” incluido en Mestaploit Framework, permite determinar cuales servicios DCE RPC son factibles de ser accedidos sobre un puerto TCP. DCE/RPC son las siglas en idioma inglés de “Distributed Computing Environment / Remote Procedure Calls” o “Entorno para Computación Distribuida / Llamadas a Procedimientos Remotos”, es un sistema de llamadas a procedimientos remotos desarrollado por la DCE (Entorno para Computación Distribuida).

El módulo de nombre “auxiliary/scanner/dcerpc/management” incluido en Metasploit Framework, puede ser utilizado para obtener información desde la Interfaz de Gestión Remota del servicio DCE/RPC.

El módulo de nombre “auxiliary/scanner/dcerpc/endpoint_mapper” incluido en Metasploit Framework, puede ser utilizado para obtener información del servicio “Endpoint Mapper”. Un servicio RPC Endpoint Mapper, resuelve identificadores de interfaces RPC para transportar puntos de llegada. Si el servicio es detenido o deshabilitado, los programas utilizando servicios RPC no funcionarán adecuadamente..

El módulo de nombre “recon/credentials-credentials/bozocrack”, incluido en la herramienta Recon-NG, realiza una búsqueda en Google por el valor de un hash y prueba por una coincidencia, mediante la aplicación del hash a cada palabra en la página de resultados, utilizando todos los algoritmos de hashing soportados por la librería “hashlib”. La tabla de nombre “credentials” se actualizará con los resultados positivos.

El módulo de nombre “recon/contacts-contacts/mailtester” incluido en la herramienta Recon-NG, permite validar direcciones de correo electrónico, utilizando el sitio web mailtester .com. Este sitio web permite ingresar también manualmente direcciones de correo electrónico a través de su interfaz web, de tal manera se verifica luego si la dirección de correo electrónico existe o si existe algún problema con esta. Se realizan una serie de verificaciones sobre la dirección de correo electrónico ingresada, pero no se envía ningún mensaje de correo electrónico hacia la esta.

El módulo “recon/companies-domains/pen” incluido en la herramienta Recon-NG, permite dado un el nombre de una compañía o empresa, obtener un dominio desde la dirección de correo electrónico del contacto PEN (Private Enterprise Number) o Números Privados de Empresa de la IANA (Internet Assigned Numbers Authority), desde el registro PEN. El nombre de dominio es añadido a la tablas de nombre “domains” o “dominios” de Recon-NG.

El módulo “recon/companies-contacts/pen” incluido en la herramienta Recon-NG, permite dado un el nombre de una compañía o empresa, obtener los contactos PEN (Private Enterprise Number) o Números Privados de Empresa de la IANA (Internet Assigned Numbers Authority), desde el registro PEN. El nombre completo del contacto y su dirección de correo electrónico, son luego añadidas hacia la tabla de nombre “contacts” o “contactos” de Recon-NG.

El módulo “auxiliary/gather/shodan_honeyscore” incluido en Metasploit Framework, utiliza el API (Application Programming Interface) de Shodan, para verificar si un servidor es un HoneyPot o no. Un Honeypot es un mecanismo configurado para detectar, desviar, o de alguna contrarrestar los intentos de uso no autorizado de los sistemas El API devuelve una puntuación desde 0.0 hasta 1.0, para el host en evaluación. Es necesario configurar la llave API de Shodan para este módulo funcione adecuadamente. Si no se tiene una llave API se puede optar por crear una cuenta libre en Shodan.