El forense de redes tradicionalmente se ha aplicado a entornos cableados, y se ha enfocado a la versión 4 del protocolo de Internet (IP), y protocolos relacionados en la capa de red de la suite del protocolo TCP/IP. A continuación se detallan trabajos recientes en el forense de redes:

Esteganografía: Muchos atacantes utilizan formas “ligeras” de criptografía para dificultar el reconocimiento de rootkits o patrones de ataques, pues de otra manera serían fácilmente detectados por cualquier IDS.

La principal motivación proviene directamente de las limitaciones en los enfoques defensivos de la seguridad de las redes, como cortafuegos o sistemas para la detección de intrusiones. Estos puede abarcar los ataques solo desde la perspectiva de la prevención, detección y reacción. La perspectiva alterna del forense de redes se convierte en algo importante, pues involucra también un componente de investigación. El forense de redes asegura un atacante invierta más tiempo y energía cubriendo sus huellas, haciendo sus esfuerzos de ataque más costosos.

Los sistemas forenses para redes son clasificados en diferentes tipos, basados en diversas características.

Propósito: El Forense General de Red (GNF) se enfoca en mejorar la seguridad. Los datos del tráfico de red son analizados, y los patrones de ataque son descubiertos. El Forense Estricto de Red (SNF) involucra requerimientos legales rígidos, pues los resultados obtenidos serán utilizados como evidencia, para persecución de crímenes de red.

El Forense de redes trata con los diversos tipos de datos encontrados a través de las conexiones de redes, principalmente relacionado con el tráfico saliente y el tráfico entrante. El Forense de Redes intenta analizar los datos del tráfico registrado a través de los más diversos y variados tipos de dispositivos como cortafuegos (firewalls) y Sistemas para la Detección de Intrusión (Intrusion Detection System - IDS), o también en dispositivos de red como encaminadores (routers) o conmutadores (switches), entre otros.

El Módulo de nombre “auxiliary/scanner/dcerpc/tcp_dcerpc_auditor” incluido en Mestaploit Framework, permite determinar cuales servicios DCE RPC son factibles de ser accedidos sobre un puerto TCP. DCE/RPC son las siglas en idioma inglés de “Distributed Computing Environment / Remote Procedure Calls” o “Entorno para Computación Distribuida / Llamadas a Procedimientos Remotos”, es un sistema de llamadas a procedimientos remotos desarrollado por la DCE (Entorno para Computación Distribuida).

El módulo de nombre “auxiliary/scanner/dcerpc/management” incluido en Metasploit Framework, puede ser utilizado para obtener información desde la Interfaz de Gestión Remota del servicio DCE/RPC.

El módulo de nombre “auxiliary/scanner/dcerpc/endpoint_mapper” incluido en Metasploit Framework, puede ser utilizado para obtener información del servicio “Endpoint Mapper”. Un servicio RPC Endpoint Mapper, resuelve identificadores de interfaces RPC para transportar puntos de llegada. Si el servicio es detenido o deshabilitado, los programas utilizando servicios RPC no funcionarán adecuadamente..

El módulo de nombre “recon/credentials-credentials/bozocrack”, incluido en la herramienta Recon-NG, realiza una búsqueda en Google por el valor de un hash y prueba por una coincidencia, mediante la aplicación del hash a cada palabra en la página de resultados, utilizando todos los algoritmos de hashing soportados por la librería “hashlib”. La tabla de nombre “credentials” se actualizará con los resultados positivos.

El módulo de nombre “recon/contacts-contacts/mailtester” incluido en la herramienta Recon-NG, permite validar direcciones de correo electrónico, utilizando el sitio web mailtester .com. Este sitio web permite ingresar también manualmente direcciones de correo electrónico a través de su interfaz web, de tal manera se verifica luego si la dirección de correo electrónico existe o si existe algún problema con esta. Se realizan una serie de verificaciones sobre la dirección de correo electrónico ingresada, pero no se envía ningún mensaje de correo electrónico hacia la esta.

El módulo “recon/companies-domains/pen” incluido en la herramienta Recon-NG, permite dado un el nombre de una compañía o empresa, obtener un dominio desde la dirección de correo electrónico del contacto PEN (Private Enterprise Number) o Números Privados de Empresa de la IANA (Internet Assigned Numbers Authority), desde el registro PEN. El nombre de dominio es añadido a la tablas de nombre “domains” o “dominios” de Recon-NG.