What is Cyber Forensics ? Part 31 (Redundant Array of Independent Disks) (RAID) (FORENSICS)
What is Cyber Forensics ? Part 31
(Redundant Array of Independent Disks) (RAID) (FORENSICS) (Part 1)
=======================================
=======================================
RAID စနစ္ကုိ data မ်ားပ်က္စီးျခင္းမွကာကြယ္ႏုိင္ရန္နဲ႕ Performance ေကာင္းေစဖုိ႕ အတြက္ အဓိက ထားၿပီးအသုံးၿပဳၾကပါတယ္။ ကုိယ္လုပ္ကိုင္ေနတဲ့ အဖြဲ႕ အစည္း အသုံးၿပဳတဲ့ Data ေတြေပၚမူတည္ၿပီး Raid Level ေတြကုိ သတ္မွတ္ အသုံးၿပဳႏုိင္ပါတယ္။
Raid system မွာ အသုံးၿပဳတဲ့ နည္းပညာ ၃ ခုရွိရပါတယ္။ အဲဒါေတြကေတာ့ striping, mirroring, parity, နဲ႕ ေပါင္းစပ္အသုံးၿပဳျခင္းတုိ႕ျဖစ္ပါတယ္။
Raid system မွာ အသုံးၿပဳတဲ့ နည္းပညာ ၃ ခုရွိရပါတယ္။ အဲဒါေတြကေတာ့ striping, mirroring, parity, နဲ႕ ေပါင္းစပ္အသုံးၿပဳျခင္းတုိ႕ျဖစ္ပါတယ္။
Striping။
data ေတြကုိ Block Size အေနနဲ႕ ပိုင္းလုိက္ၿပီး Hard Disk ေတြမွာသြားၿပီး သိမ္းထားျခင္းျဖစ္ပါတယ္။ Block Size ကေတာ့ 32KB ကေန 128KB ,1 MB အသီးသီးရွိပါတယ္။data ေတြကုိ Block အေနနဲ႕ ပုိင္းၿပီး သိမ္းလုိက္ၿပီး array Member ေတြျဖစ္တဲ့ Hard disk တစ္ၿပဳိင္ထဲ သြားၿပီး သိမ္းတဲ့အတြက္ Read/Write Performance ပုိၿပီးေကာင္းပါတယ္။ ဒါေပမဲ့ Fault tolerance မရပါဘူး။
Mirroring
Data ေတြကုိ Array member ျဖစ္တဲ့ Hard disk ေတြေပၚမွာ သြားၿပီး တစ္ၿပဳိင္းတည္း သိမ္းထားျခင္းျဖစ္ပါတယ္။ A ဆုိတဲ့ File တစ္ခုထဲကုိ Hard disk 1 မွာေရာ Hard Disk 2 မွာေရာ သြားၿပီး Save ထားျခင္းျဖစ္ပါတယ္။ဒါေၾကာင့္ Fault tolerance ရွိပါတယ္။ Read Performance ေကာင္းပါတယ္။
Parity
Hard Disk မွာ Data ေတြကုိ သိမ္းထားရင္ 0 1 အေနနဲ႔ သိမ္းထားပါတယ္။ Parity စနစ္ကေတာ့ binary number ေတြျဖစ္တဲ့ 0 1 ေတြအား Xor ကုိ အသုံးၿပဳၿပီး Parity Data (information) ကေန Disk တစ္ခု fail ျဖစ္ရင္ Fault tolerance ရရွိေအာင္ လုပ္တာပါ။. Xor ကတူရင္ 0 မတုူရင္ 1
(disk 4 မွာ Parity information တြက္ခ်က္မႈ)
(disk 4 မွာ Parity information တြက္ခ်က္မႈ)
Disk 1 = 1 0 1 0
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------
when Disk 1 Fail <==== disk 4 က Parity information နဲ႔ ျပန္ Xor ပါမယ္။
Disk 1 = x x x x
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------
Result
Disk 1 = ၁ ၀ ၁ ၀
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
============================================
Software Raid = raid 0 (window 7 မွာ ခြဲႏုိင္)
raid 5 , raid 0 = window 8.1 and Window 10
Hardware Raid Controller = SCSI ,SATA, Fiber Channel
=============================================
raid 5 , raid 0 = window 8.1 and Window 10
Hardware Raid Controller = SCSI ,SATA, Fiber Channel
=============================================
RAID 0 (Striping ) (Block Size)
==============
- Raid 0 မွာ (Striping ) နည္းစနစ္သုံးထာပါတယ္။
- အနည္းဆုံး Same Size Hard Disk 2 လုံး လုိအပ္ပါတယ္။
တစ္ကယ္လုိ႕ HD တစ္လုံးက 500 GB ျဖစ္ၿပီး ေနာက္တစ္လုံးက
1000 GB ျဖစ္ေနရင္ အငယ္ဆုံး 500 GB hard disk ကုိ base
Storage device အျဖစ္ယူၿပီး ႏွစ္ခုေပါင္း 1000GB သာရရွိပါမယ္။
==============
- Raid 0 မွာ (Striping ) နည္းစနစ္သုံးထာပါတယ္။
- အနည္းဆုံး Same Size Hard Disk 2 လုံး လုိအပ္ပါတယ္။
တစ္ကယ္လုိ႕ HD တစ္လုံးက 500 GB ျဖစ္ၿပီး ေနာက္တစ္လုံးက
1000 GB ျဖစ္ေနရင္ အငယ္ဆုံး 500 GB hard disk ကုိ base
Storage device အျဖစ္ယူၿပီး ႏွစ္ခုေပါင္း 1000GB သာရရွိပါမယ္။
- Read/Write ျမန္ဆန္ပါတယ္။
- Fault tolerance မရႏုိင္ပါ။
- Fault tolerance မရႏုိင္ပါ။
RAID 1 (Mirroring )
==============
- Raid 1 မွာ Mirroring စနစ္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Size တူတဲ့ Hard Disk ၂ လုံးလုိအပ္ပါတယ္။
( Mirroring ျဖစ္လုိ႕ 500 GB 2 လုံးေပါင္းရင္ 1000 GB မရပါဘူး 500 GB သာရပါမယ္) ။ 500 တစ္လုံး 750 တစ္လုံးဆုိရင္လဲ 500 GB သာရပါမယ္။
- Read အပုိင္းမွာ ျမန္ဆန္ပါတယ္္။
- Fault tolerance ရွိပါတယ္။
- Fault tolerance = (N-1) HD 3 လုံးရွိမယ္ဆုိရင္ (3-1) အရ (2)လုံးထိ fail ျဖစ္လုိ႕ရပါသည္)
==============
- Raid 1 မွာ Mirroring စနစ္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Size တူတဲ့ Hard Disk ၂ လုံးလုိအပ္ပါတယ္။
( Mirroring ျဖစ္လုိ႕ 500 GB 2 လုံးေပါင္းရင္ 1000 GB မရပါဘူး 500 GB သာရပါမယ္) ။ 500 တစ္လုံး 750 တစ္လုံးဆုိရင္လဲ 500 GB သာရပါမယ္။
- Read အပုိင္းမွာ ျမန္ဆန္ပါတယ္္။
- Fault tolerance ရွိပါတယ္။
- Fault tolerance = (N-1) HD 3 လုံးရွိမယ္ဆုိရင္ (3-1) အရ (2)လုံးထိ fail ျဖစ္လုိ႕ရပါသည္)
RAID 5 (Striping with parity)
====================
- Raid 5 မွာ Striping စနစ္နဲ႕ Parity စနစ္တုိ႕ တြဲဖက္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Hard Disk 3 လုံးလုိအပ္ပါတယ္။
- Fault tolerance ရွိပါတယ္။
- Read အပိုင္းမွာ ျမန္ဆန္ပါတယ္။
- Available Space = (N-1) 500GB hard disk သုံးမယ္ဆုိရင္
(3-1) = 2 အရ 1000 GB သာရပါမယ္။ က်န္ 500 က party information အတြက္ပါ။
=============================================
====================
- Raid 5 မွာ Striping စနစ္နဲ႕ Parity စနစ္တုိ႕ တြဲဖက္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Hard Disk 3 လုံးလုိအပ္ပါတယ္။
- Fault tolerance ရွိပါတယ္။
- Read အပိုင္းမွာ ျမန္ဆန္ပါတယ္။
- Available Space = (N-1) 500GB hard disk သုံးမယ္ဆုိရင္
(3-1) = 2 အရ 1000 GB သာရပါမယ္။ က်န္ 500 က party information အတြက္ပါ။
=============================================
RAID 0 , RAID 1 , RAID 5 ကေတာ့ လက္ရွိမွာ အသုံးအမ်ားဆုံးျဖစ္ပါတယ္။ က်န္တဲ့ raid ေတြကေတာ့ striping, mirroring, parity, အစရွိတဲ့ စနစ္ေတြကုိ တြဲဖက္ အသုံးၿပဳတာျဖစ္ပါတယ္.။ ဒီသေဘာေတြနားလည္ရင္ အဆင္ေၿပပါတယ္။
============================================
HOW To Forensics RAID SYSTEM
============================================
- how to collect Evidence ကုိအစပုိင္းက ေရးထားၿပီးသားအတုိင္းပါ
============================================
HOW To Forensics RAID SYSTEM
============================================
- how to collect Evidence ကုိအစပုိင္းက ေရးထားၿပီးသားအတုိင္းပါ
- မိမိ စစ္ေဆးရမဲ့ ကြန္ပ်ဴတာ, Server က raid level ဘယ္ေလာက္နဲ့ခြဲထားတယ္ဆုိတာ သိထားရပါမယ္။ Raid 1 ကေတာ့ ကိစၥမရွိပါ ဘာလုိ႕လဲဆုိ raid 1 က Mirroring စနစ္ အသုံးၿပဳထားတဲ့ အတြက္ေၾကာင့္ပါ။ raid level ကုိ auto Detect ျဖစ္တဲ့ forensics နည္းေတြလဲရွိပါတယ္။
- Encase ကုိအသုံးၿပဳမယ္ဆုိရင္ SCSI drive ေတြကုိ auto သိၿပီး Volume တစ္ခုထဲအေနနဲ႕ ျမင္ရပါမယ္။ (Try to Image ......Hash.....load image and Recover If Need )
(image လုပ္ဖုိ႕ HD storage အခက္ခဲရွိတယ္ဆုိရင္ မိမိ Forensics station က SCSI တပ္ဆင္လုိ႕ရရပါမယ္။ Or SATA အပုိေတြပါရပါမယ္။
(image လုပ္ဖုိ႕ HD storage အခက္ခဲရွိတယ္ဆုိရင္ မိမိ Forensics station က SCSI တပ္ဆင္လုိ႕ရရပါမယ္။ Or SATA အပုိေတြပါရပါမယ္။
- Example အေနနဲ raid 5 ကုိ ၿပထားပါတယ္... ။ ပုံေတြကုိ ၀ါးရင္... Sorry ...
ဆက္ရန္ ...............................
ဆက္ရန္ ...............................
Comments