网络取证方式及案例分析[权威资料].docVIP

网络取证方式及案例分析

摘要2001年数字取证研究工作组DFRWS(DigitalForensicResearchWorkshop)会议，明确将网络取证作为4个主题之一进行讨论，但网络取证绝不只是对网络数据流进行分析，因为对网络数据流分析的前提是必须捕捉到网络数据包，无论是实时捕捉，还是曾经捕捉，都只是对数据包的分析，因此，本文对其进行研究，并且进行案例分析。

关键词网络取证数据犯罪

作者简介:王鸿南、陈超，江苏省苏州市公安局吴中分局，助理工程师，研究方向:电子物证检验。

D920.5ADOI:10.19387/ki.1009-0592.2017.01.309

一、网络取证方式

网络取证包括2种方式:1.“catchitasyoucan”

(尽可能地捕捉)。这种方式中所有的数据包都通过节点来捕获，并将报文全部保存下来，形成一个完整的,W络数据流记录，把分析的结果按照批量方式写入存储器。这种方式能保证系统不丢失任何潜在的信息，最大限度地恢复黑客攻击时的现场，但对系统存储容量的要求非常高，通常会用到独立冗余磁盘阵列(RAID)系统。2.“stoplookandlisten”(停、看、听)。这种方式中每个包都经过基本的分析，为以后的分析留下基本信息，对存储的要求比较小，但需要一个较快的处理器，以便速度能跟得上输入的网络

流。这种方式能减少系统存储容量的需求，但有可能丢失一些潜在的信息，同时过滤进程还会增加系统负荷。

以上只是对取证的方式进行了简单的理论描述。在实际工作中，具体的表现形式为:局域网网络取证，无线网络

取证，3G网络取证，离线网络取证，加密HTTPS/SSL网络取证，网络电话VOIP,Z音取证，海量数据取证等等。

当前取证所涉及的TCP/IP通讯协议大约有140多种，各种网络模式下的取证思路:

(一)局域网网络取证

局域网是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。

那么我们取证的思路就放在对进行数据转发的设备:交换机上。局域网内部，某两个子网之间的信息交换都要通过交换机来进行。我们就需要对交换机上的端口进行监听。把监听软件布置在侦听端口(也就是镜像模式)上面进行数据获取。

(二)无线网络取证

所谓无线网络，既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术，与有线网络的用途十分类似，最大的不同在于传输媒介的不同，利用无线电技术取代网线，可以和有线网络互为备份。

无线网络与有线网络的区别:1.传输媒介不同;2.传输方式不同。

传输媒介:数据包通过无线信号在接入点中进行传输。传输方式:可以加密传输，也可以开放式传输(都通过广播式下发)。

那么我们取证的思路:由于无线传输是通过小的AP向周围进行广播数据，所以我们要做的就是进入这个无线网络当中去，然后就可以对这个无线网络的数据进行前期的取证。

有人会问，如何进入到这个无线网络中去。无线网络加密分为两大种:WEP和WPA。WEP密钥破解成功率在100%，基本上是5分钟左右。WPA密钥破解的成功率在40%。

(三)加密HTTPS/SSL网络取证

此种取证的思路就是利用“中间人攻击法”来进行。这是一种主动取证方法。中间人攻击可以改变正常的通讯流，相当于会话双方之间的一个透明代理，可以得到一切想知道的信息。甚至是利用一些有缺陷的加密协议来控制双方的通信。这样我们就可以获得我们想要的证据。

(四)网络电话(VOIP)语音取证

VoIP(网络电话):是一种透过互联网或其他使用IP技术的网路，来实现新型的电话通讯。本质上看，这种电话技术也要通过网络进行传输，所以取证的思路就是对该网络上的数据包进行获取和还原。

(五)离线网络取证

离线网络取证:适用于在取证现场，没有合适可用的取证工具时使用。这时就可以利用可用的抓包工具，先将网络中的数据包获取并存储起来，然后再回到实验室，对数据进行还原。这就需要一个解析还原平台，在这个平台上可以把机器数据代码转换为我们能够看懂的信息，常用于调查工作后期的取证。

(六)海量数据取证

在讲解海量数据取证前，先介绍一下电子发现的概念。电子发现(e-Discovery)，是提取大量电子数据(被用于民事或刑事案件中作为一种可信证据)时的一种手段。这种手段通常是在对计算机(群)进行脱机或者在特定的网络上完成的。

为什么如今“电子发现”作为一种重要的手段在案件中被广泛运用呢,因为数字数据的性质使得它极其适合调查。一方面，数字数据可以电子检索，而纸质文件，