数据取证服务

联系我们

电话:13813813588 13773169980

地址:江苏省昆山市周市镇横长泾路555号002幢503室

企业微信

网络取证(network forensics

是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源

 

有以下两种方式:

 

1. “尽可能的捕捉”系统,在这个系统里面所有的包都经过一定的节点来捕获并把分析的结果按照批量方式写入存储器。这方式需要大量的储藏空间,通常都会用到RAID系统。

2. “停、看、听”系统,在这个系统里面每个包都经过基本的分析,只为将来的分析留下一些基本的信息。这方式对存储的需要比较小但是需要一个较快的处理器一边能够跟得上输入的数据流。

 

网络取证设备

1. 数据包捕获设备

 

数据包捕获设备是执行独立设备的数据包捕获。它可以部署在网络上的任何地方,然而通常地放置在网络的入口(即互联网连接)和关键设备比如包含敏感信息的服务器的前面。

通常来说,数据包捕获设备完全捕获和记录所有网络分组(报头和有效载荷),然而,一些设备可以被配置为基于用户可定义的过滤器捕获网络的业务的子集。

对于许多应用,特别是网络取证和事件响应,执行完整的分组捕获是很关键的,尽管过滤的数据包捕获设备可能有时被用于特定的,有限的信息收集目的

 

  •