網絡取證核心原理與實踐（一）

1、常見的各類網絡設備：

1. 物理線纜：

   提供局域網中各臺主機與交換機之間、以及交換機與路由器之間的鏈接。通常是同軸的雙絞線（TP）或同軸電纜。

2. 無線網絡空口：

   相似於集線器，廣播全部收到的信號。

3. 交換機：

   把局域網連在一塊兒的粘合劑，他們是多端口的網橋，能夠在物理上把多臺主機或網橋鏈接成局域網。

4. 路由器：

   把不一樣的子網或網絡鏈接在一塊兒，並能便捷地在不一樣網段傳輸數據包。

5. DHCP服務器：

   動態主機分配協議，是一種使用很是普遍的爲局域網中主機分配IP地址的機制，使主機能和局域網中的其餘主機通訊，同時也使得跨網絡的通訊成爲可能。

6. 域名服務器：

   域名系統（DNS）能把IP地址與分配給系統和網絡的易於記憶的名字一一對應起來的機制。

7. 登陸認證服務器：

   設計用來爲單位裏的員工提供集中式登陸認證服務，員工的帳號能夠在一個地方統一管理。

8. 網絡入侵檢測/防護系統（NIDS）或網絡入侵防護系統（NIPS）：

   實時監控網絡流量.

9. 防火牆：

   一種特殊的路由器，對網絡流量進行更深刻的檢查，以便作出更智能的決定，容許哪些流量經過或阻止哪些流量不能經過。決定的依據不止源和目的IP地址，還包括數據包中的內容、端口號，以及封裝數據使用的協議等。現代防火牆有詳盡的日誌記錄功能，並且兼有基礎設置防禦設備和至關有用的IDS的功能。

   經過配置，防火牆能在阻止或放行流量、在系統配置發生變化、出錯和其餘許多事件產生時生成警告或日誌。

10. web代理：

    首先，能經過在本地緩存web頁面來改善網絡性能；其次，能記錄、檢查、過濾（相關用戶）上網產生的流量。

11. 應用服務器：

    常見：數據庫服務器、web服務器、電子郵件服務器、網絡聊天服務器、視頻郵件服務器。

12. 中央日誌服務器：

    聚集了來自登陸認證服務器、web代理、防火牆等許多源的事件日誌。

 

2、利用OSI模型分析web衝浪場景：

web瀏覽器——應用層：在地址欄輸入URI敲擊回車之後，向本地DNS服務器發送DNS請求，以便把搜索引擎的URI轉化成一個IP地址。

 

得知源端IP地址後，本地計算機向指定的遠程web服務器的IP地址發送一個HTTP「GET」請求（第七層）。

爲了把這個請求發送給目標web服務器，此web服務器須要把第七層的請求傳遞給操做系統，操做系統會把這些數據分別放在幾個數據包裏，並加上TCP頭（第四層傳輸層）。TCP頭上包含了web客戶端必須提供的源端口、服務器監聽的目標端口TCP80，以及其餘實現第四層鏈接所必需的信息。

 

接下來，操做系統再加上一個IP頭（第三層網絡層），其中描述了源和目標端點的IP地址，這樣流量才能在互聯網各子網間被合理地路由和傳遞。以後每一個數據包都會被編爲攜帶802.11信息的幀，以便在無線局域網中傳輸（第二層數據鏈路層）。最後，整個幀都會被調製成無線電射頻信號RF（第一層物理層）發送出去。

 

本地無線接入點（WAP）接收到RF傳遞的信息後，去掉802.11頭，換成一個新的第二層頭，而後WAP將會經過線纜（第一層物理層），把整個幀傳送給下一個站點。下一個站點將會是一個路由器，還會替換第二層信息，而後繼續經過線纜把幀發送給它的下一跳。這一過程會一直重複下去，知道數據包到達它的終點——遠端web服務器

在目的端，處理的過程正好反過來。目標服務器經過線纜（第一層物理層）連上網，接收到的一系列電壓變化。

服務器上的網卡會把電壓變化解析成以太網幀（第二層數據鏈路層），在去掉第二層的頭部之後，把它發送給操做系統。

操做系統看到的是含有它自身IP地址的IP包（第三層網絡層），OS將會去掉IP包的包頭，並解析TCP包頭中的信息（第四層傳輸層）。

TCP包頭中包含了目標端口以及其餘的一些信息。而後OS會尋找是哪一個進程監聽了這個目標端口，當它發現是web服務器時，它就會去掉TCP包頭，並把載荷提交給目標web服務進程（第七層應用層）。