亿动网
在今天的数字世界中,获取有关设备位置、互联网服务提供商 (ISP) 和网络连接等设备信息的必要性越来越高。无论是用于网络安全目的、地理定位服务还是市场研究,IP 查询器已成为获取这些信息的宝贵工具。
IP 查询器如何工作?
IP 查询器是一种在线工具,通过传入的 IP 地址查找有关设备的重要详细信息。当您在 IP 查询器中输入 IP 地址时,它会连接到公共数据库,从中获取与该 IP 地址相关联的信息。这些数据库包含来自 ISP、路由器和 DNS 服务器等不同来源的数据。
IP 查询器可提供哪些信息?
IP 查询器可提供大量有关设备及其网络连接的信息,包括:
- 设备位置:包括国家、城市、邮政编码和经纬度。
- ISP:提供设备已连接的互联网服务提供商。
- 网络连接类型:例如宽带、DSL、移动或卫星。
- 路由器信息:包括路由器型号和制造商。
- 时区:显示设备所在的时区。
- 主机名:设备在网络上的名称或标识符。
- ASN:自主系统编号,用于标识互联网服务提供商。
IP 查询器的用途
IP 查询器在各种领域都有广泛的用途,包括:
- 网络安全:识别可疑活动,例如恶意软件或网络攻击的来源。
- 地理定位服务:确定设备位置,以便提供基于位置的服务,例如天气预报或交通更新。
- 市场研究:分析网站流量并确定特定地区的受众分布情况。
- 客户服务:协助解决与设备连接或配置相关的问题。
- 网络管理:监视和管理网络连接,识别和解决问题。
IP 查询器的局限性
虽然 IP 查询器是一个获取设备信息的有价值的工具,但有一些局限性需要注意:
- 匿名性和隐私:IP 查询器可能会泄露有关设备及其用户的信息,因此在使用时应注意隐私问题。
- 准确性:IP 查询器提供的某些信息(例如设备位置)可能不是 100% 准确的,因为它依赖于不断变化的数据库。
- VPN 和代理:用户可以使用 VPN 或代理来隐藏他们的真实 IP 地址,这可能会导致 IP 查询器提供不准确的信息。
conclusion
IP 查询器是获取设备位置、ISP、网络连接和其他关键细节的宝贵工具。它们在网络安全、地理定位服务、市场研究等各种领域都有广泛的应用。但是,了解 IP 查询器的局限性并负责任地使用它们以尊重隐私和准确性非常重要。
有了IP地址,为什么还要用MAC地址?
世间万物存在即合理,有了IP地址,同时还需要MAC地址最大的原因不外乎MAC地址具有IP地址所不具备的特性,而这些特性是我们所必需的不可缺少。
01 MAC地址概述
明人不说暗语,在我回答这一问题前我是根本就不知道MAC地址是什么东西的,似乎在现实中我们听到比较多的是IP地址,那么MAC 地址到底是“何方妖孽”呢?
MAC 地址 是制造商为网络硬件 (如无线网卡或以太网网卡)分配的唯一代码,它是一个用来确认网络设备位置的位址,MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址,即网卡和MAC地址是一一对应的关系。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。
这个地址与网络无关,也即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。
想必屏幕前的你与我一样,看了半天也没看懂,那么客观的来讲,IP地址和MAC 地址有什么区别吗,这种区别使我们足以在有了IP地址之后还在使用MAC 地址呢?
02 MAC与IP地址区别
1、MAC地址的长度为48位(6个字节);而IP地址为32位。
2、MAC地址应用在OSI第二层,即数据链路层;IP地址应用于OSI第三层,即网络层。
3、MAC地址的分配是基于制造商;IP地址的分配是基于网络拓朴。
简单地说:ip地址是服务商给你的,mac地址是你的网卡物理地址。
3、MAC地址的分配是基于制造商;IP地址的分配是基于网络拓朴。
简单地说:ip地址是服务商给你的,mac地址是你的网卡物理地址。
03 MAC必需性
对于网络上的某一设备,如一台计算机或一台路由器,其IP地址可变(但必须唯一),而MAC地址不可变。
我们可以根据需要给一台主机指定任意的IP地址,如我们可以给局域网上的某台计算机分配IP地址为192.168.0.112,也可以将它改成192.168.0.200。
而任一网络设备(如网卡,路由器)一旦生产出来以后,其MAC地址永远唯一且不能由用户改变。
IP 地址是基于逻辑的,比较灵活,不受硬件的限制,也容易记忆。
而 MAC地址在一定程度上与硬件一致,是基于物理的,能够标识具体的网络节点。
这两种地址各有优点,使用时也因条件不同而采取不同的地址。
04 总结
一. 整体与局部
信息传递时候,需要知道的其实是两个地址:终点地址(Final destination address)下一跳的地址(Next hop address)IP地址本质上是终点地址,它在跳过路由器(hop)的时候不会改变,而MAC地址则是下一跳的地址,每跳过一次路由器都会改变。
这就是为什么还要用MAC地址的原因之一,它起到了记录下一跳的信息的作用。
注:一般来说IP地址经过路由器是不变的,不过NAT(Network address translation)例外,这也是有些人反对NAT而支持IPV6的原因之一。
二. 分层实现
如果在IP包头(header)中增加了”下一跳IP地址“这个字段,在逻辑上来说,如果IP地址够用,交换机也支持根据IP地址转发(现在的二层交换机不支持这样做),其实MAC地址并不是必要的。
但用MAC地址和IP地址两个地址,用于分别表示物理地址和逻辑地址是有好处的。
这样分层可以使网络层与链路层的协议更灵活地替换,网络层不一定非要用『IP』协议,链路层也不一定非用『以太网』协议。
这就像OSI七层模型,TCP/IP五层模型其实也不是必要的,用双层模型甚至单层模型实现网络也不是不可以的,只是那样做很蛋疼罢了。
路由器分为哪些类型,TP-LINK是什么?
一、路由器的分类路由器的分类应用离不开对路由器的工作原理的剖析,而路由器的工作原理则决定了其主要分类及其应用的范围。
为了简单地说明路由器的工作原理,现在我们假设有这样一个简单的网络。
如图所示,A、B、C、D四个网络通过路由器连接在一起,现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。
现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时,信号传递的步骤如下: 第1步:用户A1将目的用户C3的地址C3,连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点,当路由器A5端口侦听到这个地址后,分析得知所发目的节点不是本网段的,需要路由转发,就把数据帧接收下来。
第2步:路由器A5端口接收到用户A1的数据帧后,先从报头中取出目的用户C3的IP地址,并根据路由表计算出发往用户C3的最佳路径。
因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同,所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。
第3步:路由器的C5端口再次取出目的用户C3的IP地址,找出C3的IP地址中的主机ID号,如果在网络中有交换机则可先发给交换机,由交换机根据MAC地址表找出具体的网络节点位置;如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3,这样一个完整的数据通信转发过程也完成了。
(路由器工作原理图) 从上面可以看出,不管网络有多么复杂,路由器其实所作的工作就是这么几步,所以整个路由器的工作原理基本都差不多。
当然在实际的网络中还远比上图所示的要复杂许多,实际的步骤也不会像上述那么简单,但总的过程是这样的。
纵论多样的路由器分类应用: 在我们较为详细地了解了路由器产品的工作原理后,按照不同的划分标准可将它划分为多种类型。
其中常见的分类有以下几类: 从性能档次分为高、中、低档路由器。
通常将路由器吞吐量大于40Gbps的路由器称为高档路由器,背吞吐量在25Gbps~40Gbps之间的路由器称为中档路由器,而将低于25Gbps的看作低档路由器。
当然这只是一种宏观上的划分标准,各厂家划分并不完全一致,实际上路由器档次的划分不仅是以吞吐量为依据的,是有一个综合指标的。
以市场占有率最大的Cisco公司为例,系列为高端路由器,7500以下系列路由器为中低端路由器。
(HyperChip公司Petabit路由器) 从结构上分为“模块化路由器”和“非模块化路由器”。
模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需求,非模块化的就只能提供固定的端口。
通常中高端路由器为模块化结构,低端路由器为非模块化结构。
从功能上划分,可将路由器分为“骨干级路由器”,“企业级路由器”和“接入级路由器”。
骨干级路由器是实现企业级网络互连的关键设备,它数据吞吐量较大,非常重要。
对骨干级路由器的基本性能要求是高速度和高可靠性,为了获得高可靠性,网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术,从而使得骨干路由器的可靠性一般不成问题。
企业级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量较小,对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量,接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体。
按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。
很明显“边界路由器”是处于网络边缘,用于不同网络路由器的连接,关于这种路由器技术的详细剖析我们将在以后的文章中讲解;而“中间节点路由器”则处于网络的中间,通常用于连接不同网络,起到一个数据转发的桥梁作用。
由于各自所处的网络位置有所不同,其主要性能也就有相应的侧重,如中间节点路由器因为要面对各种各样的网络。
如何识别这些网络中的各节点呢?靠的就是这些中间节点路由器的MAC地址记忆功能,基于上述原因,选择中间节点路由器时就需要在MAC地址记忆功能更加注重,也就是要求选择缓存更大,MAC地址记忆能力较强的路由器。
但是边界路由器由于它可能要同时接受来自许多不同网络路由器发来的数据,所以这就要求这种边界路由器的背板带宽要足够宽,当然这也要由边界路由器所处的网络环境而定。
从性能上可分为“线速路由器”以及“非线速路由器”。
所谓“线速路由器”就是完全可以按传输介质带宽进行通畅传输,基本上没有间断和延时。
通常线速路由器是高端路由器,具有非常高的端口带宽和数据转发能力,能以媒体速率转发数据包;中低端路由器是非线速路由器,但是一些新的宽带接入路由器也有线速转发能力。
在四类不同级别网路中的应用: (随处可见的各类路由器应用) 互联网各种级别的网络中随处都可见到各种类型的路由器。
接入网络使得家庭和小型企业可以连接到某个互联网服务提供商;企业网中的企业级路由器连接一个校园或企业内成千上万的计算机;骨干网上的模块化路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。
互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战,骨干网要求路由器能对少数链路进行高速路由转发,企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简单方便,并提供QoS。
接入路由器:接入路由器连接家庭或ISP内的小型企业客户。
接入路由器一般主要时非线速路由器,现在已经开始不只是提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。
这些协议要能在每个端口上运行。
诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。
由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开电话交换网。
企业级路由器:企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互连,并且进一步要求支持不同的服务质量。
许多现有的企业网络都是由Hub或网桥连接起来的以太网段。
尽管这些设备价格便宜、易于安装、无需配置,但是它们不支持服务等级。
相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。
此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。
但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。
因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。
另外还要求企业级路由器有效地支持广播和组播。
企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。
它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。
骨干级路由器:骨干级路由器实现企业级网络的互联。
对它的要求是速度和可靠性,而代价则处于次要地位。
硬件可靠性可以采用电话交换网中使用的技术,如热备份、双电源、双数据通路等来获得。
这些技术对所有骨干路由器而言差不多是标准的。
骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。
当收到一个包时,输入端口在转发表中查找该包的目的地址以确定其目的端口,当包越短或者当包要发往许多目的端口时,势必增加路由查找的代价。
因此,将一些常访问的目的端口放到缓存中能够提高路由查找的效率。
不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。
除了性能瓶颈问题,路由器的稳定性也是一个常被忽视的问题。
太比特路由器:在未来核心互联网使用的三种主要技术中,光纤和DWDM都已经是很成熟的并且是现成的。
如果没有与现有的光纤技术和DWDM技术提供的原始带宽对应的路由器,新的网络基础设施将无法从根本上得到性能的改善,因此开发高性能的骨干交换/路由器(太比特路由器)已经成为一项迫切的要求,太比特路由器技术现在还主要处于开发实验阶段。
二、TP-LINK深圳市普联技术有限公司成立于1996年,是专门从事网络与通信终端设备研发、制造和行销的业内主流厂商,也是国内少数几家拥有完全独立自主研发和制造能力的公司之一,创建了享誉全国的知名网络与通信品牌:TP-LINK。
公司总部座落于深圳市高新技术产业园区内,拥有平方米的现代化办公大楼及平方米的标准工业厂房,现有员工3200余人。
产品线覆盖网络安全、无线、路由器、交换机、XDSL、集线器、光纤收发器、MODEM、网卡等全系列网络产品。
在全国十四大城市设立了直属办事机构;同时国际业务发展迅猛,产品远销欧美、东南亚、澳洲、非洲等全球各地区和国家。
研发体系[编辑本段]研发是TP-LINK灵魂所在,技术的前瞻性和发展性是TP-LINK研发中心的永恒宗旨。
随着网卡、HUB、Switch、Management Switch、 Router 、Wireless、Firewall等产品线的成长与不断调整,TP-LINK的研发技术必将向纵深发展并逐步迈向高端应用,当前表现为在路由、Firewall、VPN、VoIP、Media Gateway、Network Storage以及无线802.11系列等领域的深度开发。
跟紧前沿技术、联合世界网络巨头,是TP-LINK保持强劲研发势头的有效途径。
TP-LINK与美国无线芯片供应商Atheros公司、宽带通信和存储方案提供商Marvell、以及网络芯片供应商Broadcom、Realtek等保持着紧密合作关系,获得强大的前端技术支持力量。
研发中心拥有技术工程师200多名,90%年龄小于30岁;研发设备、研发实验室、测试房等均保持业内领先水平。
科学、严谨的管理机制使得技术、人员、设备等方面的整合效应得以充分发挥,TP-LINK研发中心的自主技术优势与研发实力得到巩固与发展:对操作系统的深入了解,有助于开发稳定而高效的产品;通过研究并优化改造TCP/IP协议栈,极大提高产品的网络性能;拥有ARM、MIPS、PowerPC、Intel XScale等多种操作系统硬件平台的开发经验,具备SIP、UPnP、802.11 协议栈等前沿协议的开发能力。
市场营销体系[编辑本段]本着“网络与通信产品的普及应用”的宗旨,TP-LINK市场营销体系永远处于企业满足用户需求的最前端,契合市场的产品规划、稳健的销售渠道、完善的售后服务体系保障了技术、产品、市场三者的相互衔接;多年来的销售业绩表明TP-LINK拥有快速的市场反应能力与实现能力。
TP-LINK始终坚持“立足市场第一线,聆听用户最直接需求的呼声”的原则,不断开发新市场并对渠道进行纵向延伸,使营销模式保持扁平化。
健全的销售体系打通了产品与最终用户之间的沟通渠道,TP-LINK先后在北京、上海、广州、南京、成都、武汉、沈阳、西安、深圳、杭州、济南、南昌、昆明、福州等14个主要城市建立了服务中心,拥有遍及全国的600多家经销商及众多二级代理商、零售商和集成商,形成了基础扎实的销售网络。
海外事业获得同步扩展,产品远销欧美、东南亚、澳洲、非洲等全球各地区和国家;随着国际化营销战略的启动,全球经销商和代理商队伍稳步扩充,海外办事处和服务中心等直属事务所正积极筹建。
TP-LINK拥有一支高素质的营销队伍,明确的目标、健康的价值观、快速的反应能力和坚强的意志力是销售人员的必备品质。
秉承诚信经营的原则、凭借对用户和合作伙伴的忠诚,TP-LINK得以屹立于网络通信市场。
生产制造体系[编辑本段]作为一家致力于“网络普及应用”并在市场占有率上保持稳定优势的企业,TP-LINK强大的生产制造能力一直为同行所瞩目,产量年平均增长率达50%。
制造处厂房面积达到平方米,SMT生产线28条,拥有业内品种齐全、技术领先的生产设备及仪器,包括全自动烘板机、自动印刷机、高速贴片机、多功能贴片机、自动链式插件线、无铅热风九温区回流焊、无铅分段红外调温预热波峰焊、全自动无线测试系统等先进制造测试设备和柔性流水线等。
规模效应、自主优势是TP-LINK生产制造体系关键竞争力所在。
从物料管理、研发试产、批量生产到产品返修、不合格品处理,严谨的操作流程体系使得工厂的各个生产环节得到全面控制,以有效控制质量管理、进一步掌握成本控制主动权。
柔性的生产模式极大地丰富了公司的产品线,敏捷的反应能力有利于捕捉市场商机,为TP-LINK产品发挥性价比优势、市场占有优势提供有力保障。
生产制造体系经历着新一轮的挑战与调整,生产模式由粗放型向精细型的转变,作业水平由学习型向自主创新型的突破,以不断适应国际化规模发展趋势。
从1996年第一块TP-LINK双口10M网卡问世至今,TP-LINK已经发展成为专门从事网络与通信终端设备研发、制造和行销的业内主要厂商,年销售各类网络与通信产品900万件,是国内该领域少数几家拥有完全独立自主开发和制造能力的公司之一,并创建了享誉全国的知名网络与通信品牌TP-LINK。
公司总部坐落于深圳市高新技术产业园区内,拥有近2000平方米的现代化办公大楼以及平方米的厂房,现有员工一千余人,其中总部管理人员中本科及以上学历者超过90%,是一支年轻而有朝气的团队。
公司一贯秉承“以人为本”的理念,努力为员工创造积极宽松的工作环境和发展空间。
TP-LINK产品线覆盖网卡、调制解调器、集线器、交换机、路由器、XDSL、无线以及防火墙等全系列网络产品,并已陆续推出防火墙路由器、千兆网络产品、多功能宽带路由器、XDSL及无线等中高端产品。
TP-LINK有效地利用广泛的产品、领先的技术和专业的服务,最大限度地满足用户需求,并致力于面向大众普及网络技术应用,培育国内市场网络化,多渠道的应用和开发使企业和客户的能力得到不断扩展和延伸。
TP-LINK为各行各业成功实施信息化网络计划提供所需的产品支持,同时由TP-LINK搭建的平台拉动着数据网络进入主流应用,进一步推动着整个网络建设向前发展。
↑研发打造竞争利器 通过对新兴技术的独到见解和对现有网络的准确把握,TP-LINK公司探索出一条创新的建设网络核心的途径,使网络产品具有更高的性价比、可用性、升级能力和扩充空间。
在技术竞争日益激烈的今天,TP-LINK不断加大对研发技术的投入和研发体系的建立,不仅拥有完善的行业技术前瞻系统和产品策划、研发、实验、测试、质量控制系统,而且与众多国外知名IT厂商在网络通信领域建立紧密合作,不断跟踪世界最新技术发展,严格把握研发方向,提高产品研发层次,从而在根本上保证了产品和服务不断朝着世界一流水平的目标稳步前进。
↑渠道铺就成功基石 TP-LINK在网络市场上处于领先地位,这是因为TP-LINK了解用户需求,能够提供性能可靠、易于购买、安装和管理的网络产品。
TP-LINK将创新技术和实际应用独到地融为一体,为最终用户和渠道伙伴提供丰富的使用体验和价值获取。
TP-LINK拥有覆盖全国的销售和服务网络,在北京、上海、广州、南京、杭州、成都、武汉、沈阳、西安、深圳、济南等十一个主要城市设有技术服务中心。
同时,TP-LINK积极拓展海外市场,产品远销欧美、东南亚、澳洲、非洲等全球各地区和国家,在国际市场奠定了良好的基础。
TP-LINK还为行业用户、政府用户、OEM客户等大型客户提供各类产品和服务,并协助经销商和代理商对行业用户、政府用户进行销售和服务支持。
↑强大的生产制造体系 TP-LINK制造基地总建筑面积为平方米,承担TP-LINK的开发样机制作、产品试制、批量生产等任务,拥有全自动烘板机、自动印刷机、高速贴片机、自动链式插件线、分段红外调温预热波峰焊等先进制造测试设备和柔性流水线,为TP-LINK全系列产品的生产提供保证。
TP-LINK对于获取市场信息、新产品研发、物料与供应商管理、试产与批量生产、产品返修、客户满意度调查、不合格品处理等一系列过程都进行严格控制,确保每一个环节都符合国际质量管理体系的要求;2000年和2003年相继通过了ISO9001:1994和ISO9001:2000国际质量管理体系认证。
↑优秀的人才储备 TP-LINK凝聚了业界一流人才,每年吸引大批优秀高校学子和社会精英加盟,TP-LINK建立起科学、系统的人力资源体系,创建与之相应的企业文化,提升工作生活质量,使每位员工的独特个性及潜力得到足够尊重和充分发挥,努力为员工创造积极宽松的工作环境和广阔的发展空间。
↑TP-LINK乘势高飞 TP-LINK的“优质超值”品牌形象已深深扎根于广泛的客户群中,TP-LINK将一如既往地致力于向客户提供高水平、创新型、实用化的产品和解决方案,脚踏实地,拒绝浮夸,努力将TP-LINK打造成一流网络通信品牌,进一步为中国的网络普及化不断做出新的贡献。
计算机取证技术论文(2)
计算机取证技术论文篇二 计算机取证技术研究 摘要:随着计算机和网络技术的飞速发展,计算机犯罪和网络安全等问题也越来越突出,也逐渐引起重视。
文章对计算机取证的特点、原则和步骤进行了介绍,最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。
关键词:计算机取证 数据恢复 加密解密 蜜罐网络 随着计算机和网络技术的飞速发展,计算机和网络在人类的政治、经济、文化和国防军事中的作用越来越重要,计算机犯罪和网络安全等问题也越来越突出,虽然目前采取了一系列的防护设备和措施,如硬件防火墙、入侵检测系统、、网络隔离等,并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施,但仍然无法保证系统的绝对安全。
计算机取证技术是指运用先进的技术手段,遵照事先定义好的程序及符合法律规范的方式,全面检测计算机软硬件系统,查找、存储、保护、分析其与计算机犯罪相关的证据,并能为法庭接受的、有足够可信度的电子证据。
计算机取证的目的是找出入侵者,并解释或重现完整入侵过程。
一、计算机取证的特点 和传统证据一样,电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的,除此之外,电子证据还有如下特点: 1.数字性。
电子证据与传统的物证不同,它是无法通过肉眼直接看见的,必须结合一定的工具。
从根本上讲,电子证据的载体都是电子元器件,电子证据本身只是按照特殊顺序组合出来的二进制信息串。
2.脆弱性。
计算机数据每时每刻都可能发生改变,系统在运行过程中,数据是不断被刷新和重写的,特别是如果犯罪嫌疑人具备一定的计算机水平,对计算机的使用痕迹进行不可还原的、破坏性操作后,现场是很难被重现的。
另外取证人员在收集电子证据过程中,难免会进行打开文件和程序等操作,而这些操作很可能就会对现场造成原生破坏。
3.多态性。
电子证据的多态性是指电子证据可以以多种形态表现,它既可以是打印机缓冲区中的数据,也可以是各种计算机存储介质上的声音、视频、图像和文字,还可以是网络交换和传输设备中的历史记录等等,这些不同形态都可能成为被提交的证据类型。
法庭在采纳证据时,不仅要考虑该电子证据的生成过程、采集过程是否可靠,还要保证电子证据未被伪造篡改、替换剪辑过。
4.人机交互性。
计算机是通过人来操作的,单靠电子证据本身可能无法还原整个犯罪过程,必须结合人的操作才能形成一个完整的记录,在收集证据、还原现场的过程中,要结合人的思维方式、行为习惯来通盘考虑,有可能达到事半功倍的效果。
二、计算机取证的原则和步骤 (一)计算机取证的主要原则 1.及时性原则。
必须尽快收集电子证据,保证其没有受到任何破坏,要求证据的获取具有一定的时效性。
2.确保“证据链”的完整性。
也称为证据保全,即在证据被正式提交法庭时,必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化,包括证据的移交、保管、拆封、装卸等过程。
3.保全性原则。
在允许、可行的情况下,计算机证据最好制作两个以上的拷贝,而原始证据必须专门负责,所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境,以防止证据被破坏。
4.全程可控原则。
整个检查取证的过程都必须受到监督,在证据的移交、保管、拆封和装卸过程中,必须由两人或两人以上共同完成,每一环节都要保证其真实性和不间断性,防止证据被蓄意破坏。
(二)计算机取证的主要步骤 1.现场勘查 勘查主要是要获取物理证据。
首先要保护计算机系统,如果发现目标计算机仍在进行网络连接,应该立即断开网络,避免数据被远程破坏。
如果目标计算机仍处在开机状态,切不可立即将其电源断开,保持工作状态反而有利于证据的获取,比如在内存缓冲区中可能残留了部分数据,这些数据往往是犯罪分子最后遗漏的重要证据。
如果需要拆卸或移动设备,必须进行拍照存档,以方便日后对犯罪现场进行还原。
2.获取电子证据 包括静态数据获取和动态数据获取。
静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等,应最大程度的系统或应用程序使用的临时文件或隐藏文件。
动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等,动态数据的采集必须迅速和谨慎,一不小心就可能被新的操作和文件覆盖替换掉。
3.保护证据完整和原始性 取证过程中应注重采取保护证据的措施,应对提取的各种资料进行复制备份,对提取到的物理设备,如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备,在移动和拆卸过程中必须由专人拍照摄像,再进行封存。
对于提取到的电子信息,应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。
上述任何操作都必须由两人以上同时在场并签字确认。
4.结果分析和提交 这是计算机取证的关键和核心。
打印对目标计算机系统的全面分析结果,包括所有的相关文件列表和发现的文件数据,然后给出分析结论,具体包括:系统的整体情况,发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。
在做好各种标记和记录后,以证据的形式并按照合法的程序正式提交给司法机关。
三、计算机取证相关技术 计算机取证涉及到的技术非常广泛,几乎涵盖信息安全的各个领域,从证据的获取来源上讲,计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。
(一)基于单机和设备的取证技术 1.数据恢复技术 数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。
对于删除操作来说,它只是将文件相应的存放位置做了标记,其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在,普通用户看起来已经没有了,但实际上通过恢复文件标记可以进行数据恢复。
对于格式化操作来讲,它只是将文件系统的各种表进行了初始化,并未对数据本身进行实际操作,通过重建分区表和引导信息,是可以恢复已经删除的数据的。
实验表明,技术人员可以借助数据恢复工具,把已经覆盖过7次的数据重新还原出来。
2.加密解密技术 通常犯罪分子会将相关证据进行加密处理,对取证人员来讲,必须把加密过的数据进行解密,才能使原始信息成为有效的电子证据。
计算机取证中使用的密码破解技术和方法主要有:密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。
3.数据过滤和数据挖掘技术 计算机取证得到的数据,可能是文本、图片、音频或者视频,这些类型的文件都可能隐藏着犯罪信息,犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。
若果犯罪分子同时结合加密技术对信息进行处理,然后再嵌入到文件中,那么想要还原出原始信息将变得非常困难,这就需要开发出更优秀的数据挖掘工具,才能正确过滤出所需的电子证据。
(二)基于网络的取证技术 基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术,具体包括以下几种技术: 地址和MAC地址获取和识别技术 利用ping命令,向目标主机发送请求并监听ICMP应答,这样可以判断目标主机是否在线,然后再用其他高级命令来继续深入检查。
也可以借助IP扫描工具来获取IP,或者利用DNS的逆向查询方法获取IP地址,也可以通过互联网服务提供商ISP的支持来获取IP。
MAC地址属于硬件层面,IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的,当然,MAC跟IP地址一样,也可能被修改,如此前一度横行的“ARP欺骗”木马,就是通过修改IP地址或MAC来达到其目的的。
2.网络IO系统取证技术 也就是网络输入输出系统,使用netstat命令来跟踪嫌疑人,该命令可以获取嫌疑人计算机所在的域名和MAC地址。
最具代表性的是入侵检测技术IDS,IDS又分为检测特定事件的和检测模式变化的,它对取证最大帮助是它可以提供日志或记录功能,可以被用来监视和记录犯罪行为。
3.电子邮件取证技术 电子邮件使用简单的应用协议和文本存储转发,头信息包含了发送者和接受者之间的路径,可以通过分析头路径来获取证据,其关键在于必须了解电子邮件协议中的邮件信息的存储位置。
对于POP3协议,我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件,一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。
对于采用SMTP协议的邮件头信息,黑客往往能轻易在其中插入任何信息,包括伪造的源地址和目标地址。
跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。
4.蜜罐网络取证技术 蜜罐是指虚假的敏感数据,可以是一个网络、一台计算机或者一项后台服务,也可以虚假口令和数据库等。
蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系,研究人员借助数据控制、数据捕获和数据采集等操作,对诱捕到蜜罐网络中的攻击行为进行控制和分析。
蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。
目前应用较多是主动蜜罐系统,它可以根据入侵者的攻击目的提供相应的欺骗服务,拖延入侵者在蜜罐中的时间,从而获取更多的信息,并采取有针对性的措施,保证系统的安全性。
参考文献: [1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3). [2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6). 看了“计算机取证技术论文”的人还看: 1. 计算机犯罪及取征技术的研究论文 2. 安卓手机取证技术论文 3. 计算机安全毕业论文 4. 计算机安全论文 5. 计算机安全论文范文
