网络取证核心原理与实践（一）

一、常见的各种网络设备：

1. 物理线缆：

   提供局域网中各台主机与交换机之间、以及交换机与路由器之间的连接。一般是同轴的双绞线（TP）或同轴电缆。

2. 无线网络空口：

   类似于集线器，广播所有收到的信号。

3. 交换机：

   把局域网连在一起的粘合剂，他们是多端口的网桥，可以在物理上把多台主机或网桥连接成局域网。

4. 路由器：

   把不同的子网或网络连接在一起，并能便捷地在不同网段传输数据包。

5. DHCP服务器：

   动态主机分配协议，是一种使用非常广泛的为局域网中主机分配IP地址的机制，使主机能和局域网中的其他主机通信，同时也使得跨网络的通信成为可能。

6. 域名服务器：

   域名系统（DNS）能把IP地址与分配给系统和网络的易于记忆的名字一一对应起来的机制。

7. 登录认证服务器：

   设计用来为单位里的员工提供集中式登录认证服务，员工的账号可以在一个地方统一管理。

8. 网络入侵检测/防御系统（NIDS）或网络入侵防御系统（NIPS）：

   实时监控网络流量.

9. 防火墙：

   一种特殊的路由器，对网络流量进行更深入的检查，以便做出更智能的决定，允许哪些流量通过或阻止哪些流量不能通过。决定的依据不止源和目的IP地址，还包括数据包中的内容、端口号，以及封装数据使用的协议等。现代防火墙有详尽的日志记录功能，而且兼有基础设置防护设备和相当有用的IDS的功能。

   通过配置，防火墙能在阻止或放行流量、在系统配置发生变化、出错和其他许多事件产生时生成警告或日志。

10. web代理：

    首先，能通过在本地缓存web页面来改善网络性能；其次，能记录、检查、过滤（相关用户）上网产生的流量。

11. 应用服务器：

    常见：数据库服务器、web服务器、电子邮件服务器、网络聊天服务器、视频邮件服务器。

12. 中央日志服务器：

    汇集了来自登录认证服务器、web代理、防火墙等许多源的事件日志。

 

二、利用OSI模型分析web冲浪场景：

web浏览器——应用层：在地址栏输入URI敲击回车以后，向本地DNS服务器发送DNS请求，以便把搜索引擎的URI转化成一个IP地址。

 

得知源端IP地址后，本地计算机向指定的远程web服务器的IP地址发送一个HTTP“GET”请求（第七层）。

为了把这个请求发送给目标web服务器，此web服务器需要把第七层的请求传递给操作系统，操作系统会把这些数据分别放在几个数据包里，并加上TCP头（第四层传输层）。TCP头上包含了web客户端必须提供的源端口、服务器监听的目标端口TCP80，以及其他实现第四层连接所必需的信息。

 

接下来，操作系统再加上一个IP头（第三层网络层），其中描述了源和目标端点的IP地址，这样流量才能在互联网各子网间被合理地路由和传递。之后每个数据包都会被编为携带802.11信息的帧，以便在无线局域网中传输（第二层数据链路层）。最后，整个帧都会被调制成无线电射频信号RF（第一层物理层）发送出去。

 

本地无线接入点（WAP）接收到RF传递的信息后，去掉802.11头，换成一个新的第二层头，然后WAP将会通过线缆（第一层物理层），把整个帧传送给下一个站点。下一个站点将会是一个路由器，还会替换第二层信息，然后继续通过线缆把帧发送给它的下一跳。这一过程会一直重复下去，知道数据包到达它的终点——远端web服务器

在目的端，处理的过程正好反过来。目标服务器通过线缆（第一层物理层）连上网，接收到的一系列电压变化。

服务器上的网卡会把电压变化解析成以太网帧（第二层数据链路层），在去掉第二层的头部以后，把它发送给操作系统。

操作系统看到的是含有它自身IP地址的IP包（第三层网络层），OS将会去掉IP包的包头，并解析TCP包头中的信息（第四层传输层）。

TCP包头中包含了目标端口以及其他的一些信息。然后OS会寻找是哪个进程监听了这个目标端口，当它发现是web服务器时，它就会去掉TCP包头，并把载荷提交给目标web服务进程（第七层应用层）。