反饋

網絡取證

網絡取證（network forensics）是抓取、記錄和分析網絡事件以發現安全攻擊或其他的問題事件的來源。

這個術語是防火牆專家Marcus Ranum從法律的和犯罪學領域引進的。依照Simson Garfinkel的觀點，Network forensics系統是下面二個類型之一:

“儘可能的捕捉”系統，在這個系統裏面所有的包都經過一定的節點來捕獲並把分析的結果按照批量方式寫入存儲器。這方式需要大量的儲藏空間，通常都會用到RAID系統。
“停、看、聽”系統，在這個系統裏面每個包都經過基本的分析，只為將來的分析留下一些基本的信息。這方式對存儲的需要比較小但是需要一個較快的處理器一邊能夠跟得上輸入的數據流。

兩種方法都需要重要儲藏和偶然對舊數據進行刪除讓出空間給新的數據。開放資源程序tcpdump和windump同一些商務程序一樣可以用户數據的捕捉和分析。

涉及到儘可能捕捉方法相關的東西都是保密的，因為整個包的信息（包括用户數據）都捕捉下來了。電子通信保密法禁止因特網服務提供商（ISP）蓄意偵聽或者透露未經用户同意的信息。美國FBI的Carnivore是網絡取證工具的一個有爭議的例子。

網絡取證（network forensics）產品有時也叫網絡取證分析工具（NFAT）。

詞條統計