網路取證(network forensics)是抓取、記錄和分析網路事件以發現安全攻擊或其他的問題事件的來源。
網路取證(network forensics)是抓取、記錄和分析網路事件以發現安全攻擊或其他的問題事件的來源。( 這個術語是防火牆專家Marcus Ranum從法律的和犯罪學領域引進的。)依照Simson Garfinkel的觀點,Network forensics系統是下面二個類型之一:
- “儘可能的捕捉”系統,在這個系統裡面所有的包都經過一定的節點來捕獲並把分析的結果按照批量方式寫入存儲器。這方式需要大量的儲藏空間,通常都會用到RAID系統。
- “停、看、聽”系統,在這個系統裡面每個包都經過基本的分析,只為將來的分析留下一些基本的信息。這方式對存儲的需要比較小但是需要一個較快的處理器一邊能夠跟得上輸入的數據流。
兩種方法都需要重要儲藏和偶然對舊數據進行刪除讓出空間給新的數據。開放資源程式tcpdump和windump同一些商務程式一樣可以用戶數據的捕捉和分析。
涉及到儘可能捕捉方法相關的東西都是保密的,因為整個包的信息(包括用戶數據)都捕捉下來了。電子通信保密法禁止網際網路服務提供商(ISP)蓄意偵聽或者透露未經用戶同意的信息。美國FBI的Carnivore是網路取證工具的一個有爭議的例子。
網路取證(network forensics)產品有時也叫網路取證分析工具(NFAT)。
