本发明涉及信息网络取证领域,具体涉及一种基于用户态协议栈的无痕网络取证方法。
背景技术:
目前网络取证技术在我国已经取得极大发展,网络取证主要基于某些手段和网络核心路由通信数据取证系统得到目标对象部分非法网络行为和网络犯罪证据,通过在目标对象计算机接入 Internet 的网络通信设备入口处挂载临侦取证设备,对目标对象执行短时间、近距离的网络通信行为的分析和监控,进而得到目标对象第一手的网络非法活动和行为的电子证据。
但是在实际取证工作中,取证设备因为某些原因需要部署在无法连接公共网络的环境,导致取证设备无法及时有效的将目标对象的网络非法活动和行为的电子证据传递回服务器。
技术实现要素:
本发明的目的在于提供一种基于用户态协议栈的无痕网络取证方法,通过用户态协议栈技术可以利用线路上其他设备的公网IP地址将电子证据传递回后台服务器。
为实现上述目的,本发明提出了一种基于用户态协议栈的无痕网络取证方法,包括以下步骤:
(a)首先,监控对象终端通过路由器访问公网;
(b)其次,取证设备通过抓取路由器网络数据流量获取监控对象终端的公网IP地址;
(c)最后,取证设备借助用户态协议栈和抓取的公网IP地址,访问接入公网的目标服务器,并将取证数据传输给所述目标服务器。
进一步的,在所述基于用户态协议栈的无痕网络取证方法中,取证设备通过抓取路由器网络数据流量获取监控对象终端的公网IP地址,包括以下步骤:
(b1)取证设备接入所述路由器;
(b2)取证设备通过一抓包程序抓取所述路由器的网络数据包,所述网络数据包为TCP网络数据协议包或者UDP网络数据协议包;
(b3)取证设备通过一解析程序对步骤(b2)中获取的网络数据包进行解析,获取监控对象终端的公网IP地址。
进一步的,在所述基于用户态协议栈的无痕网络取证方法中,取证设备借助用户态协议栈,以及获取的公网IP地址,访问接入公网的目标服务器,并将取证数据传输给所述目标服务器,具体包括以下步骤:
(c1)在取证设备上运行用户态协议栈程序;
(c2)将所述获取的公网IP地址配置到用户态协议栈的网络层;
(c3)在用户态协议栈应用层上创建一网络应用程序,取证设备和目标服务器通过所述网络应用程序建立通讯;
(c4)当取证设备和目标服务器建立通讯后,取证设备通过网络应用程序利用发包协议将取证数据发送到目标服务器。
进一步的,在所述基于用户态协议栈的无痕网络取证方法中,所述发包协议为TCP网络数据传输协议或UDP网络数据传输协议。
与现有技术相比,本发明的有益效果是:取证设备通过抓取监控对象终端所接入公网的IP地址,并通过获取的IP地址和用户态协议栈访问并将取证数据传送至目标服务器,即取证设备在无法接入公网的环境中,依然能够通过用户态协议栈技术利用线路上其他设备的公网IP地址将电子证据传递回后台服务器。
附图说明
图1为本发明一实施例中基于用户态协议栈的无痕网络取证方法示意图。
具体实施方式
下面将结合示意图对本发明的基于用户态协议栈的无痕网络取证方法,进行更详细的描述,其中表示了本发明的优选实施例,应该理解本领域技术人员可以修改在此描述的本发明,而仍然实现本发明的有利效果。因此,下列描述应当被理解为对于本领域技术人员的广泛知道,而并不作为对本发明的限制。
如图1所示,本发明提出的基于用户态协议栈的无痕网络取证方法,包括以下步骤:
(a)首先,监控对象终端1通过路由器2访问公网4;
(b)其次,取证设备3通过抓取路由器2网络数据流量获取监控对象终端1的公网IP地址,具体包括一下步骤:
(b1)取证设备3接入所述路由器2;
(b2)取证设备3通过一抓包程序抓取所述路由器2的网络数据包,所述网络数据包为TCP网络数据协议包或者UDP网络数据协议包;
(b3)取证设备3通过一解析程序对步骤(b2)中获取的网络数据包进行解析并获取串联线路上监控对象终端1的公网IP地址;
(c)最后,取证设备3借助用户态协议栈和抓取的公网IP地址,访问接入公网4的目标服务器5,并将取证数据传输给所述目标服务器5,具体包括以下步骤:
(c1)在取证设备3上运行用户态协议栈程序;
(c2)将所述获取的公网IP地址配置到用户态协议栈的网络层;
(c3)在用户态协议栈应用层上创建一网络应用程序,取证设备3和目标服务器5通过所述网络应用程序建立通讯;
(c4)当取证设备3和目标服务器5建立通讯后,取证设备3通过网络应用程序利用发包协议将取证数据发送到目标服务器,其中,所述发包协议为TCP网络数据传输协议或UDP网络数据传输协议。
综上,在本发明实施例提供的基于用户态协议栈的无痕网络取证方法中,取证设备通过抓取监控对象终端所接入公网的IP地址,并通过获取的IP地址和用户态协议栈访问并将取证数据传送至目标服务器,即取证设备在无法接入公网的环境中,依然能够通过用户态协议栈技术利用线路上其他设备的公网IP地址将电子证据 传递回后台服务器。
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。