网络犯罪侦查的IP定位跟踪技术研究
如何通过网络追踪查找网络侵入者(六)
如何通过网络追踪查找网络侵入者随着互联网的普及和应用的广泛,网络安全问题越来越受到人们的关注。
而在网络安全中,网络侵入者是最令人忧虑的存在。
网络侵入者以各种手段侵入他人的电脑或网络系统,盗取个人信息、造成数据泄露、甚至进行勒索等违法行为。
面对这样的威胁,我们迫切需要通过网络追踪来查找网络侵入者,以保护自己和社会的网络安全。
一、了解网络追踪的基本原理网络追踪是指通过跟踪、监控网络数据流量,追踪分析源IP地址、访问路径、登录记录等信息,来确定网络侵入者的位置和身份。
追踪过程中,我们可以利用一些网络安全工具和技术,如数据包分析、IP追踪、日志审计等,来获取相关信息。
二、寻找可疑迹象并保留证据在追踪网络侵入者时,首先需要寻找可疑的迹象。
这些迹象可能包括异常的网络活动、未经授权的访问、异地登录等。
一旦发现这些异常,我们应立即保留相关证据,如截图、记录异常日志等,并确保将其妥善保存。
三、利用网络日志分析工具网络日志分析工具是一种有助于追踪网络侵入者的重要工具。
这些工具可以帮助我们有效地分析网络日志,识别潜在的威胁,并提供关于攻击的详细信息。
通过分析网络日志,我们可以了解入侵者在网络中的活动轨迹,从而更好地追踪和定位入侵者的位置和身份。
四、合作跨部门追查和调查追踪网络侵入者是一项复杂的任务,需要跨部门的合作和互助。
我们可以向网络安全专家、警方等相关机构寻求帮助,借助他们的专业知识和技术手段。
这些专业机构通常具备更强大的技术设备和资源,能够对网络侵入行为进行更深入的调查和分析,从而更准确地定位和追踪入侵者。
五、加强网络安全防护除了追踪查找网络侵入者,我们还应该注重加强网络安全的防护措施。
这样可以预防大部分网络入侵事件的发生,减少追踪工作的复杂度和难度。
我们可以采取一些常见的网络安全措施,如加强密码管理、使用网络防火墙、定期更新软件补丁等,以提升自身的网络安全能力。
六、加强个人网络素质的提升对于普通用户而言,提高个人网络素质也是防范网络侵入的重要环节。
网络安全中的入侵溯源与追踪技术研究
网络安全中的入侵溯源与追踪技术研究随着网络的迅速发展和普及,网络安全问题日益突出。
入侵行为的频繁发生给网络环境的安全带来了巨大威胁。
入侵溯源与追踪技术作为网络安全的重要组成部分,通过收集、分析和跟踪入侵活动的来源和路径,可以帮助网络管理员及时发现和应对安全漏洞,保障网络的安全。
入侵溯源与追踪技术主要包括日志分析、数据包捕获与解析、IP追踪和数字取证等方面的内容。
日志分析是入侵溯源的基础,对各种系统和设备产生的日志进行收集和分析可以帮助发现和了解入侵事件的发生过程和方式,在层层分析中找出入侵源头。
数据包捕获与解析则通过对网络通信的数据包进行捕获和分析,找出可疑的网络流量和不正常的通信行为,从而获得入侵的线索。
IP追踪是一种通过对网络上的IP地址进行追踪和定位的技术,可以帮助发现入侵者的真实身份和位置。
通过识别入侵者的IP地址、域名、Whois信息等,可以确定其所在的国家、地区和网络服务提供商,为进一步追踪提供线索。
但是,由于入侵者可能使用代理服务器、虚拟私人网络(VPN)等工具来隐藏真实地址,IP 追踪的准确性和可靠性会受到一定限制。
数字取证是入侵追踪过程中不可或缺的一环。
通过对入侵者所留下的痕迹、破坏行为等进行取证,可以收集到关键的电子证据。
数字取证包括磁盘取证、内存取证、网络取证等方面的内容。
磁盘取证通过对磁盘上的数据进行获取、分析和提取,可以还原入侵事件的过程和行为;而内存取证则着重于从系统内存中提取入侵者的活动轨迹,获得关键的操作信息;网络取证主要是通过对网络设备和通信记录的审查和分析,帮助还原入侵者的活动过程。
在实际应用中,入侵溯源与追踪技术还需要与其他安全技术相结合,形成完整的防御体系。
例如,入侵溯源的结果可以与入侵检测系统相集成,实现实时监测和应对入侵事件;同时与防火墙和入侵防御系统结合,可以在发现可疑流量或攻击行为时进行实时防御和封锁。
同时,还可以与安全管理系统相结合,通过对入侵数据的分析和挖掘,发现潜在的安全威胁。
网络安全攻击定位与溯源技术研究
网络安全攻击定位与溯源技术研究近年来,随着互联网的普及和信息技术的飞速发展,网络安全问题日益严峻。
网络攻击频频发生,对个人、企业乃至国家的财产和安全造成了巨大威胁。
为了应对这一挑战,网络安全攻击定位与溯源技术逐渐成为保护网络安全的关键手段。
一、攻击定位技术攻击定位技术是一种通过收集和分析攻击相关的信息,追踪攻击源头的技术手段。
它可以帮助网络管理者或安全专家准确地确定攻击者的位置,从而采取相应的应对措施。
目前,常用的攻击定位技术主要包括IP源地址追踪、域名服务(DNS)追踪、跳跃点分析和网络流量分析等。
1. IP源地址追踪IP源地址追踪是一种最为常见和基础的攻击定位技术。
通过分析网络流量和攻击数据包的IP源地址,可以追踪到攻击者的大致位置。
然而,由于攻击者常常使用伪造的IP地址或通过代理服务器进行攻击,仅凭IP地址追踪的结果常常不够准确。
2. 域名服务(DNS)追踪域名服务追踪技术通过分析攻击中使用的域名信息,追踪到攻击者的真实IP地址。
由于攻击者常常利用伪装的域名及域名解析来隐藏自身的真实身份,因此域名服务追踪技术在一定程度上可以提高攻击定位的准确性。
3. 跳跃点分析跳跃点分析是一种利用网络路由路径信息的攻击定位技术。
通过分析攻击数据包在网络上的路由路径,可以确定攻击者的攻击路径,从而推测出其大致位置。
然而,由于网络中存在多个跃点,攻击路径可能经历多次转发和混淆,使得准确的攻击定位变得更加困难。
4. 网络流量分析网络流量分析是一种通过对网络流量进行深入分析,识别异常流量并进行溯源的技术。
通过对网络流量的统计和建模,可以找出异常流量事件,并通过进一步的分析追踪到攻击源头。
然而,网络流量分析技术的准确性和效率仍然面临挑战,尤其是在面对大规模的攻击事件时。
二、攻击溯源技术攻击溯源技术是一种通过追踪攻击路径和关联的信息,识别出攻击者身份和真实位置的技术手段。
通过溯源技术,可以从根本上防止和打击网络攻击,为网络管理者提供关键的信息支持。
计算机取证中的IP追踪技术
发结点中用于追踪, 甚至能用于单包攻击。为了 方案。
ICMP 追踪 这 是 一 种 利 用 ICMP 消 息 进 行 追 踪 的 技 术。路由器产生一个包含被转发分组的部分信 息的 ICMP 追踪消息。并将 该 消 息 发 送 到 分 组 的目的地。通过寻找相 应 的 ICMP 追 踪 消 息 并 检 查 它 的 源 IP 地 址 可 以 确 定 分 组 穿 越 的 路 由 器。在洪泛型攻击中, 被攻击网络能收集到足够 的 ICMP 追踪消息来构造攻击路径。但是 ICMP 追踪方法用于 DDOS 时效率很低。 3 存在的问题及发展趋势 计 算 机 取 证 中 使 用 IP 追 踪 技 术 必 须 考 虑 国与国之间的法律上的差异, 以保证计算机取 证有效和合法地进行。在使用一些软件进行追 踪时也要注意避免无意之中侵犯到别人的隐 私。另外, IP 追踪也有它自身的局限性。实际上 IP 追踪 通 过 防 火 墙 进 入 企 业 内 部 网 是 很 难 的 。 最后追踪到的地址可能是防火墙地址, 也是企 业网的入口点。另外一个问题是追踪系统的配 置。大多数的追踪技术要求改变网络, 包括增加 路由器功能和改变分组。有时即使 IP 追踪找到 了攻击源, 这个源可能是攻击中的一个中转点, IP 追踪不能识别中转点后最终的源。 未 来 的 计 算 机 取 证 中 的 IP 追 踪 技 术 会 朝 着 工 具 化 、规 范 化 、国 际 化 的 方 向 发 展 , 如 何 鉴 别 IP 追 踪 的 过 程 和 结 果 是 否 合 法 和 是 否 具 有 证明力也将成为计算机取证中的焦点之一。
责任编辑: 胡明月
- 98-
关键词: 计算机犯罪; 计算机取证; IP 追踪; DDoS 攻击
引言 随着因特网的普及, 以计算机网络为犯罪 对象和犯罪工具的各类新型网络犯罪活动愈演 愈烈。因此, 对于一些重要的部门, 一旦网络遭 到攻击并造成了损失, 当然希望诉诸法律来保 护自己并获取补偿, 于是计算机取证就变得很 重要。而追踪网络攻击是计算机取证工作中的 重要一环, 只有快速、准确地对攻击源进行追 踪, 才能更好地保证所获取的计算机证据是真 实有效的, 从而有效地防范和打击计算机犯罪。 1 计算机取证中的 IP 追踪面临的挑战 一台在 Internet 上进行通信的计 算 机 来 必 须有 IP 地址。因此, 任何在 Internet 上使用的或 基 于 TCP/IP 的 网 络 的 行 为 都 拥 有 与 之 连 接 的 源 IP 地址。因此, 源 IP 地址是确定攻击者身份 跟踪的开始。然而, 在确定身份时 IP 地址还会 带 来 很 多 的 挑 战 [2]。 源 IP 地址可能被欺骗或被伪造。 用 于 攻 击 的 源 IP 地 址 可 能 是 真 正 攻 击 来 源经过多个跃点后形成的。 IP 地址属于一台机器, 而不属于一个人。 2 主要的 IP 追踪工具和技术 2.1 IP 地址追踪的方法 netstat 命令 使 用 netstat 命 令 可 以 获 得 所 有 联 接 被 测 主机网络用户的 IP 地址。使用"netstat"命令 的 缺点是只能显示当前的连接, 如果使用"netstat" 命令时攻击者没有联接, 则无法发现攻击者的 踪迹。为此, 可以使用 Scheduler 建立一个日程 安排, 安排系统定时使用 "netstat"命令, 并使用 netstat>>textfile 格 式 把 每 次 检 查 时 得 到 的 数 据 写入文件中, 以便需要追踪网络攻击时使用[5]。 Traceroute 或 tracert 命令 Windows 系统上的 Traceroute 或 tracert 是 一个系统命令 , 它决定了接下来的一个数据包 到达目的系统的路由。Traceroute 由使用 IP 的 生 存 期( TTL) 字 段 引 起 ICMP 超 时 响 应 该 响 应 来自于到达目标主机路径中的每一个路由器。 我们能从断续的站点名称和位置确定目标系统 就位于该站点中。 使用 Whois 数据库 Whois 数据库是一个中心存储库, 包含在 Internet 上注册的每一个域的联系 信 息 。Whois 数 据 库 就 可 作 为 决 定 特 定 IP 地 址 联 系 方 法 的 “电话簿”。使用 Whois 数据库识别哪个机构、公 司 、大 学 和 其 他 实 体 拥 有 IP 地 址 , 并 获 得 了 连 接 点 [2]。 日志数据 系统的日志数据提供了详细的用户登录 信息。在追踪网络攻击时, 这些数据是最直接 的、有效的证据。但有些系统的日志数据不完 善, 网络攻击者也常会把自己的活动从系统日 志中删除。因此, 需要采取补救措施, 以保证日
如何通过网络IP地址进行跨国追踪
如何通过网络IP地址进行跨国追踪通过网络IP地址进行跨国追踪网络IP地址是Internet Protocol Address的缩写,用于标识和定位设备在网络上的位置。
在跨国追踪的过程中,通过分析和追踪目标IP地址,可以追溯到该地址所属的国家或地区。
本文将介绍如何通过网络IP地址进行跨国追踪的基本原理和方法。
一、IP地址的基本知识IP地址是互联网上任何一个连接到网络的设备(如计算机、服务器等)被分配的唯一标识符。
它分为IPv4和IPv6两种格式。
1. IPv4地址IPv4地址是目前网络上广泛使用的一种IP地址格式。
它由32位二进制数字组成,通常以四个由点分隔的十进制数表示(如192.168.0.1)。
其中,每个十进制数的取值范围是0到255。
2. IPv6地址IPv6地址是为了应对IPv4地址紧缺问题而推出的一种新的IP地址格式。
它由128位二进制数字组成,通常以八组由冒号分隔的十六进制数表示(如2001:0db8:85a3:0000:0000:8a2e:0370:7334)。
二、利用IP地址定位目标国家通过分析目标IP地址的前几段,我们可以判断出该地址所属的国家或地区。
这个过程称为IP地址的定位。
具体方法如下:1. IP地址归属查询通过使用在线的IP地址查询工具,如"ipapi"、"IP2Location"等,输入目标IP地址即可获得其所属国家或地区的信息。
这些工具通常会根据IP地址段的分配情况,提供准确的归属地信息。
2. Whois查询Whois数据库是存储了全球IP地址分配情况和注册管理信息的公共数据库。
通过访问Whois查询网站,如"ARIN"、"RIPE NCC"等,输入目标IP地址,可以获取到该IP地址的注册信息,包括所属组织、联系方式等。
通过分析这些信息,可以初步了解该IP地址所属国家或地区。
三、追踪跨国IP地址的操作步骤在跨国追踪目标IP地址的过程中,可以采取以下步骤来获取更详细的信息:1. Traceroute命令Traceroute命令用于确定数据包从源设备到目标设备的路径。
网络空间安全中的网络入侵溯源与定位技术研究
网络空间安全中的网络入侵溯源与定位技术研究网络空间安全是当代社会亟待解决的一个重要问题,其中网络入侵是破坏和攻击网络安全的主要手段之一。
而要解决网络入侵问题,网络入侵溯源与定位技术就显得尤为重要。
本文将从网络入侵的概念入手,介绍网络入侵溯源与定位技术的研究现状、方法论和应用前景。
网络入侵,简单来说,就是通过非法手段进入并操纵他人的计算机系统。
入侵者通过窃取信息、篡改数据、拒绝服务等方式,对网络安全造成威胁。
而要防止和打击网络入侵行为,就需要及时准确地进行入侵溯源与定位。
入侵溯源与定位技术可以帮助我们找出网络入侵的源头,并准确定位和追踪入侵者的位置。
目前,网络入侵溯源与定位技术主要有两种方法:主动溯源和被动溯源。
主动溯源是指通过主动探测入侵者留下的痕迹,如IP地址、MAC地址等,进行反向溯源,寻找入侵者的位置和身份信息。
而被动溯源则是通过分析入侵事件中的日志记录、系统文件等信息,找出入侵者留下的痕迹,进而进行溯源。
主动溯源技术的研究集中在网络测地学、IP溯源和MAC地址溯源等方向。
其中网络测地学是一种基于测量网络拓扑的方法,通过计算网络节点之间的距离来定位入侵者。
IP溯源是一种通过分析IP地址来溯源的方法,通过跟踪IP包的路径,找出入侵者所在的网络。
MAC地址溯源则是一种通过分析MAC地址的方法,通过捕获网络中的数据包,寻找入侵者的MAC地址,进而定位入侵者。
被动溯源技术研究着眼于入侵者留下的痕迹和特征分析。
这些痕迹和特征可以包括入侵事件的日志记录、恶意软件的行为特征等。
通过对这些信息进行分析,可以找出入侵行为的来源和入侵者的特征,从而进行溯源与定位。
网络入侵溯源与定位技术的研究虽然取得了一定的进展,但仍面临着一些挑战。
首先,网络入侵者往往通过使用代理服务器、跳板机等手段来隐藏真实的身份和位置,增加了溯源难度。
其次,网络入侵行为常常是跨国界的,不同国家的法律法规和合作机制也会影响到溯源与定位的效果。
法医鉴定中的网络犯罪分析技术
法医鉴定中的网络犯罪分析技术随着数字化时代的到来,网络犯罪呈现出多样化、高智能化的趋势,给社会安全和司法公正带来了巨大挑战。
在打击和解决网络犯罪的过程中,法医鉴定中的网络犯罪分析技术发挥了重要的作用。
本文将探讨法医鉴定中的网络犯罪分析技术的应用和发展,以及其在打击网络犯罪中的作用和意义。
一、网络犯罪分析技术的概述网络犯罪分析技术是指通过对网络活动追踪、取证与分析,确定犯罪主体的身份以及犯罪手段、动机和犯罪证据的获取方法。
网络犯罪分析技术可以帮助法医人员追踪和还原网络犯罪的过程,为犯罪嫌疑人的追捕和定罪提供重要的证据,保障社会的安全和司法的公正。
二、网络犯罪分析技术的应用领域1.网络侦查与取证:通过调查并收集网络上的关键信息,追踪犯罪嫌疑人的IP地址、上网轨迹、通信记录等,为网络犯罪案件的侦破提供证据支持。
2.数字取证与数据分析:通过对数字设备中的数据进行提取、分析和还原,获取与犯罪活动相关的证据信息,包括文档、图片、视频、音频等多种形式的数据。
3.网络溯源分析:通过追踪网络数据包的源头和经过的路径,获取犯罪活动的源头IP地址和实际发起该活动的人员身份信息,帮助侦破案件和追踪犯罪网络的组织结构。
4.数据挖掘与行为分析:通过大数据分析、模式识别等手段,挖掘隐藏在庞大数据中的关联关系和规律,揭示犯罪嫌疑人的行为习惯、心理特征等,从而为进一步侦破提供有力的线索。
三、网络犯罪分析技术的发展趋势1.人工智能技术的应用:随着人工智能技术的快速发展,将其应用于网络犯罪分析中可以大幅提升分析效率和准确性。
例如,通过深度学习算法可以自动识别图像中的犯罪嫌疑人,提高追踪和侦破效果。
2.全球合作与信息共享:网络犯罪具有跨国性和匿名性的特点,因此,全球范围内的合作和信息共享是打击网络犯罪的重要手段。
未来,各国应加强合作、分享情报,共同应对网络犯罪的挑战。
3.数据隐私与个人权益保护:在网络犯罪分析中,对于涉及个人信息的数据处理必须严格遵守法律法规和个人隐私保护原则。
如何利用网络追踪破解网络密码盗窃行为(七)
网络安全是当今社会不可忽视的问题,随着技术的不断进步,网络密码盗窃行为日益猖獗。
为了保护自己的信息安全,我们需要了解如何利用网络追踪,破解网络密码盗窃行为。
一、了解网络追踪的基本原理网络追踪是指通过技术手段追踪出网络攻击者的真实身份和行为轨迹。
在追踪过程中,我们可以利用一些技术手段获取攻击者的IP地址、进一步获取其所在地理位置等关键信息。
网络追踪是一种技术手段,通过分析攻击者的行为来达到保护自己信息安全的目的。
二、挖掘关键信息在网络追踪过程中,我们可以通过获取攻击者的IP地址来追踪其行踪。
IP地址是互联网上各个主机的唯一标识,通过分析IP地址,我们可以确定攻击者的虚拟位置,并进一步获取其所在地理位置等信息。
为了获取攻击者的IP地址,我们可以利用一些专业工具或者软件,进行网络监控和追踪。
三、追踪用户行为一旦获得了攻击者的IP地址和位置信息,我们可以追踪其在网络上的行为。
通过监控攻击者的行为轨迹,我们可以了解到他们盗取密码的方式和手段。
例如,在进行网络银行盗窃时,攻击者可能会使用钓鱼网站欺骗用户输入密码并截获密码信息。
通过追踪攻击者的行为,我们可以掌握他们的作案手法,从而更好地防范类似的攻击。
四、保护密码安全在追踪破解网络密码盗窃行为的同时,我们也要保护自己的密码安全。
首先,我们要建立强密码,避免使用简单的密码或常用的个人信息作为密码。
其次,我们要及时更换密码,并且不要将密码泄露给他人或使用不安全的网络进行密码操作。
此外,我们还可以配置防火墙和安装杀毒软件来保护个人信息的安全。
五、合法合规行动在追踪破解网络密码盗窃行为时,我们要注意合法合规。
跟踪网络攻击者的行为是为了保护个人信息的安全,而不是为了进行非法侵入和报复行为。
在行动过程中,我们必须遵守相关法律法规,不能采取非法手段,追踪时应尊重隐私权和个人权益。
六、加强网络安全意识为了进一步提升网络安全意识,我们可以通过关注网络安全相关的信息和新闻,了解网络攻击的最新动态,从而及时采取相应的防范措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011年第O6期 I doi:10 3969/j issn 1671-1122 2011 06 025
P 警 窖 (中国人民公安大学,北京100038) 摘要:该文将计算机网络技术和数据库理论应用于实际的网络犯罪侦查,提出了用于网络犯罪侦查取 证的IP定位跟踪技术,并在此基础上利用c++Builder和WinSock等编程方法开发了一套针对计算机网络犯 罪的IP定位跟踪软件系统。该系统可直接应用于网络犯罪的侦查办案,为公安部门破获网络犯罪案件提供有 利工具,大大提高了公安人员打击网络犯罪行为的效率 关键词:互联网;计算机犯罪侦查;IP地址定位 中图分类号:TP393.08 文献标识码:A 文章编号:1671—1122(2011)06—0072—03
The Research of IP Address Locating and Tracing Technology in Internet Crimes Investigation
ZHANG Yue—xian (ChinesePeople PublicSecurityUniversity,Beo'ing100038,China) Abstract:This paper applies the computer network technology and the database theory into the practical internet crime investigation,proposes an IP address locating and tracing technology which is used in the intemet crime investigation.and then uses the programming method such as C++Builder and WinSock to develop a software system which is used for the IP address locating and tracing in the intemet crimes.This system can be used into the internet crime investigation directly,provide some assistance for the public seeurity organs to solve the interact crime cases,and improve the efficiency of the policemen crack down on internet crime behavior greatly. Key words:intemet;computer crimes investigation;IP address locating
0引言 随着计算机和网络技术在各个领域中的迅速普及与广泛应用,计算机犯罪和网络犯罪案件大幅度增长,这些都给社会造成 了巨大的经济损失,甚至危害到社会的安定。计算机犯罪的问题越来越引起人们的关注,而计算机犯罪的侦查取证则成为了一个 亟待解决的课题。计算机犯罪案件的侦破工作一方面要坚持和遵循传统侦破方法,另一方面由于此类犯罪属于智能犯罪,它有 自身独特的特点和内在的规律。冈此,应着手对网络犯罪侦查技术进行专门的研究,以适应高速度发展的信息社会的需要…。针 对网络犯罪的电子监控和电子识别技术在对网络犯罪活动的侦查取证过程中,对特定IP地址进行获取、定位和跟踪以及对目标 IP主机信息的刺探就尤为重要。
1网络犯罪侦查的IP定位跟踪技术基本原理 1.1计算机网络犯罪侦查取证中lP地址的获取 在计算机网络犯罪侦查取证过程中,获得IP地址的方法很多,比如通过对Internet国际出El数据的过滤、通过对网络中传 输的电子数据的监听、查询互联网管理机构数据库、通过网络扫描或网络监听、email监控,或使用一些显示IP的外挂捅件应 用软件等,都可以获取网络主机的IP地址,这些IP地址有些是目标主机的真实IP,有些是伪装过的 l。 在某种程度上,可以说网上的任何访问者都能被查出来,互联网是基于IP地址的,一台主机在互联网上的一切行为都要打 上IP地址的烙印,因为网络通讯都有数据发送者与数据接收者,所以只要有人和你的主机进行通讯,你都能知道对方的IP地址, 即使对方在防火墙后也至少能够知道对方防火墙的地址。 ●
_l 72 收稿时间:2011—05—06
作者简介:张跃仙(1987)男,山东,硕士研究生,主要研究方向:公安信息系统与指挥决策。 201 1年第O6期 IP封装技术的本质就是:纯文本的包被加密,封装在外 层的IP报头用来对加密的包进行网络上的路由选择。到达另 一端时,外层的IP报头被拆开,报文被解密,然后送到收报 地点。各种应用程序获取IP地址的实质就是分析IP数据报 头并从中取出源或目的IP地址删。 1.2计算机网络犯罪侦查取证中lP地址的定位 通过网络通讯记录下对方的IP地址,依据IP地址或域名 找出其所在地理位置。首先根据IP地址的分配,建立一个含 有对应真实地理位置的IP地址数据库,在这个数据库中,每 一个IP地址或IP地址段都对应该IP地址或地址段的真实地 理位置。通过在互联网上收集公布的国内外IP分配数据,以及 个人搜集或验证的IP数据。然后,再使用编程方法开发一个软 件系统,就可以实现对输入的IP地址在数据库中查询后输出其 对应的真实地理位置。 在计算机网络犯罪的侦查取证过程中,获取了特定目标主 机的IP地址后,利用该软件系统,在脱机的情况下从数据库 中查询出具有该IP地址的主机的真实地理位置,就可以缩小 侦查范围、缩短办案时间,提高工作效率。 1.3计算机网络犯罪侦查取证中lP地址的跟踪 根据侦查的需要,可以设计在连线的情况下程序利用网 络技术对远程主机进行跟踪和查询,获得具有该IP地址主机 的一些有用信息,以帮助侦查取证l4】。 在计算机网络犯罪侦查取证过程中,对目标主机的主机 状态进行监视和跟踪、记录,主要是监控目标主机是否提供 某项服务。由于这些常用的服务总是使用特定的默认端口,所 以要想跟踪远程主机是否提供某项服务,关键是以此服务的 协议向远程主机的特定端口发送一个数据包,如果有应答, 就表示主机可以提供此服务,如果在特定的时间内没有应答, 就表明远程主机不提供此服务嘲。 根据上面的理论,可以开发一个软件系统,通过查询该 主机是否开放某个端El来实现目标IP地址主机是否提供某项 服务,以确定目标IP主机的状态,为网络犯罪的侦查取证提 供线索和帮助。 2网络犯罪侦查的JP定位跟踪系统软件设计和实现 利用网络编程技术,以独立软件的形式对IP定位跟踪系 统加以实现。该系统的设计目标是:生成一个单机版应用程序, 对输入的某一IP地址,在点击“定位”按钮后,能在脱机状 态下进行数据库查询,迅速确定并输出该IP地址所对应的真 实地理位置;对输入的某一IP地址,在点击“跟踪”按钮后, 能在连接到互联网的情况下对该IP主机状态进行跟踪监控, 获取并输出该IP主机的相关信息,如主机名、该主机提供的 服务等,为计算机网络犯罪侦查办案提供线索。 2.1程序界面的设计 IP定位跟踪系统软件界面 设计:运行C++Builder6.0,创 建一个新的项目文件,会出现一 个窗体Forml,在Forml上放置 =:个TGroupBox控件分别用于三 个模块:“本地主机IP地址和计 算机名检测”、“远程主机定位” 和“远程主机跟踪检测”。对 Forml及其各个控件的屙『生进行 正确设置后,生成的IP定位跟
瓣鼯黼 磷 瓣 瑚 剃甜 黼辫 …t一…峨 一f一 |蓐喜 , 爨 《 嚣_ | 镬舶凄冀 ?嚣, |磐 | -- ||I …萼‘÷疹
f ■ 一 。 ————一 拜蟪
瓣 =¨ l ,罐群孝墒 霸 | … i龉难赫'昂镰啭'峨钱 嚣 |。豫i等一t y罅 霸捌瞎 尊龋蓐鬈|。¨¨ ≮ ||, 、 0霹菇 0 ,
如 目_羲: 鬈≯ 嚣 |。 曩 。0 一|
?_璧!譬等 蠡蝤 j 图1 IP定位跟踪系统软件界面 踪系统软件界面如图1所示。下面将创建三个TButton控件的 OnClick事件处理函数,实现上面所述的各个功能。 2.2本地主机lP地址和计算机名检测功能的设计与实现 要在应用程序中获取本计算机的IP地址,可以使 用WinSock API来实现。本程序中利用Winsock API的 gethostname函数取得本地计算机的标准主机名,gethostname 函数的声明方式如下: jn gethoslname(OUT char FAR IIDBIe.IN inI namelen) 其中参数name返回char型的本地主机名,namelen是int 型的name参数长度。 可以写出获取主机名的ResolveHostName函数代码如下: AnsiString Res0lveH0stName『v0id1 { char H0stName[256]; //返回主机名(host name1 geth0stname(Hos£Name,sizeof(HostName)); return(StrPas(HostName)); }
利用Winsock API的gethostbyname函数可以取得对应于 给定主机名的主机信息,gethostbyname函数返回hostent结构 指针,hostent的结构变量h—addr~list代表的就是以网络位顺 序返回的IP地址,对其进行转换就可以获取本机IP^ 获取主机名的ResolveIP函数代码如下: AnsiString ResolveIP(void) f char H0stName【256]; inti; AnsiString IPV4; gethostname(HostName,size0f(H0stNam e1): hostent RemoteHost=gethostby”ame(H0stName): if(RemoteHost==0) { return(”error”); ) for(i-0;Rem0teH0s卜>h—addr list[i]!=0;++i) ( in~addr addr;
memcpy(&addr,RemoteHost->h—addr_list[i],sizeof(in—add r1); IPⅥ=IPV4+strPas(ineI—ntoa(addr)); ) return(IPV4); }