王鵬

中國人民公安大學(xué) 北京 100038

0 前言

基于現(xiàn)行刑訴法，動(dòng)態(tài)取證研究的主要熱點(diǎn)：一是利用入侵檢測系統(tǒng)IDS來檢測非法的入侵或惡意行為，對(duì)這些行為記錄日志，并將日志作為網(wǎng)絡(luò)取證的主要證據(jù)源；另外一個(gè)研究方向是將動(dòng)態(tài)取證同誘騙技術(shù)結(jié)合起來，利用蜜罐等誘騙系統(tǒng)來收集證據(jù)，這種取證方式可以減少取整量，拖延攻擊者對(duì)真實(shí)目標(biāo)的攻擊，但蜜罐系統(tǒng)有個(gè)致命的缺陷：有可能被用來作為進(jìn)一步攻擊的跳板。2013年1月1日，新的刑事訴訟法實(shí)施以后，電子數(shù)據(jù)被列為法定證據(jù)范疇，同時(shí)合法的利用技術(shù)偵查措施取得的電子數(shù)據(jù)將可以作為訴訟證據(jù)使用，這使得動(dòng)態(tài)取證的研究領(lǐng)域進(jìn)一步擴(kuò)展，取證的目標(biāo)可以瞄向廣袤的互聯(lián)網(wǎng)世界。基于新刑事訴訟法的動(dòng)態(tài)取證，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控將成為主要的動(dòng)態(tài)取證方式。常見的網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控模式可以分為兩種：一種是旁路監(jiān)控模式，另一種是串聯(lián)監(jiān)控模式。兩種監(jiān)控模式各有優(yōu)缺點(diǎn)：

1 旁路模式的優(yōu)缺點(diǎn)

1.1 優(yōu)點(diǎn)

(1) 旁路監(jiān)控模式部署起來比較靈活方便，只需要在交換機(jī)上面配置鏡像端口即可，不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。

(2) 旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù)，對(duì)原始傳遞的數(shù)據(jù)包不會(huì)造成延時(shí)，不會(huì)對(duì)網(wǎng)速造成任何影響。而串聯(lián)模式是串聯(lián)在網(wǎng)絡(luò)中的，那么所有的數(shù)據(jù)必須先經(jīng)過監(jiān)控系統(tǒng)，所以會(huì)對(duì)網(wǎng)速有一定的延時(shí)。

(3) 旁路監(jiān)控設(shè)備一旦故障或者停止運(yùn)行，不會(huì)影響現(xiàn)有網(wǎng)絡(luò)。而串聯(lián)監(jiān)控設(shè)備如果出現(xiàn)故障，會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。

1.2 缺點(diǎn)

(1) 需要交換機(jī)或者路由支持“端口鏡像”功能才可以實(shí)現(xiàn)監(jiān)控。

(2) 旁路模式采用發(fā)送RST包的方式來斷開TCP連接，不能禁止UDP通訊。對(duì)于UDP應(yīng)用，一般還需要在路由器上面禁止UDP端口進(jìn)行配合。而串聯(lián)模式不存在該問題。

(3) 有丟包的現(xiàn)象。

2 串聯(lián)模式的優(yōu)缺點(diǎn)

2.1 優(yōu)點(diǎn)

(1) 利用windows自帶的“網(wǎng)關(guān)”、“網(wǎng)橋”功能即可實(shí)現(xiàn)，不需要硬件設(shè)備的支持。

(2) 可以禁止UDP通訊數(shù)據(jù)包。

2.2 缺點(diǎn)

(1) 與“旁路監(jiān)控”相比較，“網(wǎng)關(guān)”、“網(wǎng)橋”的配置更加復(fù)雜些。

(2) 串聯(lián)模式，所有網(wǎng)絡(luò)數(shù)據(jù)流都經(jīng)過監(jiān)控設(shè)備，對(duì)網(wǎng)速有少許的影響。

(3) 串聯(lián)監(jiān)控設(shè)備故障(斷電或死機(jī))會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。

在新的刑訴法框架下，對(duì)于重特大案件的網(wǎng)絡(luò)監(jiān)控取證，尤其是對(duì)加密通道的監(jiān)控取證，往往要求既不能丟包又不能因?yàn)樵O(shè)備故障、中斷網(wǎng)絡(luò)而“打草驚蛇”，影響整個(gè)取證工作。因此需要針對(duì)實(shí)際需要，設(shè)計(jì)一種新型的監(jiān)控模式——3G遠(yuǎn)程控制串聯(lián)+路模式：在串聯(lián)模式下引入旁路的思想，將BYPASS技術(shù)應(yīng)用于串聯(lián)監(jiān)控模式當(dāng)中，從而把串聯(lián)模式和旁路模式結(jié)合起來。這樣，網(wǎng)絡(luò)監(jiān)控設(shè)備可以實(shí)現(xiàn)既不丟包又不會(huì)因擋機(jī)而斷網(wǎng)的功能。同時(shí)，在網(wǎng)絡(luò)監(jiān)控設(shè)備中加入一個(gè)“3G工作監(jiān)控模塊”來實(shí)現(xiàn)遠(yuǎn)程控制和檢測網(wǎng)絡(luò)監(jiān)控設(shè)備工作狀況的功能。

3 旁路技術(shù)概述

旁路，英文為Bypass，顧名思義，也就是說可以通過特定的觸發(fā)狀態(tài)(斷電或死機(jī))讓網(wǎng)絡(luò)數(shù)據(jù)流不通過網(wǎng)絡(luò)監(jiān)控設(shè)備，而直接物理上導(dǎo)通。所以有了Bypass后，當(dāng)網(wǎng)絡(luò)監(jiān)測設(shè)備故障以后，還可以讓網(wǎng)絡(luò)導(dǎo)通，當(dāng)然這個(gè)時(shí)候這臺(tái)網(wǎng)絡(luò)設(shè)備也就不會(huì)再對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行監(jiān)控處理了。此時(shí)，3G工作監(jiān)控模塊會(huì)立即將網(wǎng)絡(luò)監(jiān)控設(shè)備故障的信息通知指揮中心，及時(shí)維護(hù)設(shè)備。圖1、圖2說明了旁路技術(shù)的工作方式：其中網(wǎng)絡(luò)監(jiān)控設(shè)備分上行、下行端口及光纖、非五類線端口，五類線端口連接采用正線連接；3G工作模塊是嵌入式系統(tǒng)，用來遠(yuǎn)程登陸控制網(wǎng)絡(luò)監(jiān)控設(shè)備并檢測其工作狀態(tài)，工作模塊軟件采用客戶端系統(tǒng)實(shí)現(xiàn)控制；旁路功能工作時(shí)，起到直通的功能。

圖1 網(wǎng)絡(luò)監(jiān)控設(shè)備處于正常監(jiān)控模式

圖2 (網(wǎng)絡(luò)監(jiān)控設(shè)備故障Bypass啟動(dòng)模式)

4 旁路技術(shù)分類及應(yīng)用方式

Bypass一般按照控制方式或者稱為觸發(fā)方式來分，可以分為以下幾個(gè)方式：

(1) 通過電源觸發(fā)。這種方式下，一般是在設(shè)備沒有通電的情況下，Bypass功能打開，如果設(shè)備一旦通電后，Bypass立即調(diào)整為關(guān)閉狀態(tài)。

(2) 由GPIO來控制。在進(jìn)入OS后，可以通過GPIO來對(duì)特定的端口操作，從而實(shí)現(xiàn)對(duì)Bypass開關(guān)的控制。

(3) 由Watchdog來控制。這種情況實(shí)際是對(duì)方式2的一種延伸應(yīng)用，可以通過Watchdog來控制GPIO Bypass程序的啟用與關(guān)閉，從而實(shí)現(xiàn)對(duì)Bypass狀態(tài)的控制。使用這種方式后，平臺(tái)如果死機(jī)就可以由Watchdog來打開Bypass。具體流程如圖3：

圖3 Bypass功能流程圖

在實(shí)際的應(yīng)用中，這3種狀態(tài)往往是同時(shí)存在的，尤其是1和2兩種方式。一般的應(yīng)用方法為：在斷電的情況下，設(shè)備處于Bypass打開狀態(tài)，然后設(shè)備上電后，由于BIOS可以對(duì)Bypass作操作，所以在BIOS接管設(shè)備后，Bypass仍然處于打開狀態(tài)，然后OS啟動(dòng)，當(dāng)OS啟動(dòng)后，一般會(huì)執(zhí)行GPIO的Bypass程序，將Bypass關(guān)閉，這樣可以應(yīng)用程序就可以發(fā)揮作用了。也就是說在整個(gè)啟動(dòng)過程中，幾乎不會(huì)造成網(wǎng)絡(luò)的斷開。只有在設(shè)備剛剛上電到BIOS接管這短短的2-3秒鐘的時(shí)間會(huì)使網(wǎng)絡(luò)斷開。

5 Bypass實(shí)現(xiàn)的原理分析

簡單說明了Bypass的控制方式后，再對(duì)Bypass工作原理作一下簡要的說明。Bypass的工作原理主要從硬件和軟件兩方面來分析。

5.1 硬件方面

在硬件層面上，要實(shí)現(xiàn)Bypass，主要使用的就是繼電器。這些繼電器主要連接各個(gè)網(wǎng)口信號(hào)線上，下圖以其中一根信號(hào)線來說明繼電器在其中的工作方式。以電源觸發(fā)為例，當(dāng)斷電的情況下，繼電器內(nèi)的開關(guān)將會(huì)跳撥到1的狀態(tài)，即將LAN RJ45入接口上的線直接和LAN RJ45出導(dǎo)通；而當(dāng)設(shè)備通電后，開關(guān)就會(huì)導(dǎo)通到2上。

繼電器開關(guān)示意圖

5.2 軟件方面

在Bypass的分類中談到了GPIO和Watchdog兩種方式來控制、觸發(fā)Bypass，實(shí)際上這兩種方式都是對(duì)GPIO作操作，然后由GPIO來控制硬件上的繼電器作相應(yīng)的跳轉(zhuǎn)。具體就是相應(yīng)的GPIO如果被置成高電平，那么繼電器就相應(yīng)的跳轉(zhuǎn)到位置2，相反如果GPIO置成低電平，則繼電器就跳轉(zhuǎn)到位置1。對(duì)GPIO寫入“0”或“1”，就可以實(shí)現(xiàn)對(duì)Bypass進(jìn)行開關(guān)的控制。另外對(duì)于Watchdog Bypass，實(shí)際上是在上面的GPIO控制的基礎(chǔ)上，增加Watchdog控制Bypass。首先系統(tǒng)激活Watchdog功能，通常情況下，當(dāng)Watchdog生效后，系統(tǒng)會(huì)Reset；但如果使用了Watchdog Bypass功能，則在Watchdog生效后，系統(tǒng)不會(huì)Reset，而是將相對(duì)應(yīng)的網(wǎng)口Bypass打開，使設(shè)備呈現(xiàn)為Bypass狀態(tài)。實(shí)際這種Bypass，也是通過 GPIO來控制 Bypass的，只不過這種情況下，向GPIO寫入低電平的工作由Watchdog來執(zhí)行，不需要另外編程來寫GPIO。值得注意的事，如果使用了Watchdog Bypass，則Watchdog將不能再讓系統(tǒng)Reset了。

6 結(jié)束語

旁路技術(shù)應(yīng)用于串聯(lián)網(wǎng)絡(luò)監(jiān)控模式雖然可以解決不丟包、不斷網(wǎng)的問題，但在網(wǎng)速上還是有影響的，尤其是監(jiān)控網(wǎng)絡(luò)內(nèi)多臺(tái)計(jì)算機(jī)時(shí)，對(duì)網(wǎng)速延時(shí)較大。設(shè)備提供的光纖接入端口可以有效解決網(wǎng)速延時(shí)問題，待光纖入戶普及工程結(jié)束時(shí)，串聯(lián)旁路技術(shù)對(duì)網(wǎng)速的延時(shí)將會(huì)被忽略。或許那時(shí)，會(huì)有更好的技術(shù)解決方案。

[1]孫知信.網(wǎng)絡(luò)異常流量識(shí)別與監(jiān)控技術(shù)研究[M].北京：清華大學(xué)出版社.2010.

[2]http://www.youxia.org/2008/10/Bypass-JieShao.html.

[3]http://www.softbar.com/blog/post/64.html.