趙文浩 高進(jìn)春 云南省玉溪市公安局

引言

近年來(lái)，西方國(guó)家與境外敵對(duì)反華勢(shì)力利用互聯(lián)網(wǎng)對(duì)我國(guó)的滲透日趨嚴(yán)峻，隨著網(wǎng)絡(luò)信息科技的日新月異，意識(shí)形態(tài)的傳播呈現(xiàn)出從傳統(tǒng)領(lǐng)域向網(wǎng)絡(luò)領(lǐng)域延伸的特點(diǎn)。網(wǎng)絡(luò)空間不僅是不同意識(shí)形態(tài)和價(jià)值觀念匯聚的表達(dá)平臺(tái)，更是不同意識(shí)形態(tài)爭(zhēng)奪的戰(zhàn)場(chǎng)。我國(guó)對(duì)于境外有害內(nèi)容、應(yīng)用的整治，從政治色情類(lèi)網(wǎng)站到社交軟件應(yīng)用，很多具有明顯意識(shí)形態(tài)的網(wǎng)站、應(yīng)用被屏蔽，然而國(guó)內(nèi)一些有特殊利益需求、電信詐騙犯罪、黑客產(chǎn)業(yè)鏈等群體以及民運(yùn)、維穩(wěn)、涉恐對(duì)象對(duì)VPN等翻墻工具的依賴(lài)性極強(qiáng)。

然而VPN等翻墻工具的搭建成本及技術(shù)門(mén)檻并不高，在國(guó)外購(gòu)買(mǎi)VPS，就可以通過(guò)腳本將其變成VPN對(duì)外銷(xiāo)售，利潤(rùn)相當(dāng)可觀，很多網(wǎng)民甚至能通過(guò)一鍵安裝腳本自行在國(guó)外主機(jī)搭建VPN等工具，這使得通過(guò)銷(xiāo)售VPN來(lái)賺錢(qián)成為一個(gè)可行的商業(yè)方案。隨著VPN需求的日益擴(kuò)大，VPN逐步形成了一個(gè)產(chǎn)業(yè)。

如何對(duì)翻墻行為取證固定，溯源并打擊VPN服務(wù)提供者成為上述案件偵辦中必不可少的取證環(huán)節(jié)，本文將著重討論VPN的發(fā)展技術(shù)以及客戶(hù)端和服務(wù)器端的取證思路。

一、VPN在我國(guó)的現(xiàn)狀

（一）VPN的特點(diǎn)

一是隱藏真實(shí)IP地址，如網(wǎng)絡(luò)黑產(chǎn)、黑客攻擊、薅羊毛等；二是繞過(guò)網(wǎng)絡(luò)審查，避開(kāi)長(zhǎng)城防火墻訪問(wèn)境外網(wǎng)站；三是加速服務(wù)，如為網(wǎng)絡(luò)游戲提供提速、部署CND內(nèi)容分發(fā)網(wǎng)絡(luò)節(jié)點(diǎn)；四是模擬地域，如繞開(kāi)網(wǎng)站訪問(wèn)地域限制、視頻版權(quán)播放區(qū)域限制。

當(dāng)前我國(guó)手機(jī)用戶(hù)已超過(guò)10億，越來(lái)越多的人通過(guò)手機(jī)替代了計(jì)算機(jī)上網(wǎng)，通過(guò)手機(jī)使用VPN需要安裝相應(yīng)的APP應(yīng)用程序，個(gè)人計(jì)算機(jī)使用VPN則在網(wǎng)絡(luò)和共享中心中新增VPN鏈接后設(shè)置IP、密碼，導(dǎo)入相關(guān)證書(shū)即可。

（二）代理與VPN的區(qū)別

代理服務(wù)器通常是在應(yīng)用層（HTTP）或傳輸層（SOCK）完成，屬于軟件應(yīng)用層的應(yīng)用范圍，代理過(guò)程所有傳輸數(shù)據(jù)在代理服務(wù)器上都可獲取，代理破網(wǎng)雖實(shí)現(xiàn)了匿名訪問(wèn)網(wǎng)絡(luò)，但存在隱私安全。用戶(hù)與VPN之間的鏈接通過(guò)建立加密通道傳輸數(shù)據(jù)，所有數(shù)據(jù)都通過(guò)VPN隧道傳輸，應(yīng)用范圍屬于系統(tǒng)全局，VPN能實(shí)現(xiàn)代理的所有功能，移動(dòng)智能終端使用VPN需要安裝客戶(hù)端應(yīng)用，但VPN服務(wù)器上可保留日志記錄，通過(guò)服務(wù)器可獲取用戶(hù)訪問(wèn)數(shù)據(jù)。

二、VPN的技術(shù)分析

在破網(wǎng)的實(shí)際過(guò)程中，有多種方式的VPN使用方法和技術(shù)。根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按如下幾種類(lèi)型進(jìn)行分類(lèi)：

（一）按VPN的協(xié)議分類(lèi)

VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec。其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱(chēng)為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

PPTP支持通過(guò)公共網(wǎng)絡(luò)（例如Internet）建立按需的、多協(xié)議的、虛擬專(zhuān)用網(wǎng)絡(luò)。PPTP允許加密IP通訊，然后在要跨越公司IP網(wǎng)絡(luò)或公共IP網(wǎng)絡(luò)（如Internet）發(fā)送的IP頭中對(duì)其進(jìn)行封裝。

PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。PPTP只能在兩端點(diǎn)間建立單一隧道，L2TP支持在兩端點(diǎn)間使用多隧道，用戶(hù)可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

IPSec有兩種模式，傳輸模式和隧道模式。使用隧道模式時(shí)，IPSec對(duì)IP報(bào)頭和有效負(fù)載進(jìn)行加密，VPN客戶(hù)端要訪問(wèn)的目標(biāo)IP和內(nèi)容隱藏在加密數(shù)據(jù)中，從而實(shí)現(xiàn)繞過(guò)長(zhǎng)城防火墻的目的，而加密后數(shù)據(jù)無(wú)法在網(wǎng)絡(luò)上路由，故IPSec隧道再增加新的IP頭（目標(biāo)IP指向VPN服務(wù)器），加密數(shù)據(jù)傳輸?shù)絍PN服務(wù)器后，服務(wù)器解密數(shù)據(jù)，獲取客戶(hù)端欲訪問(wèn)的真實(shí)目標(biāo)IP，轉(zhuǎn)發(fā)從而實(shí)現(xiàn)翻墻功能。而傳輸模式只對(duì)IP有效負(fù)載進(jìn)行加密，未對(duì)IP頭進(jìn)行修改，不能實(shí)現(xiàn)翻墻功能。

（二）按VPN的應(yīng)用分類(lèi)

1. Access VPN（遠(yuǎn)程接入VPN）

客戶(hù)端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量。此類(lèi)VPN服務(wù)方式較為普遍，一般網(wǎng)民破網(wǎng)翻墻主要采取此方式。

2. Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）

網(wǎng)關(guān)到網(wǎng)關(guān)，通過(guò)公司的網(wǎng)絡(luò)架構(gòu)連接來(lái)自同公司的資源。

3. Extranet VPN（外聯(lián)網(wǎng)VPN）

與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

（三）VPN在實(shí)際生活中的應(yīng)用

VPN在現(xiàn)實(shí)中有多種實(shí)現(xiàn)方式，常見(jiàn)的有VPN服務(wù)器、軟件VPN、硬件VPN、集成VPN。

當(dāng)前互聯(lián)網(wǎng)上開(kāi)源VPN搭建方案較多，網(wǎng)民可在香港地區(qū)或以外地區(qū)購(gòu)買(mǎi)一臺(tái)VPS服務(wù)器，并做簡(jiǎn)單設(shè)置后即可提供VPN服務(wù)。目前較為流行的開(kāi)源VPN如表1所示。

?

三、案件中VPN相關(guān)調(diào)查取證思路

在實(shí)際案件中，對(duì)私自利用VPS搭建VPN應(yīng)用，并非法提供VPN服務(wù)的情形，首要任務(wù)是通過(guò)現(xiàn)場(chǎng)勘驗(yàn)或遠(yuǎn)程勘驗(yàn)方式對(duì)VPS服務(wù)器進(jìn)行取證，固定VPN的運(yùn)行痕跡，配置文件和日志文件。對(duì)使用VPN的終端，通過(guò)常規(guī)計(jì)算機(jī)勘驗(yàn)即可取證。因開(kāi)源VPN方案較多，本部分重點(diǎn)就Center OS系統(tǒng)下部署strongswan VPN的取證展開(kāi)討論。

（一）VPN服務(wù)器端的取證

1. 信息收集

考慮到此類(lèi)取證涉案VPN服務(wù)器多為異地或境外，采取遠(yuǎn)程勘驗(yàn)情形較多。在開(kāi)展遠(yuǎn)勘前首先向辦案部門(mén)獲取VPN服務(wù)器管理員口令，并保證全程錄音錄像，登錄服務(wù)器后查看在線用戶(hù)，并立即修改管理員口令，以防其他用戶(hù)登錄服務(wù)器修改、刪除文件內(nèi)容。

還需要提取系統(tǒng)時(shí)間、內(nèi)存、網(wǎng)絡(luò)狀態(tài)、系統(tǒng)進(jìn)程、端口、開(kāi)機(jī)啟動(dòng)項(xiàng)、主機(jī)與外部的通信連接信息等易丟失數(shù)據(jù)。

2. 關(guān)鍵數(shù)據(jù)提取

在取得服務(wù)器控制權(quán)并提取易丟失數(shù)據(jù)后，著重對(duì)VPS服務(wù)器中部署VPN相關(guān)數(shù)據(jù)進(jìn)行提取。Strongswan是一個(gè)基于IPSec的多平臺(tái)VPN解決方案，該程序安裝成功后部分文件路徑如表2所示。

?

從表中可以看出，strongswan部署成功后會(huì)產(chǎn)生三個(gè)配置文件strongswan.conf、ipsec.conf和ipsec.secrets。其中strongswan.conf文件為主配置文件，保護(hù)VPN的DNS地址、是否開(kāi)啟日志等信息。

Ipsec.conf文件可獲取證書(shū)配置信息、共享密鑰認(rèn)證信息和客戶(hù)端連接后的IP地址段，其中專(zhuān)門(mén)針對(duì)IOS、android、windows有配置說(shuō)明。

Ipsec.secrets文件可獲取配置認(rèn)證方式和認(rèn)證用戶(hù)名、密碼信息，通過(guò)命令strongswan status可查看當(dāng)前連接服務(wù)器使用VPN的用戶(hù)。

（二）客戶(hù)端取證

蘋(píng)果手機(jī)在VPN選項(xiàng)中可直接查看VPN類(lèi)型、服務(wù)器地址、用戶(hù)名及密碼。安卓和蘋(píng)果系統(tǒng)手機(jī)在使用IKEV1類(lèi)型VPN時(shí)無(wú)需證書(shū)，直接以“用戶(hù)名+密碼+共享密碼”方式登錄，可直接提??；使用IKEV2類(lèi)型VPN時(shí)，若為自簽名證書(shū)，則手機(jī)需手動(dòng)導(dǎo)入證書(shū)。

Windows7以上的個(gè)人計(jì)算機(jī)均支持IKEV2類(lèi)型，證書(shū)導(dǎo)入在“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”中，可通過(guò)運(yùn)行mmc 命令從“計(jì)算機(jī)的證書(shū)管理”單元找到證書(shū)，在“控制面板>網(wǎng)絡(luò)和Internet>網(wǎng)絡(luò)連接”中找到VPN鏈接地址。

通過(guò)對(duì)VPN服務(wù)器的遠(yuǎn)程取證，提取關(guān)鍵配置和日志文件、VPN服務(wù)運(yùn)行狀態(tài)和用戶(hù)連接狀態(tài)等電子數(shù)據(jù)，固定服務(wù)器提供VPN應(yīng)用的事實(shí)，可為后期依照相關(guān)法律法規(guī)打擊處理提供證據(jù)支撐。

四、結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)犯罪的黑產(chǎn)、灰產(chǎn)對(duì)匿名訪問(wèn)網(wǎng)絡(luò)的需求增大，翻墻破網(wǎng)已成為此類(lèi)人群的上網(wǎng)常態(tài)，并不斷催生出越來(lái)越多的VPN制銷(xiāo)團(tuán)隊(duì)。當(dāng)前從法律和技術(shù)來(lái)說(shuō)對(duì)VPN的屏蔽和封殺存在許多問(wèn)題，但制售VPN的人或團(tuán)隊(duì)則相對(duì)固定，以盈利為目的，通過(guò)資金鏈可有效追溯犯罪嫌疑人的真實(shí)身份。一旦鎖定嫌疑對(duì)象，結(jié)合現(xiàn)場(chǎng)或遠(yuǎn)程電子數(shù)據(jù)勘驗(yàn)固定VPN服務(wù)器相關(guān)日志數(shù)據(jù)，可為偵查辦案提供證據(jù)支撐，實(shí)施精準(zhǔn)打擊。