趙文浩 高進春 云南省玉溪市公安局

引言

近年來，西方國家與境外敵對反華勢力利用互聯(lián)網(wǎng)對我國的滲透日趨嚴峻，隨著網(wǎng)絡信息科技的日新月異，意識形態(tài)的傳播呈現(xiàn)出從傳統(tǒng)領域向網(wǎng)絡領域延伸的特點。網(wǎng)絡空間不僅是不同意識形態(tài)和價值觀念匯聚的表達平臺，更是不同意識形態(tài)爭奪的戰(zhàn)場。我國對于境外有害內(nèi)容、應用的整治，從政治色情類網(wǎng)站到社交軟件應用，很多具有明顯意識形態(tài)的網(wǎng)站、應用被屏蔽，然而國內(nèi)一些有特殊利益需求、電信詐騙犯罪、黑客產(chǎn)業(yè)鏈等群體以及民運、維穩(wěn)、涉恐對象對VPN等翻墻工具的依賴性極強。

然而VPN等翻墻工具的搭建成本及技術門檻并不高，在國外購買VPS，就可以通過腳本將其變成VPN對外銷售，利潤相當可觀，很多網(wǎng)民甚至能通過一鍵安裝腳本自行在國外主機搭建VPN等工具，這使得通過銷售VPN來賺錢成為一個可行的商業(yè)方案。隨著VPN需求的日益擴大，VPN逐步形成了一個產(chǎn)業(yè)。

如何對翻墻行為取證固定，溯源并打擊VPN服務提供者成為上述案件偵辦中必不可少的取證環(huán)節(jié)，本文將著重討論VPN的發(fā)展技術以及客戶端和服務器端的取證思路。

一、VPN在我國的現(xiàn)狀

（一）VPN的特點

一是隱藏真實IP地址，如網(wǎng)絡黑產(chǎn)、黑客攻擊、薅羊毛等；二是繞過網(wǎng)絡審查，避開長城防火墻訪問境外網(wǎng)站；三是加速服務，如為網(wǎng)絡游戲提供提速、部署CND內(nèi)容分發(fā)網(wǎng)絡節(jié)點；四是模擬地域，如繞開網(wǎng)站訪問地域限制、視頻版權播放區(qū)域限制。

當前我國手機用戶已超過10億，越來越多的人通過手機替代了計算機上網(wǎng)，通過手機使用VPN需要安裝相應的APP應用程序，個人計算機使用VPN則在網(wǎng)絡和共享中心中新增VPN鏈接后設置IP、密碼，導入相關證書即可。

（二）代理與VPN的區(qū)別

代理服務器通常是在應用層（HTTP）或傳輸層（SOCK）完成，屬于軟件應用層的應用范圍，代理過程所有傳輸數(shù)據(jù)在代理服務器上都可獲取，代理破網(wǎng)雖實現(xiàn)了匿名訪問網(wǎng)絡，但存在隱私安全。用戶與VPN之間的鏈接通過建立加密通道傳輸數(shù)據(jù)，所有數(shù)據(jù)都通過VPN隧道傳輸，應用范圍屬于系統(tǒng)全局，VPN能實現(xiàn)代理的所有功能，移動智能終端使用VPN需要安裝客戶端應用，但VPN服務器上可保留日志記錄，通過服務器可獲取用戶訪問數(shù)據(jù)。

二、VPN的技術分析

在破網(wǎng)的實際過程中，有多種方式的VPN使用方法和技術。根據(jù)不同的劃分標準，VPN可以按如下幾種類型進行分類：

（一）按VPN的協(xié)議分類

VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec。其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

PPTP支持通過公共網(wǎng)絡（例如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡。PPTP允許加密IP通訊，然后在要跨越公司IP網(wǎng)絡或公共IP網(wǎng)絡（如Internet）發(fā)送的IP頭中對其進行封裝。

PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡上的傳輸。PPTP只能在兩端點間建立單一隧道，L2TP支持在兩端點間使用多隧道，用戶可以針對不同的服務質量創(chuàng)建不同的隧道。

IPSec有兩種模式，傳輸模式和隧道模式。使用隧道模式時，IPSec對IP報頭和有效負載進行加密，VPN客戶端要訪問的目標IP和內(nèi)容隱藏在加密數(shù)據(jù)中，從而實現(xiàn)繞過長城防火墻的目的，而加密后數(shù)據(jù)無法在網(wǎng)絡上路由，故IPSec隧道再增加新的IP頭（目標IP指向VPN服務器），加密數(shù)據(jù)傳輸?shù)絍PN服務器后，服務器解密數(shù)據(jù)，獲取客戶端欲訪問的真實目標IP，轉發(fā)從而實現(xiàn)翻墻功能。而傳輸模式只對IP有效負載進行加密，未對IP頭進行修改，不能實現(xiàn)翻墻功能。

（二）按VPN的應用分類

1. Access VPN（遠程接入VPN）

客戶端到網(wǎng)關，使用公網(wǎng)作為骨干網(wǎng)在設備之間傳輸VPN數(shù)據(jù)流量。此類VPN服務方式較為普遍，一般網(wǎng)民破網(wǎng)翻墻主要采取此方式。

2. Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）

網(wǎng)關到網(wǎng)關，通過公司的網(wǎng)絡架構連接來自同公司的資源。

3. Extranet VPN（外聯(lián)網(wǎng)VPN）

與合作伙伴企業(yè)網(wǎng)構成Extranet，將一個公司與另一個公司的資源進行連接。

（三）VPN在實際生活中的應用

VPN在現(xiàn)實中有多種實現(xiàn)方式，常見的有VPN服務器、軟件VPN、硬件VPN、集成VPN。

當前互聯(lián)網(wǎng)上開源VPN搭建方案較多，網(wǎng)民可在香港地區(qū)或以外地區(qū)購買一臺VPS服務器，并做簡單設置后即可提供VPN服務。目前較為流行的開源VPN如表1所示。

?

三、案件中VPN相關調查取證思路

在實際案件中，對私自利用VPS搭建VPN應用，并非法提供VPN服務的情形，首要任務是通過現(xiàn)場勘驗或遠程勘驗方式對VPS服務器進行取證，固定VPN的運行痕跡，配置文件和日志文件。對使用VPN的終端，通過常規(guī)計算機勘驗即可取證。因開源VPN方案較多，本部分重點就Center OS系統(tǒng)下部署strongswan VPN的取證展開討論。

（一）VPN服務器端的取證

1. 信息收集

考慮到此類取證涉案VPN服務器多為異地或境外，采取遠程勘驗情形較多。在開展遠勘前首先向辦案部門獲取VPN服務器管理員口令，并保證全程錄音錄像，登錄服務器后查看在線用戶，并立即修改管理員口令，以防其他用戶登錄服務器修改、刪除文件內(nèi)容。

還需要提取系統(tǒng)時間、內(nèi)存、網(wǎng)絡狀態(tài)、系統(tǒng)進程、端口、開機啟動項、主機與外部的通信連接信息等易丟失數(shù)據(jù)。

2. 關鍵數(shù)據(jù)提取

在取得服務器控制權并提取易丟失數(shù)據(jù)后，著重對VPS服務器中部署VPN相關數(shù)據(jù)進行提取。Strongswan是一個基于IPSec的多平臺VPN解決方案，該程序安裝成功后部分文件路徑如表2所示。

?

從表中可以看出，strongswan部署成功后會產(chǎn)生三個配置文件strongswan.conf、ipsec.conf和ipsec.secrets。其中strongswan.conf文件為主配置文件，保護VPN的DNS地址、是否開啟日志等信息。

Ipsec.conf文件可獲取證書配置信息、共享密鑰認證信息和客戶端連接后的IP地址段，其中專門針對IOS、android、windows有配置說明。

Ipsec.secrets文件可獲取配置認證方式和認證用戶名、密碼信息，通過命令strongswan status可查看當前連接服務器使用VPN的用戶。

（二）客戶端取證

蘋果手機在VPN選項中可直接查看VPN類型、服務器地址、用戶名及密碼。安卓和蘋果系統(tǒng)手機在使用IKEV1類型VPN時無需證書，直接以“用戶名+密碼+共享密碼”方式登錄，可直接提??；使用IKEV2類型VPN時，若為自簽名證書，則手機需手動導入證書。

Windows7以上的個人計算機均支持IKEV2類型，證書導入在“受信任的根證書頒發(fā)機構”中，可通過運行mmc 命令從“計算機的證書管理”單元找到證書，在“控制面板>網(wǎng)絡和Internet>網(wǎng)絡連接”中找到VPN鏈接地址。

通過對VPN服務器的遠程取證，提取關鍵配置和日志文件、VPN服務運行狀態(tài)和用戶連接狀態(tài)等電子數(shù)據(jù)，固定服務器提供VPN應用的事實，可為后期依照相關法律法規(guī)打擊處理提供證據(jù)支撐。

四、結語

隨著互聯(lián)網(wǎng)犯罪的黑產(chǎn)、灰產(chǎn)對匿名訪問網(wǎng)絡的需求增大，翻墻破網(wǎng)已成為此類人群的上網(wǎng)常態(tài)，并不斷催生出越來越多的VPN制銷團隊。當前從法律和技術來說對VPN的屏蔽和封殺存在許多問題，但制售VPN的人或團隊則相對固定，以盈利為目的，通過資金鏈可有效追溯犯罪嫌疑人的真實身份。一旦鎖定嫌疑對象，結合現(xiàn)場或遠程電子數(shù)據(jù)勘驗固定VPN服務器相關日志數(shù)據(jù)，可為偵查辦案提供證據(jù)支撐，實施精準打擊。