您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

案例:VPN破网技术及取证研究

时间:2020-05-31 12:20:40  来源:  作者:

当前随着网安部门对互联网违法犯罪的不断深入整治与打击,电信诈骗、网络黑产、黑客攻击和网络非法言论等违法犯罪行为在网上的活动变得越来越隐蔽化,嫌疑人通过代理、VPN方式联网,采取随意切换IP地址、使用境外IP地址登录等方式躲避公安机关追踪溯源,在互联网上进行各种犯罪,肆意发表言论,严重威胁到我国网络安全环境。

在我国私自提供VPN服务属违法行为,对VPN服务器开展电子数据取证将为案件侦办提供关键证据支撑。

案例:VPN破网技术及取证研究

 

引 言

近年来,西方国家与境外敌对反华势力利用互联网对我国的渗透日趋严峻,随着网络信息科技的日新月异,意识形态的传播呈现出从传统领域向网络领域延伸的特点。网络空间不仅是不同意识形态和价值观念汇聚的表达平台,更是不同意识形态争夺的战场。

我国对于境外有害内容、应用的整治,从政治色情类网站到社交软件应用,很多具有明显意识形态的网站、应用被屏蔽,然而国内一些有特殊利益需求、电信诈骗犯罪、黑客产业链等群体以及民运、维稳、涉恐对象对VPN等翻墙工具的依赖性极强。

VPN等翻墙工具的搭建成本及技术门槛并不高,在国外购买VPS,就可以通过脚本将其变成VPN对外销售,利润相当可观,很多网民甚至能通过一键安装脚本自行在国外主机搭建VPN等工具,这使得通过销售VPN来赚钱成为一个可行的商业方案。随着VPN需求的日益扩大,VPN逐步形成了一个产业。

如何对翻墙行为取证固定,溯源并打击VPN服务提供者成为上述案件侦办中必不可少的取证环节,本文将着重讨论VPN的发展技术以及客户端和服务器端的取证思路。

一、VPN在我国的现状

(一) VPN的特点

  1. 隐藏真实IP地址,如网络黑产、黑客攻击、薅羊毛等;
  2. 绕过网络审查,避开长城防火墙访问境外网站;
  3. 加速服务,如为网络游戏提供提速、部署CDN内容分发网络节点;
  4. 模拟地域,如绕开网站访问地域限制、视频版权播放区域限制。

当前我国手机用户已超过10亿,越来越多的人通过手机替代了计算机上网,通过手机使用VPN需要安装相应的App应用程序,个人计算机使用VPN则在网络和共享中心中新增VPN链接后设置IP、密码,导入相关证书即可。

(二) 代理与VPN的区别

代理服务器通常是在应用层( HTTP)或传输层( SOCK )完成,属于软件应用层的应用范围,代理过程所有传输数据在代理服务器上都可获取,代理破网虽实现了匿名访问网络,但存在隐私安全。用户与VPN之间的链接通过建立加密通道传输数据,所有数据都通过VPN隧道传输,应用范围属于系统全局,VPN能实现代理的所有功能,移动智能终端使用VPN需要安装客户端应用,但VPN服务器上可保留日志记录,通过服务器可获取用户访问数据。

 

二、VPN的技术分析

在破网的实际过程中,有多种方式的VPN使用方法和技术。根据不同的划分标准,VPN可 以按如下几种类型进行分类:

(一) 按VPN的协议分类

VPN的隧道协议主要有三种,PPTP、L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议; IPSec是第三层隧道协议。

PPTP支持通过公共网络(例如Internet )建立按需的、多协议的、虚拟专用网络。PPTP允许加密IP通讯,然后在要跨越公司IP网络或公共IP网络(如Internet )发送的IP头中对其进行封装。

PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。IPSec有两种模式,传输模式和隧道模式。使用隧道模式时,IPSec对IP报头和有效负载进行加密,VPN客户端要访问的目标IP和内容隐藏在加密数据中,从而实现绕过长城防火墙的目的,而加密后数据无法在网络上路由,故IPSec隧道再增加新的IP头(目标IP指向VPN服务器),加密数据传输到VPN服务器后,服务器解密数据,获取客户端欲访问的真实目标IP,转发从而实现翻墙功能。而传输模式只对IP有效负载进行加密,未对IP头进行修改,不能实现翻墙功能。

(二) 按VPN的应用分类

1、Access VPN ( 远程接入VPN )

客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量。此类VPN服务方式较为普遍,一般网民破网翻墙:主要采取此方式。

2、Intranet VPN (内联网VPN )

网关到网关,通过公司的网络架构连接来自同公司的资源。

3、Extranet VPN (外联网VPN )

与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

(三) VPN在实际生活中的应用

VPN在现实中有多种实现方式,常见的有VPN服务器、软件VPN、硬件VPN、集成VPN。当前互联网上开源VPN搭建方案较多,网民可在香港地区或以外地区购买一台VPS服务器, 并做简单设置后即可提供VPN服务。目前较为流行的开源VPN如表1所示。

案例:VPN破网技术及取证研究

 

表1 开源VPN信息表

三、案件中VPN相关调查取证思路

在实际案件中,对私自利用VPS搭建VPN应用,并非法提供VPN服务的情形,首要任务是通过现场勘验或远程勘验方式对VPS服务器进行取证,固定VPN的运行痕迹,配置文件和日志文件。对使用VPN的终端,通过常规计算机勘验即可取证。因开源VPN方案较多,本部分重点就centos系统下部署strongswan VPN的取证展开讨论。

(一) VPN服务器端的取证

1、信息收集

考虑到此类取证涉案VPN服务器多为异地或境外,采取远程勘验情形较多。在开展远勘前首先向办案部门获取VPN服务器管理员口令,并保证全程录音录像,登录服务器后查看在线用户,并立即修改管理员口令,以防其他用户登录服务器修改、删除文件内容。

案例:VPN破网技术及取证研究

 

图1 踢出可疑用户

还需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、主机与外部的通信连接信息等易丢失数据。

2、关键数据提取

在取得服务器控制权并提取易丢失数据后,着重对VPS服务器中部署VPN相关数据进行提取。Strongswan是一个基于IPSec的多平台VPN解决方案,该程序安装成功后部分文件路径如表2所示。

案例:VPN破网技术及取证研究

 

表2 部分文件路径信息表

从表中可以看出,strongswan部署 成功后会产生三个配置文件strongswan.conf、ipsec.conf和 ipsec.secrets。其中strongswan.conf文件为主配置文件,保护VPN的DNS地址、是否开启日志等信息。

案例:VPN破网技术及取证研究

 

图2 strongswan.conf配置文件

案例:VPN破网技术及取证研究

 

图3 ipsec.conf配置文件

lpsec.conf文件可获取证书配置信息、共享密钥认证信息和客户端连接后的IP地址段,其中专门针对IOSAndroidwindows有 配置说明。

lpsec.secrets文件可获取配置认证方式和认证用户名、密码信息,通过命令strongswan status可查看 当前连接服务器使用VPN的用户。

案例:VPN破网技术及取证研究

 

图4 当前VPN连接状态

(二) 客户端取证

苹果手机在VPN选项中可直接查看VPN类型、服务器地址、用户名及密码。安卓和苹果系统手机在使用IKEV1类型VPN时无需证书,直接以“用户名+密码+共享密码”方式登录,可直接提取;使用IKEV2类型VPN时,若为自签名证书,则手机需手动导入证书。

Windows7以_上的个人计算机均支持IKEV2类型,证书导入在“受信任的根证书颁发机构”中,可通过运行mmc命令从“计算机的证书管理”单元找到证书,在“控制面板>网络和Intermet>网络连接”中找到VPN链接地址。通过对VPN服务器的远程取证,提取关键配置和日志文件、VPN服务运行状态和用户连接状态等电子数据,固定服务器提供VPN应用的事实,可为后期依照相关法律法规打击处理提供证据支撑。

四、结语

随着互联网犯罪的黑产、灰产对匿名访问网络的需求增大,翻墙破网已成为此类人群的上网常态,并不断催生出越来越多的VPN制销团队。当前从法律和技术来说对VPN的屏蔽和封杀存在许多问题,但制售VPN的人或团队则相对固定,以盈利为目的,通过资金链可有效追溯犯罪嫌疑人的真实身份。一旦锁定嫌疑对象,结合现场或远程电子数据勘验固定VPN服务器相关日志数据,可为侦查办案提供证据支撑,实施精准打击。

作者:云南玉溪公安 赵文浩 高进春



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: VPN  点击:(39)  评论:(0)  加入收藏
在昨天的微信《远程办公危机四伏,到底该pick谁给你保驾护航?》中介绍了远程员工应该具备的四大安全工具,今天继续分享干货:05 双因子令牌在理想的情况下,每个人都会对所有的关键...【详细内容】
2021-10-26  Tags: VPN  点击:(32)  评论:(0)  加入收藏
本报记者 裴昱 北京报道在中国加入WTO 20周年之际,多项领域的对外开放正在持续深入,这其中,普遍被外界认为是敏感领域的电信增值业务,也迎来了更大力度的开放措施,而且,此次开放进...【详细内容】
2021-10-21  Tags: VPN  点击:(47)  评论:(0)  加入收藏
据ExpressVPN 9月16日报道,ExpressVPN 9月16日宣布加入伦敦证券交易所上市公司Kape Technologies的计划,以提升其推进数字版权的能力及加速成为数字隐私领域的全球领导者。两...【详细内容】
2021-09-17  Tags: VPN  点击:(79)  评论:(0)  加入收藏
VPN英文全称是“Virtual Private Network”,也就是“虚拟专用网络”。虚拟专用网络就是一种虚拟出来的企业内部专用线路、这条隧道可以对数据进行几倍加密达到安全使用互联网...【详细内容】
2021-09-14  Tags: VPN  点击:(45)  评论:(0)  加入收藏
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。 更新 CentOS 软件包yum -y update虽然也是可以不进行更新直接安装。安装 OpenVPN 和...【详细内容】
2021-09-02  Tags: VPN  点击:(105)  评论:(0)  加入收藏
VPN详解一、VPN介绍 什么是vpn?# VPN是虚拟专用网络的缩写,它是两个或多个物理网络(或设备)之间沟通互联网/公共网络创建的虚拟网络,可以为企业之间或者个人与企业之间提供安...【详细内容】
2021-09-02  Tags: VPN  点击:(65)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: VPN  点击:(508)  评论:(0)  加入收藏
Virtual Private Network翻译为虚拟专用网络,简称VPN,多用于企业网络,还用于网络游戏加速。VPN通过在公用网络(因特网或其他专用网络)上建立专用网络,进行加密通讯,常用协议有PPT...【详细内容】
2021-06-09  Tags: VPN  点击:(401)  评论:(0)  加入收藏
如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供...【详细内容】
2021-06-01  Tags: VPN  点击:(170)  评论:(0)  加入收藏
▌简易百科推荐
以京训钉开发平台接口文档为例,使用HttpClient类请求调用其接口,对数据进行增删改查等操作。 文档地址: https://www.yuque.com/bjjnts/jxd/bo1oszusing System;using System.C...【详细内容】
2021-12-28  Wednes    Tags:HttpClient   点击:(1)  评论:(0)  加入收藏
阿里云与爱快路由安装组网教程一、开通好阿里云轻量服务器之后在服务器运维-远程连接处进行远程 二、进入控制台后在root权限下根据需要安装的固件位数复制下面命令。32位:wg...【详细内容】
2021-12-28  ikuai    Tags:组网   点击:(1)  评论:(0)  加入收藏
HTTP 报文是在应用程序之间发送的数据块,这些数据块将通过以文本形式的元信息开头,用于 HTTP 协议交互。请求端(客户端)的 HTTP 报文叫做请求报文,响应端(服务器端)的叫做响应...【详细内容】
2021-12-27  程序员蛋蛋    Tags:HTTP 报文   点击:(5)  评论:(0)  加入收藏
一 网络概念:1.带宽: 标识网卡的最大传输速率,单位为 b/s,比如 1Gbps,10Gbps,相当于马路多宽2.吞吐量: 单位时间内传输数据量大小单位为 b/s 或 B/s ,吞吐量/带宽,就是网络的使用率...【详细内容】
2021-12-27  码农世界    Tags:网络   点击:(3)  评论:(0)  加入收藏
1.TCP/IP 网络模型有几层?分别有什么用? TCP/IP网络模型总共有五层 1.应用层:我们能接触到的就是应用层了,手机,电脑这些这些设备都属于应用层。 2.传输层:就是为应用层提供网络...【详细内容】
2021-12-22  憨猪哥08    Tags:TCP/IP   点击:(35)  评论:(0)  加入收藏
TCP握手的时候维护的队列 半连接队列(SYN队列) 全连接队列(accepted队列)半连接队列是什么?服务器收到客户端SYN数据包后,Linux内核会把该连接存储到半连接队列中,并响应SYN+ACK报...【详细内容】
2021-12-21  DifferentJava    Tags:TCP   点击:(10)  评论:(0)  加入收藏
你好,这里是科技前哨。 随着“元宇宙”概念的爆火,下一代互联网即将到来,也成了互联网前沿热议的话题,12月9日美国众议院的听证会上,共和党议员Patrick McHenry甚至宣称,要调整现...【详细内容】
2021-12-17  王煜全    Tags:Web3   点击:(14)  评论:(0)  加入收藏
一、demopublic static void main(String[] args) throws Exception { RetryPolicy retryPolicy = new ExponentialBackoffRetry( 1000, 3);...【详细内容】
2021-12-15  程序员阿龙    Tags:Curator   点击:(22)  评论:(0)  加入收藏
一、计算机网络概述 1.1 计算机网络的分类按照网络的作用范围:广域网(WAN)、城域网(MAN)、局域网(LAN);按照网络使用者:公用网络、专用网络。1.2 计算机网络的层次结构 TCP/IP四层模...【详细内容】
2021-12-14  一口Linux    Tags:网络知识   点击:(31)  评论:(0)  加入收藏
无论是在外面还是在家里,许多人都习惯了用手机连接 WiFi 进行上网。不知道大家有没有遇到过这样一种情况, 明明已经显示成功连接 WiFi,却仍然提示“网络不可用”或“不可上网”...【详细内容】
2021-12-14  UGREEN绿联    Tags:WiFi   点击:(25)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条