安基網 首頁 安全 取證分析 查看內容

案例:VPN破網技術及取證研究

2020-6-1 11:43| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 當前隨著網安部門對互聯網違法犯罪的不斷深入整治與打擊,電信詐騙、網絡黑產、黑客攻擊和網絡非法言論等違法犯罪行為在網上的活動變得越來越隱蔽化,嫌疑人通過代理、VPN方式聯網,采取隨意切換IP地址、使用境外IP地址登錄等方式躲避公安機關追蹤溯源,在互聯網上進行各種犯罪,肆意發表言論,嚴重威 ...

當前隨著網安部門對互聯網違法犯罪的不斷深入整治與打擊,電信詐騙、網絡黑產、黑客攻擊和網絡非法言論等違法犯罪行為在網上的活動變得越來越隱蔽化,嫌疑人通過代理、VPN方式聯網,采取隨意切換IP地址、使用境外IP地址登錄等方式躲避公安機關追蹤溯源,在互聯網上進行各種犯罪,肆意發表言論,嚴重威脅到我國網絡安全環境。


在我國私自提供VPN服務屬違法行為,對VPN服務器開展電子數據取證將為案件偵辦提供關鍵證據支撐。


引 言

近年來,西方國家與境外敵對反華勢力利用互聯網對我國的滲透日趨嚴峻,隨著網絡信息科技的日新月異,意識形態的傳播呈現出從傳統領域向網絡領域延伸的特點。網絡空間不僅是不同意識形態和價值觀念匯聚的表達平臺,更是不同意識形態爭奪的戰場。


我國對于境外有害內容、應用的整治,從政治色情類網站到社交軟件應用,很多具有明顯意識形態的網站、應用被屏蔽,然而國內一些有特殊利益需求、電信詐騙犯罪、黑客產業鏈等群體以及民運、維穩、涉恐對象對VPN等翻墻工具的依賴性極強。


VPN等翻墻工具的搭建成本及技術門檻并不高,在國外購買VPS,就可以通過腳本將其變成VPN對外銷售,利潤相當可觀,很多網民甚至能通過一鍵安裝腳本自行在國外主機搭建VPN等工具,這使得通過銷售VPN來賺錢成為一個可行的商業方案。隨著VPN需求的日益擴大,VPN逐步形成了一個產業。


如何對翻墻行為取證固定,溯源并打擊VPN服務提供者成為上述案件偵辦中必不可少的取證環節,本文將著重討論VPN的發展技術以及客戶端和服務器端的取證思路。


一、VPN在我國的現狀


(一) VPN的特點


  1. 隱藏真實IP地址,如網絡黑產、黑客攻擊、薅羊毛等;
  2. 繞過網絡審查,避開長城防火墻訪問境外網站;
  3. 加速服務,如為網絡游戲提供提速、部署CDN內容分發網絡節點;
  4. 模擬地域,如繞開網站訪問地域限制、視頻版權播放區域限制。


當前我國手機用戶已超過10億,越來越多的人通過手機替代了計算機上網,通過手機使用VPN需要安裝相應的APP應用程序,個人計算機使用VPN則在網絡和共享中心中新增VPN鏈接后設置IP、密碼,導入相關證書即可。


(二) 代理與VPN的區別


代理服務器通常是在應用層( HTTP)或傳輸層( SOCK )完成,屬于軟件應用層的應用范圍,代理過程所有傳輸數據在代理服務器上都可獲取,代理破網雖實現了匿名訪問網絡,但存在隱私安全。用戶與VPN之間的鏈接通過建立加密通道傳輸數據,所有數據都通過VPN隧道傳輸,應用范圍屬于系統全局,VPN能實現代理的所有功能,移動智能終端使用VPN需要安裝客戶端應用,但VPN服務器上可保留日志記錄,通過服務器可獲取用戶訪問數據。


二、VPN的技術分析

在破網的實際過程中,有多種方式的VPN使用方法和技術。根據不同的劃分標準,VPN可 以按如下幾種類型進行分類:

(一) 按VPN的協議分類

VPN的隧道協議主要有三種,PPTP、L2TP和IPSec。其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議; IPSec是第三層隧道協議。

PPTP支持通過公共網絡(例如Internet )建立按需的、多協議的、虛擬專用網絡。PPTP允許加密IP通訊,然后在要跨越公司IP網絡或公共IP網絡(如Internet )發送的IP頭中對其進行封裝。

PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附加包頭用于數據在互聯網絡上的傳輸。PPTP只能在兩端點間建立單一隧道,L2TP支持在兩端點間使用多隧道,用戶可以針對不同的服務質量創建不同的隧道。IPSec有兩種模式,傳輸模式和隧道模式。使用隧道模式時,IPSec對IP報頭和有效負載進行加密,VPN客戶端要訪問的目標IP和內容隱藏在加密數據中,從而實現繞過長城防火墻的目的,而加密后數據無法在網絡上路由,故IPSec隧道再增加新的IP頭(目標IP指向VPN服務器),加密數據傳輸到VPN服務器后,服務器解密數據,獲取客戶端欲訪問的真實目標IP,轉發從而實現翻墻功能。而傳輸模式只對IP有效負載進行加密,未對IP頭進行修改,不能實現翻墻功能。

(二) 按VPN的應用分類

1、Access VPN ( 遠程接入VPN )

客戶端到網關,使用公網作為骨干網在設備之間傳輸VPN數據流量。此類VPN服務方式較為普遍,一般網民破網翻墻:主要采取此方式。

2、Intranet VPN (內聯網VPN )

網關到網關,通過公司的網絡架構連接來自同公司的資源。

3、Extranet VPN (外聯網VPN )

與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接。

(三) VPN在實際生活中的應用

VPN在現實中有多種實現方式,常見的有VPN服務器、軟件VPN、硬件VPN、集成VPN。當前互聯網上開源VPN搭建方案較多,網民可在香港地區或以外地區購買一臺VPS服務器, 并做簡單設置后即可提供VPN服務。目前較為流行的開源VPN如表1所示。


表1 開源VPN信息表


三、案件中VPN相關調查取證思路


在實際案件中,對私自利用VPS搭建VPN應用,并非法提供VPN服務的情形,首要任務是通過現場勘驗或遠程勘驗方式對VPS服務器進行取證,固定VPN的運行痕跡,配置文件和日志文件。對使用VPN的終端,通過常規計算機勘驗即可取證。因開源VPN方案較多,本部分重點就CentOS系統下部署strongswan VPN的取證展開討論。


(一) VPN服務器端的取證


1、信息收集


考慮到此類取證涉案VPN服務器多為異地或境外,采取遠程勘驗情形較多。在開展遠勘前首先向辦案部門獲取VPN服務器管理員口令,并保證全程錄音錄像,登錄服務器后查看在線用戶,并立即修改管理員口令,以防其他用戶登錄服務器修改、刪除文件內容。


圖1 踢出可疑用戶


還需要提取系統時間、內存、網絡狀態、系統進程、端口、開機啟動項、主機與外部的通信連接信息等易丟失數據。


2、關鍵數據提取


在取得服務器控制權并提取易丟失數據后,著重對VPS服務器中部署VPN相關數據進行提取。Strongswan是一個基于IPSec的多平臺VPN解決方案,該程序安裝成功后部分文件路徑如表2所示。


表2 部分文件路徑信息表


從表中可以看出,strongswan部署 成功后會產生三個配置文件strongswan.conf、ipsec.conf和 ipsec.secrets。其中strongswan.conf文件為主配置文件,保護VPN的DNS地址、是否開啟日志等信息。


圖2 strongswan.conf配置文件


圖3 ipsec.conf配置文件


lpsec.conf文件可獲取證書配置信息、共享密鑰認證信息和客戶端連接后的IP地址段,其中專門針對IOS、android、windows有 配置說明。


lpsec.secrets文件可獲取配置認證方式和認證用戶名、密碼信息,通過命令strongswan status可查看 當前連接服務器使用VPN的用戶。


圖4 當前VPN連接狀態


(二) 客戶端取證


蘋果手機在VPN選項中可直接查看VPN類型、服務器地址、用戶名及密碼。安卓和蘋果系統手機在使用IKEV1類型VPN時無需證書,直接以“用戶名+密碼+共享密碼”方式登錄,可直接提取;使用IKEV2類型VPN時,若為自簽名證書,則手機需手動導入證書。


Windows7以_上的個人計算機均支持IKEV2類型,證書導入在“受信任的根證書頒發機構”中,可通過運行mmc命令從“計算機的證書管理”單元找到證書,在“控制面板>網絡和Intermet>網絡連接”中找到VPN鏈接地址。通過對VPN服務器的遠程取證,提取關鍵配置和日志文件、VPN服務運行狀態和用戶連接狀態等電子數據,固定服務器提供VPN應用的事實,可為后期依照相關法律法規打擊處理提供證據支撐。


四、結語


隨著互聯網犯罪的黑產、灰產對匿名訪問網絡的需求增大,翻墻破網已成為此類人群的上網常態,并不斷催生出越來越多的VPN制銷團隊。當前從法律和技術來說對VPN的屏蔽和封殺存在許多問題,但制售VPN的人或團隊則相對固定,以盈利為目的,通過資金鏈可有效追溯犯罪嫌疑人的真實身份。一旦鎖定嫌疑對象,結合現場或遠程電子數據勘驗固定VPN服務器相關日志數據,可為偵查辦案提供證據支撐,實施精準打擊。


作者:云南玉溪公安 趙文浩 高進春



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6832833796484629004/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 炒股学习 澳洲幸运5官网是正规彩票么 配资平台跑路了怎么办 山西快乐十分预测下期 股票代码规则 山西11选5遗漏号码 天津时时彩五码分布图 好运彩3技巧 网上配资炒股 湖北快三遗漏数据一定牛 甘肃快3专家预测 内蒙古快三 广西快乐十分开奖助手 浙江体彩十一选五一定牛 浙江6+1奖池总额 华能国际股票行情