VPN破網技術及取證研究

趙文浩 高進春 云南省玉溪市公安局

引言

近年來，西方國家與境外敵對反華勢力利用互聯網對我國的滲透日趨嚴峻，隨著網絡信息科技的日新月異，意識形態的傳播呈現出從傳統領域向網絡領域延伸的特點。網絡空間不僅是不同意識形態和價值觀念匯聚的表達平臺，更是不同意識形態爭奪的戰場。我國對于境外有害內容、應用的整治，從政治色情類網站到社交軟件應用，很多具有明顯意識形態的網站、應用被屏蔽，然而國內一些有特殊利益需求、電信詐騙犯罪、黑客產業鏈等群體以及民運、維穩、涉恐對象對VPN等翻墻工具的依賴性極強。

然而VPN等翻墻工具的搭建成本及技術門檻并不高，在國外購買VPS，就可以通過腳本將其變成VPN對外銷售，利潤相當可觀，很多網民甚至能通過一鍵安裝腳本自行在國外主機搭建VPN等工具，這使得通過銷售VPN來賺錢成為一個可行的商業方案。隨著VPN需求的日益擴大，VPN逐步形成了一個產業。

如何對翻墻行為取證固定，溯源并打擊VPN服務提供者成為上述案件偵辦中必不可少的取證環節，本文將著重討論VPN的發展技術以及客戶端和服務器端的取證思路。

一、VPN在我國的現狀

（一）VPN的特點

一是隱藏真實IP地址，如網絡黑產、黑客攻擊、薅羊毛等；二是繞過網絡審查，避開長城防火墻訪問境外網站；三是加速服務，如為網絡游戲提供提速、部署CND內容分發網絡節點；四是模擬地域，如繞開網站訪問地域限制、視頻版權播放區域限制。

當前我國手機用戶已超過10億，越來越多的人通過手機替代了計算機上網，通過手機使用VPN需要安裝相應的APP應用程序，個人計算機使用VPN則在網絡和共享中心中新增VPN鏈接后設置IP、密碼，導入相關證書即可。

（二）代理與VPN的區別

代理服務器通常是在應用層（HTTP）或傳輸層（SOCK）完成，屬于軟件應用層的應用范圍，代理過程所有傳輸數據在代理服務器上都可獲取，代理破網雖實現了匿名訪問網絡，但存在隱私安全。用戶與VPN之間的鏈接通過建立加密通道傳輸數據，所有數據都通過VPN隧道傳輸，應用范圍屬于系統全局，VPN能實現代理的所有功能，移動智能終端使用VPN需要安裝客戶端應用，但VPN服務器上可保留日志記錄，通過服務器可獲取用戶訪問數據。

二、VPN的技術分析

在破網的實際過程中，有多種方式的VPN使用方法和技術。根據不同的劃分標準，VPN可以按如下幾種類型進行分類：

（一）按VPN的協議分類

VPN的隧道協議主要有三種，PPTP、L2TP和IPSec。其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議。

PPTP支持通過公共網絡（例如Internet）建立按需的、多協議的、虛擬專用網絡。PPTP允許加密IP通訊，然后在要跨越公司IP網絡或公共IP網絡（如Internet）發送的IP頭中對其進行封裝。

PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸。PPTP只能在兩端點間建立單一隧道，L2TP支持在兩端點間使用多隧道，用戶可以針對不同的服務質量創建不同的隧道。

IPSec有兩種模式，傳輸模式和隧道模式。使用隧道模式時，IPSec對IP報頭和有效負載進行加密，VPN客戶端要訪問的目標IP和內容隱藏在加密數據中，從而實現繞過長城防火墻的目的，而加密后數據無法在網絡上路由，故IPSec隧道再增加新的IP頭（目標IP指向VPN服務器），加密數據傳輸到VPN服務器后，服務器解密數據，獲取客戶端欲訪問的真實目標IP，轉發從而實現翻墻功能。而傳輸模式只對IP有效負載進行加密，未對IP頭進行修改，不能實現翻墻功能。

（二）按VPN的應用分類

1. Access VPN（遠程接入VPN）

客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN數據流量。此類VPN服務方式較為普遍，一般網民破網翻墻主要采取此方式。

2. Intranet VPN（內聯網VPN）

網關到網關，通過公司的網絡架構連接來自同公司的資源。

3. Extranet VPN（外聯網VPN）

與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。

（三）VPN在實際生活中的應用

VPN在現實中有多種實現方式，常見的有VPN服務器、軟件VPN、硬件VPN、集成VPN。

當前互聯網上開源VPN搭建方案較多，網民可在香港地區或以外地區購買一臺VPS服務器，并做簡單設置后即可提供VPN服務。目前較為流行的開源VPN如表1所示。

?

三、案件中VPN相關調查取證思路

在實際案件中，對私自利用VPS搭建VPN應用，并非法提供VPN服務的情形，首要任務是通過現場勘驗或遠程勘驗方式對VPS服務器進行取證，固定VPN的運行痕跡，配置文件和日志文件。對使用VPN的終端，通過常規計算機勘驗即可取證。因開源VPN方案較多，本部分重點就Center OS系統下部署strongswan VPN的取證展開討論。

（一）VPN服務器端的取證

1. 信息收集

考慮到此類取證涉案VPN服務器多為異地或境外，采取遠程勘驗情形較多。在開展遠勘前首先向辦案部門獲取VPN服務器管理員口令，并保證全程錄音錄像，登錄服務器后查看在線用戶，并立即修改管理員口令，以防其他用戶登錄服務器修改、刪除文件內容。

還需要提取系統時間、內存、網絡狀態、系統進程、端口、開機啟動項、主機與外部的通信連接信息等易丟失數據。

2. 關鍵數據提取

在取得服務器控制權并提取易丟失數據后，著重對VPS服務器中部署VPN相關數據進行提取。Strongswan是一個基于IPSec的多平臺VPN解決方案，該程序安裝成功后部分文件路徑如表2所示。

?

從表中可以看出，strongswan部署成功后會產生三個配置文件strongswan.conf、ipsec.conf和ipsec.secrets。其中strongswan.conf文件為主配置文件，保護VPN的DNS地址、是否開啟日志等信息。

Ipsec.conf文件可獲取證書配置信息、共享密鑰認證信息和客戶端連接后的IP地址段，其中專門針對IOS、android、windows有配置說明。

Ipsec.secrets文件可獲取配置認證方式和認證用戶名、密碼信息，通過命令strongswan status可查看當前連接服務器使用VPN的用戶。

（二）客戶端取證

蘋果手機在VPN選項中可直接查看VPN類型、服務器地址、用戶名及密碼。安卓和蘋果系統手機在使用IKEV1類型VPN時無需證書，直接以“用戶名+密碼+共享密碼”方式登錄，可直接提取；使用IKEV2類型VPN時，若為自簽名證書，則手機需手動導入證書。

Windows7以上的個人計算機均支持IKEV2類型，證書導入在“受信任的根證書頒發機構”中，可通過運行mmc 命令從“計算機的證書管理”單元找到證書，在“控制面板>網絡和Internet>網絡連接”中找到VPN鏈接地址。

通過對VPN服務器的遠程取證，提取關鍵配置和日志文件、VPN服務運行狀態和用戶連接狀態等電子數據，固定服務器提供VPN應用的事實，可為后期依照相關法律法規打擊處理提供證據支撐。

四、結語

隨著互聯網犯罪的黑產、灰產對匿名訪問網絡的需求增大，翻墻破網已成為此類人群的上網常態，并不斷催生出越來越多的VPN制銷團隊。當前從法律和技術來說對VPN的屏蔽和封殺存在許多問題，但制售VPN的人或團隊則相對固定，以盈利為目的，通過資金鏈可有效追溯犯罪嫌疑人的真實身份。一旦鎖定嫌疑對象，結合現場或遠程電子數據勘驗固定VPN服務器相關日志數據，可為偵查辦案提供證據支撐，實施精準打擊。