VPN破网技术及取证研究

赵文浩 高进春 云南省玉溪市公安局

引言

近年来，西方国家与境外敌对反华势力利用互联网对我国的渗透日趋严峻，随着网络信息科技的日新月异，意识形态的传播呈现出从传统领域向网络领域延伸的特点。网络空间不仅是不同意识形态和价值观念汇聚的表达平台，更是不同意识形态争夺的战场。我国对于境外有害内容、应用的整治，从政治色情类网站到社交软件应用，很多具有明显意识形态的网站、应用被屏蔽，然而国内一些有特殊利益需求、电信诈骗犯罪、黑客产业链等群体以及民运、维稳、涉恐对象对VPN等翻墙工具的依赖性极强。

然而VPN等翻墙工具的搭建成本及技术门槛并不高，在国外购买VPS，就可以通过脚本将其变成VPN对外销售，利润相当可观，很多网民甚至能通过一键安装脚本自行在国外主机搭建VPN等工具，这使得通过销售VPN来赚钱成为一个可行的商业方案。随着VPN需求的日益扩大，VPN逐步形成了一个产业。

如何对翻墙行为取证固定，溯源并打击VPN服务提供者成为上述案件侦办中必不可少的取证环节，本文将着重讨论VPN的发展技术以及客户端和服务器端的取证思路。

一、VPN在我国的现状

（一）VPN的特点

一是隐藏真实IP地址，如网络黑产、黑客攻击、薅羊毛等；二是绕过网络审查，避开长城防火墙访问境外网站；三是加速服务，如为网络游戏提供提速、部署CND内容分发网络节点；四是模拟地域，如绕开网站访问地域限制、视频版权播放区域限制。

当前我国手机用户已超过10亿，越来越多的人通过手机替代了计算机上网，通过手机使用VPN需要安装相应的APP应用程序，个人计算机使用VPN则在网络和共享中心中新增VPN链接后设置IP、密码，导入相关证书即可。

（二）代理与VPN的区别

代理服务器通常是在应用层（HTTP）或传输层（SOCK）完成，属于软件应用层的应用范围，代理过程所有传输数据在代理服务器上都可获取，代理破网虽实现了匿名访问网络，但存在隐私安全。用户与VPN之间的链接通过建立加密通道传输数据，所有数据都通过VPN隧道传输，应用范围属于系统全局，VPN能实现代理的所有功能，移动智能终端使用VPN需要安装客户端应用，但VPN服务器上可保留日志记录，通过服务器可获取用户访问数据。

二、VPN的技术分析

在破网的实际过程中，有多种方式的VPN使用方法和技术。根据不同的划分标准，VPN可以按如下几种类型进行分类：

（一）按VPN的协议分类

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。

PPTP支持通过公共网络（例如Internet）建立按需的、多协议的、虚拟专用网络。PPTP允许加密IP通讯，然后在要跨越公司IP网络或公共IP网络（如Internet）发送的IP头中对其进行封装。

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。

IPSec有两种模式，传输模式和隧道模式。使用隧道模式时，IPSec对IP报头和有效负载进行加密，VPN客户端要访问的目标IP和内容隐藏在加密数据中，从而实现绕过长城防火墙的目的，而加密后数据无法在网络上路由，故IPSec隧道再增加新的IP头（目标IP指向VPN服务器），加密数据传输到VPN服务器后，服务器解密数据，获取客户端欲访问的真实目标IP，转发从而实现翻墙功能。而传输模式只对IP有效负载进行加密，未对IP头进行修改，不能实现翻墙功能。

（二）按VPN的应用分类

1. Access VPN（远程接入VPN）

客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量。此类VPN服务方式较为普遍，一般网民破网翻墙主要采取此方式。

2. Intranet VPN（内联网VPN）

网关到网关，通过公司的网络架构连接来自同公司的资源。

3. Extranet VPN（外联网VPN）

与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

（三）VPN在实际生活中的应用

VPN在现实中有多种实现方式，常见的有VPN服务器、软件VPN、硬件VPN、集成VPN。

当前互联网上开源VPN搭建方案较多，网民可在香港地区或以外地区购买一台VPS服务器，并做简单设置后即可提供VPN服务。目前较为流行的开源VPN如表1所示。

?

三、案件中VPN相关调查取证思路

在实际案件中，对私自利用VPS搭建VPN应用，并非法提供VPN服务的情形，首要任务是通过现场勘验或远程勘验方式对VPS服务器进行取证，固定VPN的运行痕迹，配置文件和日志文件。对使用VPN的终端，通过常规计算机勘验即可取证。因开源VPN方案较多，本部分重点就Center OS系统下部署strongswan VPN的取证展开讨论。

（一）VPN服务器端的取证

1. 信息收集

考虑到此类取证涉案VPN服务器多为异地或境外，采取远程勘验情形较多。在开展远勘前首先向办案部门获取VPN服务器管理员口令，并保证全程录音录像，登录服务器后查看在线用户，并立即修改管理员口令，以防其他用户登录服务器修改、删除文件内容。

还需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、主机与外部的通信连接信息等易丢失数据。

2. 关键数据提取

在取得服务器控制权并提取易丢失数据后，着重对VPS服务器中部署VPN相关数据进行提取。Strongswan是一个基于IPSec的多平台VPN解决方案，该程序安装成功后部分文件路径如表2所示。

?

从表中可以看出，strongswan部署成功后会产生三个配置文件strongswan.conf、ipsec.conf和ipsec.secrets。其中strongswan.conf文件为主配置文件，保护VPN的DNS地址、是否开启日志等信息。

Ipsec.conf文件可获取证书配置信息、共享密钥认证信息和客户端连接后的IP地址段，其中专门针对IOS、android、windows有配置说明。

Ipsec.secrets文件可获取配置认证方式和认证用户名、密码信息，通过命令strongswan status可查看当前连接服务器使用VPN的用户。

（二）客户端取证

苹果手机在VPN选项中可直接查看VPN类型、服务器地址、用户名及密码。安卓和苹果系统手机在使用IKEV1类型VPN时无需证书，直接以“用户名+密码+共享密码”方式登录，可直接提取；使用IKEV2类型VPN时，若为自签名证书，则手机需手动导入证书。

Windows7以上的个人计算机均支持IKEV2类型，证书导入在“受信任的根证书颁发机构”中，可通过运行mmc 命令从“计算机的证书管理”单元找到证书，在“控制面板>网络和Internet>网络连接”中找到VPN链接地址。

通过对VPN服务器的远程取证，提取关键配置和日志文件、VPN服务运行状态和用户连接状态等电子数据，固定服务器提供VPN应用的事实，可为后期依照相关法律法规打击处理提供证据支撑。

四、结语

随着互联网犯罪的黑产、灰产对匿名访问网络的需求增大，翻墙破网已成为此类人群的上网常态，并不断催生出越来越多的VPN制销团队。当前从法律和技术来说对VPN的屏蔽和封杀存在许多问题，但制售VPN的人或团队则相对固定，以盈利为目的，通过资金链可有效追溯犯罪嫌疑人的真实身份。一旦锁定嫌疑对象，结合现场或远程电子数据勘验固定VPN服务器相关日志数据，可为侦查办案提供证据支撑，实施精准打击。