案例：VPN破网技术及取证研究 _VPN

当前随着网安部门对互联网违法犯罪的不断深入整治与打击，电信诈骗、网络黑产、黑客攻击和网络非法言论等违法犯罪行为在网上的活动变得越来越隐蔽化，嫌疑人通过代理、VPN方式联网，采取随意切换IP地址、使用境外IP地址登录等方式躲避公安机关追踪溯源，在互联网上进行各种犯罪，肆意发表言论，严重威胁到我国网络安全环境。
在我国私自提供VPN服务属违法行为，对VPN服务器开展电子数据取证将为案件侦办提供关键证据支撑。

文章插图

引言
近年来，西方国家与境外敌对反华势力利用互联网对我国的渗透日趋严峻，随着网络信息科技的日新月异，意识形态的传播呈现出从传统领域向网络领域延伸的特点。网络空间不仅是不同意识形态和价值观念汇聚的表达平台，更是不同意识形态争夺的战场。
我国对于境外有害内容、应用的整治，从政治色情类网站到社交软件应用，很多具有明显意识形态的网站、应用被屏蔽，然而国内一些有特殊利益需求、电信诈骗犯罪、黑客产业链等群体以及民运、维稳、涉恐对象对VPN等翻墙工具的依赖性极强。
VPN等翻墙工具的搭建成本及技术门槛并不高，在国外购买VPS ，就可以通过脚本将其变成VPN对外销售，利润相当可观，很多网民甚至能通过一键安装脚本自行在国外主机搭建VPN等工具，这使得通过销售VPN来赚钱成为一个可行的商业方案。随着VPN需求的日益扩大， VPN逐步形成了一个产业。
如何对翻墙行为取证固定，溯源并打击VPN服务提供者成为上述案件侦办中必不可少的取证环节，本文将着重讨论VPN的发展技术以及客户端和服务器端的取证思路。
一、VPN在我国的现状
(一) VPN的特点

隐藏真实IP地址，如网络黑产、黑客攻击、薅羊毛等；
绕过网络审查，避开长城防火墙访问境外网站；
加速服务，如为网络游戏提供提速、部署CDN内容分发网络节点；
模拟地域，如绕开网站访问地域限制、视频版权播放区域限制。

当前我国手机用户已超过10亿，越来越多的人通过手机替代了计算机上网，通过手机使用VPN需要安装相应的App应用程序，个人计算机使用VPN则在网络和共享中心中新增VPN链接后设置IP、密码，导入相关证书即可。
(二) 代理与VPN的区别
代理服务器通常是在应用层( HTTP)或传输层( SOCK )完成，属于软件应用层的应用范围，代理过程所有传输数据在代理服务器上都可获取，代理破网虽实现了匿名访问网络，但存在隐私安全。用户与VPN之间的链接通过建立加密通道传输数据，所有数据都通过VPN隧道传输，应用范围属于系统全局， VPN能实现代理的所有功能，移动智能终端使用VPN需要安装客户端应用，但VPN服务器上可保留日志记录，通过服务器可获取用户访问数据。

二、VPN的技术分析
在破网的实际过程中，有多种方式的VPN使用方法和技术。根据不同的划分标准， VPN可以按如下几种类型进行分类：
(一) 按VPN的协议分类
VPN的隧道协议主要有三种， PPTP、L2TP和IPSec 。其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议; IPSec是第三层隧道协议。
PPTP支持通过公共网络(例如Internet )建立按需的、多协议的、虚拟专用网络。PPTP允许加密IP通讯，然后在要跨越公司IP网络或公共IP网络(如Internet )发送的IP头中对其进行封装。
PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道， L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。IPSec有两种模式，传输模式和隧道模式。使用隧道模式时， IPSec对IP报头和有效负载进行加密， VPN客户端要访问的目标IP和内容隐藏在加密数据中，从而实现绕过长城防火墙的目的，而加密后数据无法在网络上路由，故IPSec隧道再增加新的IP头(目标IP指向VPN服务器) ，加密数据传输到VPN服务器后，服务器解密数据，获取客户端欲访问的真实目标IP,转发从而实现翻墙功能。而传输模式只对IP有效负载进行加密，未对IP头进行修改，不能实现翻墙功能。