论网络抓包与分析技术在网络犯罪侦查中的应用

王伟兵, 秦 浩

(1.广东警官学院计算机系, 广东广州 510230; 2.清远市公安局网络警察支队, 广东清远 511515)

0 引言

随着互联网产业的高速发展，网络犯罪近年来呈现密集爆发的态势。2017年初，中央政法工作会议中披露，目前我国网络犯罪占刑事犯罪总数1/3 ，并以每年30%以上速度增长。可以预见，不久的将来，大多数犯罪都会涉及网络。而且随着网络深度渗透到人们的生活以及互联网技术的快速发展，目前的网络犯罪，已经进化到高技术、高智能的新阶段，犯罪分子经常通过开发手机APP或者桌面客户端的形式进行网络诈骗、网络赌博、网络色情等违法犯罪活动，甚至有的犯罪分子研发生产能侵入或非法控制计算机信息系统的网络设备，然后将这些设备出售，直接帮助别人进行违法犯罪活动。这些高科技的犯罪团伙往往以公司化模式运作，打着高科技创新创业的幌子，逃避公安机关的打击。

无论是通过手机APP或者桌面客户端的形式进行犯罪，还是提供非法网络设备进行或者帮助别人犯罪，这类案件最初的线索往往就是一个手机APP、一个客户端软件或者一台网络设备。这些软件或工具背后的网络、犯罪手法的具体情况、有无服务器以及服务器具体位置、本地有无受害者等信息无法获得。如何从APP/客户端软件/网络设备出发，将与案情有关的核心问题一一搞清楚，就是侦查员们首先要解决的难题。本文提出的网络协议抓包与分析技术，经实际办案证实，是解决这些问题的有效办法。

1 抓包原理

在网络协议抓包与分析技术中，网络封包的抓取是前提，也是关键。根据抓包的原理不同，可将抓包方法分为两类：代理型抓包和监听型抓包。

1.1 代理型抓包

所谓代理型抓包，就是在客户端和服务器之间，通过代理服务器进行转发。客户端所有的请求，都先发往代理服务器，由代理服务器提交给远程服务器。而远程服务器的响应，则先下发给代理服务器，然后再转发给客户端。原理如图1所示。

图1 代理型抓包原理图

图1中，抓包软件首先是代理服务器，客户端和服务器之间的所有流量都要经过它，它将这些流量复原并显示出来，就可使用户了解网络传输的真正内容。该类抓包软件以Fiddler为代表。Fiddler工作在应用层，以代理WEB服务器的形式出现，默认使用的代理地址是127.0.0.1，端口是8888，可记录客户端和服务器之间通过HTTP/HTTPS协议请求与响应的数据。由于是代理服务器，所以客户端和抓包软件可以不工作在同一台计算机上，只要网络可达即可。

1.2 监听型抓包方法

所谓监听型抓包，即由抓包软件直接调用封包捕获库(Linux上是libpcap，Windows上是winpcap)，在数据链路层监听从网卡进出的数据流量，然后按照网络协议层层解封与重组，最后提供给用户分析。其原理框图如图2所示。

图2 监听型抓包原理图

在图2所示原理图中，封包监听运行在PC机上，直接抓取进出本机网卡的数据包。如果客户端不与封包监听软件运行在同一台计算机上，则运行封包监听软件的计算机就需要两块网卡，但如果客户端可以与封包监听软件运行在同一台计算机上，则该计算机只需一块网卡即可。该类抓包软件以Wireshark为代表，其功能主要包括3部分：(1)收集。即从网卡上收集二进制信息(将网卡设置成混杂模式完成抓包)；(2)转换。即将捕获的二进制信息转换成可读形式；(3)分析。即对捕获和转换后的数据进行分析。

2 技术流程

网络数据抓包与分析技术，是指通过侦查实验环境搭建、数据包抓取与过滤、数据分析与研判、关键信息继续追踪等步骤，摸清非法APP/软件/设备的工作原理和工作流程、犯罪手法、服务器接口URL、服务器的数量、服务器的IP地址及其所在地、用户或受害者所在地等情报信息并最终达到以查获犯罪嫌疑人为目的一种技术。技术操作的具体流程如图3所示。

图3 网络协议数据分析技术流程

2.1 侦查实验环境搭建

根据市场上查获的非法APP/客户端/设备的功能，利用带有防火墙功能的家用路由器、带双网卡的PC机或笔记本、开源的抓包软件等模块，搭建一个完全可监控网络流量数据的实验环境。

2.2 数据包抓取与过滤

待实验环境搭建好以后，即可启动抓包软件。抓包软件可使用Fiddler和Wireshark两款软件。如前文所述，Fiddler使用非常简单，但是只能记录客户端和服务器之间通过HTTP/HTTPS协议请求与响应的数据。而Wireshark则直接捕获通过网卡的原始数据包(包括在共享网络上各主机发送/接收的以及相互之间交换的数据包)并予以还原与重组，使用比较复杂，但是功能非常强大，几乎所有网络协议的数据包都能抓取。

如果待分析的非法工具或者非法软件不是通过HTTP/HTTPS协议与服务器进行交互，则只能通过Wireshark监听流经网卡的所有数据。但是这样就会带来另一个问题：数据量太大，有价值的信息就被淹没在大量无价值的数据洪流中。所以，必须通过Wireshark的数据包过滤功能来对捕获的数据进行过滤，然后再对过滤后的数据包进行分析。

需要注意的是，虽然Wireshark功能强大，但是由于Wireshark工作在网络层，如果计算机配置了IPSec传输层加密，则在网络层的流量都已经被加密，Wireshark将无法还原成明文。还有很多网络接口使用HTTPS协议，其数据在传输层之上已被加密，Wireshark也就不能抓取到HTTPS流量的明文内容了。而Fiddler本身作为一个协议代理工具，以“中间人”的身份和服务器建立SSL安全连接，所以，对于HTTPS协议的进行交互的连接，Fiddler可以还原出明文。实际案件侦查过程中，可根据具体情况，选用合适的抓包工具。

2.3 数据分析与研判

待实验环境正常运行后，就要根据待分析的非法APP/客户端/设备的具体功能，有针对性地分析与研判抓取的数据包。例如，对于具有“翻墙”功能的路由器而言，可将路由器从开机加电到用户完整浏览境外非法网站访问这一过程中所有的HTTP数据包逐一分析，便可获知服务器的URL、路由器和服务器之间的交互流程、数据格式、关键数据内容以及服务器的IP地址等；也可通过分析所有的DNS数据包，获知用户通过该路由器访问网站时的域名解析流程，并找出域名服务器的IP；还可分析从路由器发送的所有ICMP数据包，来追踪境外代理服务器的IP。

2.4 关键信息继续追踪

根据上一步研判出来的信息，利用搜索引擎、云搜索等其他系统进一步查询与跟踪，便可获知更有价值的情报。例如，利用ip138.com查询服务器的所在地址，以确定服务器位于境内还是境外；利用全文搜索工具，查询访问服务器接口URL的本地用户，便可获知本地用户或者受害者的上网账号及IP，以解决管辖权的问题等等。这些情报信息的获取，对下一步侦查、取证以及抓捕工作是非常重要的。

3 在侦查中的应用

在网络犯罪侦查过程中，只要涉及手机APP、桌面客户端或网络设备，犯罪嫌疑人就很有可能架设服务器。这种类型的案件中，服务器，尤其是数据库服务器中往往存储了大量的犯罪证据，所以找到服务器的IP以及接口URL就成了案件侦查的首要问题。当然，客户端和服务器之间的交互内容，也对分析犯罪手法有重要的帮助。下面以两个案件为例，说明该技术在网络犯罪案件侦查中的作用。

3.1 在非法网络设备案件侦查中的应用

2017年8月初，广东省清远市公安局网警支队侦查员监测到网上有出售翻墙路由器的信息，立即联系卖家，购买了一台路由器回来分析。将路由器接入网络后发现，通过该路由器，无论是手机还是PC，可非常流畅地访问境外的google、facebook、twitter、youtube以及涉法轮功、涉恐、涉爆等网站。侦查员马上意识到该路由器背后可能存在一个精心设计的服务器集群。为了摸清楚该路由器的工作原理和工作流程以及背后的服务器集群情况，侦查员们利用网络抓包与分析技术，按照以下步骤展开工作。

(1)根据该“翻墙”路由器的功能，利用现有的软硬件资源，搭建起一个简单有效的实验环境，具体的实验环境如图4所示。其中，防火墙设备可用带有IP过滤功能的家用路由器代替(例如TL-WR340G+)。带双网卡的计算机使用普通联想笔记本电脑代替，一般笔记本电脑都有无线和有线两块网卡。在该电脑上启动抓包软件Wireshark，抓取其中一块网卡(连接“翻墙”路由器WAN口的网卡)上通过的数据包分析。这些设备的IP地址设置可参照图4灵活配置。带双网卡的计算机上网卡1用于连接外网，网卡2用于连接“翻墙”路由器WAN接口。其中网卡1要设置为共享(允许其他网络用户通过此计算机的Internet连接来连接)。

图4 侦查实验环境示意图

(2)当实验环境搭建完成并调试正常后，便在带有双网卡的计算机上启动抓包软件Wireshark对网卡2进行抓包。这里要特别注意，不要对网卡1进行抓包，因为网卡1上除了来自“翻墙”路由器的数据流量外，还有很多计算机上已安装并在后台运行的软件发送和接收的数据流量，会对我们的后续的分析工作造成很大干扰。

由于Wireshark会对通过网卡的所有协议数据进行监听，数据量很大，为了便于分析研判，先过滤显示所有的HTTP协议包(在过滤条件栏输入http后回车)，然后挑选其中关键的几个HTTP协议数据包仔细分析，发现路由器会主动和境内某台服务器进行通信，上报自己的MAC地址，以及所选择的境外代理服务器的IP。

现在的问题是境外的代理服务器只有一台还是有多台？如果是有多台，那为什么选择这台？带着这些问题，侦查员继续抓包分析。

经过对路由器多次开关机及抓包观察，侦查员发现路由器和服务器之间有较多的ICMP协议数据包在传输，于是，便对ICMP协议包进行过滤(在过滤条件栏输入icmp后回车)，过滤后发现，路由器不停地向多个境外的IP地址传输ICMP包，由此推断，路由器在开机后便不停地使用PING命令来测试自己和每台境外的代理服务器之间的通信延迟和丢包情况，根据这种情况，选择一台通信状况良好的代理服务器作为下一步“翻墙”所使用的代理服务器。

到底境外的代理服务器有多少台呢？侦查员通过多次对“翻墙”路由器的开机、关机以及更换外网IP等方式，对该协议包多次捕获，并排重整理，掌握到该路由器后面的境外代理服务器IP地址将近2 000个。这让侦查员们意识到，该“翻墙”网络系统非常庞大，案情特别重大。

图5 非法“翻墙”系统架构图

(3)为了进一步确认境内和境外服务器的功能，以及“翻墙”路由器访问服务器的顺序，侦查员打开防火墙设备(或者是带iptable功能的路由器)，将上一步通过抓包获知的境内外服务器IP依次填入防火墙进行拦截。结果发现，一旦阻断境内服务器的访问，用户便不能顺利“翻墙”，而阻挡若干台境外服务器的访问，则不影响用户“翻墙”。由此，更加证实了侦查员对该系统每个部分功能和工作流程的判断。

(4)通过对以上抓取到的数据进行综合分析与研判，一个通过精心设计，数量庞大的服务器网络浮出水面。该网络通过境内服务器(超过5台)为路由器提供授权验证服务，验证通过后，路由器根据实际的网络状况，智能地在境外将近2000台代理服务器中选择一台，然后通过加密数据的方式，突破国家防火墙的拦截过滤，访问境外非法网站。整个系统的架构如图5所示。

根据以上获取的信息，结合其他侦查方法，形成一份高质量的侦查情报。此案最终在公安部的督办和广东省公安厅的协调指挥下，准确、快速锁定嫌疑人，顺利抓获14名犯罪嫌疑人，缴获上千台路由器，摧毁将近2 000台境内外服务器构成的非法网络。

3.2 在APP诈骗案件侦查中的应用

2017年8月初，清远市公安局网警支队接到省厅网警总队转交的线索：有两款交友类型的APP，怀疑利用虚假的用户(机器人)主动与注册用户搭讪，骗取注册用户充值成为会员，待用户充值成为会员后，便发现再无人理睬自己。侦查员接到线索后，便利用网络抓包与分析技术，按照以下步骤展开工作。

(1)搭建实验环境

一般情况下，大多数手机APP和服务器之间的交互，都会首选采用HTTP/HTTPS协议，当然，如果有即时通信或者流媒体播放功能，也会辅助采取TCP或者UDP协议。故侦查员决定先用Fiddler抓取APP与服务器之间交互的HTTP协议包，搭建的侦查实验环境如图6所示。

图6 侦查实验环境示意图

图6中，手机和PC机接入同一局域网，可在内网中自由通信，两者的网关都设置为路由器的内网IP地址(192.168.1.1)，路由器通过外网口(IP为公网，IP地址218.16.143.241)连接互联网。其中手机的代理服务器设置为PC机的IP地址(192.168.1.101)，而抓包软件Fiddler就运行在PC机上。

(2)抓包分析

当实验环境搭建完成，网络调试一切正常后，便首先在PC上启动Fiddler。注意将PC上无关的软件(包括防病毒以及安全卫士等后台软件)全部退出，最大程度减轻干扰。然后在手机上启动待抓包的APP。由于手机设置了代理服务器为PC机，所以，该APP发出的HTTP/HTTPS协议包会先送往PC机，然后由PC机再通过路由器(网关)发送给互联网中的服务器。当然服务器上响应回来的数据包也会通过PC机中转给手机。所以PC机上的Fiddler就会将APP和服务器之间所有的HTTP/HTTPS协议包抓取并整理后呈现出来。

通过抓包，首先确定了用户注册和登录时访问的服务器域名和URL，以及点击其他功能时APP访问的服务器域名和URL。综合分析，发现该APP的后台服务器共有3台，处理不同的功能访问，其中图片显示时，又访问国内比较知名的图片云存储服务。当用户充值时，HTTP数据包中明确显示了订单号，第三方支付平台的APPID和流水号等重要信息。

(3)继续侦查

通过互联网查询工具(ip138.com或ip.chinaz.com)，查询上一步获知的服务器域名，获知服务器的IP地址以及落地地址，为下一步联系服务器提供商调取证据打下良好的基础。通过第三方支付平台的APPID和流水号等信息，进一步跟踪该团伙的资金流信息，为案件的侦破，提供了重要线索。

根据APP访问服务器的URL，开展了一系列的网络特侦活动，最终获得大量犯罪证据。此案最终在省公安厅的督办下，一举捣毁犯罪窝点，抓获犯罪嫌疑人12人，冻结涉案资金一千多万元，有力打击了犯罪份子的嚣张气焰，净化了网络空间。

4 结语

网络数据抓包与分析技术的灵活应用，要求侦查员具有扎实过硬的计算机网络知识与技术。技术导侦是现代刑事侦查发展的必然趋势，也是现代侦查变革的主要力量。尤其是对于网络犯罪和涉及计算机犯罪的案件，在侦查前期，通过计算机和网络技术，进行一系列的侦查实验，对实验的结果进行仔细的分析和研判，获取重要的情报线索，必将对案件的侦破起到关键的推动作用。