Bypass技術(shù)在動態(tài)取證串聯(lián)模式中的應(yīng)用

王鵬

中國人民公安大學 北京 100038

0 前言

基于現(xiàn)行刑訴法，動態(tài)取證研究的主要熱點：一是利用入侵檢測系統(tǒng)IDS來檢測非法的入侵或惡意行為，對這些行為記錄日志，并將日志作為網(wǎng)絡(luò)取證的主要證據(jù)源；另外一個研究方向是將動態(tài)取證同誘騙技術(shù)結(jié)合起來，利用蜜罐等誘騙系統(tǒng)來收集證據(jù)，這種取證方式可以減少取整量，拖延攻擊者對真實目標的攻擊，但蜜罐系統(tǒng)有個致命的缺陷：有可能被用來作為進一步攻擊的跳板。2013年1月1日，新的刑事訴訟法實施以后，電子數(shù)據(jù)被列為法定證據(jù)范疇，同時合法的利用技術(shù)偵查措施取得的電子數(shù)據(jù)將可以作為訴訟證據(jù)使用，這使得動態(tài)取證的研究領(lǐng)域進一步擴展，取證的目標可以瞄向廣袤的互聯(lián)網(wǎng)世界。基于新刑事訴訟法的動態(tài)取證，對網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控將成為主要的動態(tài)取證方式。常見的網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控模式可以分為兩種：一種是旁路監(jiān)控模式，另一種是串聯(lián)監(jiān)控模式。兩種監(jiān)控模式各有優(yōu)缺點：

1 旁路模式的優(yōu)缺點

1.1 優(yōu)點

(1) 旁路監(jiān)控模式部署起來比較靈活方便，只需要在交換機上面配置鏡像端口即可，不會影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。

(2) 旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù)，對原始傳遞的數(shù)據(jù)包不會造成延時，不會對網(wǎng)速造成任何影響。而串聯(lián)模式是串聯(lián)在網(wǎng)絡(luò)中的，那么所有的數(shù)據(jù)必須先經(jīng)過監(jiān)控系統(tǒng)，所以會對網(wǎng)速有一定的延時。

(3) 旁路監(jiān)控設(shè)備一旦故障或者停止運行，不會影響現(xiàn)有網(wǎng)絡(luò)。而串聯(lián)監(jiān)控設(shè)備如果出現(xiàn)故障，會導致網(wǎng)絡(luò)中斷。

1.2 缺點

(1) 需要交換機或者路由支持“端口鏡像”功能才可以實現(xiàn)監(jiān)控。

(2) 旁路模式采用發(fā)送RST包的方式來斷開TCP連接，不能禁止UDP通訊。對于UDP應(yīng)用，一般還需要在路由器上面禁止UDP端口進行配合。而串聯(lián)模式不存在該問題。

(3) 有丟包的現(xiàn)象。

2 串聯(lián)模式的優(yōu)缺點

2.1 優(yōu)點

(1) 利用windows自帶的“網(wǎng)關(guān)”、“網(wǎng)橋”功能即可實現(xiàn)，不需要硬件設(shè)備的支持。

(2) 可以禁止UDP通訊數(shù)據(jù)包。

2.2 缺點

(1) 與“旁路監(jiān)控”相比較，“網(wǎng)關(guān)”、“網(wǎng)橋”的配置更加復雜些。

(2) 串聯(lián)模式，所有網(wǎng)絡(luò)數(shù)據(jù)流都經(jīng)過監(jiān)控設(shè)備，對網(wǎng)速有少許的影響。

(3) 串聯(lián)監(jiān)控設(shè)備故障(斷電或死機)會導致網(wǎng)絡(luò)中斷。

在新的刑訴法框架下，對于重特大案件的網(wǎng)絡(luò)監(jiān)控取證，尤其是對加密通道的監(jiān)控取證，往往要求既不能丟包又不能因為設(shè)備故障、中斷網(wǎng)絡(luò)而“打草驚蛇”，影響整個取證工作。因此需要針對實際需要，設(shè)計一種新型的監(jiān)控模式——3G遠程控制串聯(lián)+路模式：在串聯(lián)模式下引入旁路的思想，將BYPASS技術(shù)應(yīng)用于串聯(lián)監(jiān)控模式當中，從而把串聯(lián)模式和旁路模式結(jié)合起來。這樣，網(wǎng)絡(luò)監(jiān)控設(shè)備可以實現(xiàn)既不丟包又不會因擋機而斷網(wǎng)的功能。同時，在網(wǎng)絡(luò)監(jiān)控設(shè)備中加入一個“3G工作監(jiān)控模塊”來實現(xiàn)遠程控制和檢測網(wǎng)絡(luò)監(jiān)控設(shè)備工作狀況的功能。

3 旁路技術(shù)概述

旁路，英文為Bypass，顧名思義，也就是說可以通過特定的觸發(fā)狀態(tài)(斷電或死機)讓網(wǎng)絡(luò)數(shù)據(jù)流不通過網(wǎng)絡(luò)監(jiān)控設(shè)備，而直接物理上導通。所以有了Bypass后，當網(wǎng)絡(luò)監(jiān)測設(shè)備故障以后，還可以讓網(wǎng)絡(luò)導通，當然這個時候這臺網(wǎng)絡(luò)設(shè)備也就不會再對網(wǎng)絡(luò)中的數(shù)據(jù)流進行監(jiān)控處理了。此時，3G工作監(jiān)控模塊會立即將網(wǎng)絡(luò)監(jiān)控設(shè)備故障的信息通知指揮中心，及時維護設(shè)備。圖1、圖2說明了旁路技術(shù)的工作方式：其中網(wǎng)絡(luò)監(jiān)控設(shè)備分上行、下行端口及光纖、非五類線端口，五類線端口連接采用正線連接；3G工作模塊是嵌入式系統(tǒng)，用來遠程登陸控制網(wǎng)絡(luò)監(jiān)控設(shè)備并檢測其工作狀態(tài)，工作模塊軟件采用客戶端系統(tǒng)實現(xiàn)控制；旁路功能工作時，起到直通的功能。

圖1 網(wǎng)絡(luò)監(jiān)控設(shè)備處于正常監(jiān)控模式

圖2 (網(wǎng)絡(luò)監(jiān)控設(shè)備故障Bypass啟動模式)

4 旁路技術(shù)分類及應(yīng)用方式

Bypass一般按照控制方式或者稱為觸發(fā)方式來分，可以分為以下幾個方式：

(1) 通過電源觸發(fā)。這種方式下，一般是在設(shè)備沒有通電的情況下，Bypass功能打開，如果設(shè)備一旦通電后，Bypass立即調(diào)整為關(guān)閉狀態(tài)。

(2) 由GPIO來控制。在進入OS后，可以通過GPIO來對特定的端口操作，從而實現(xiàn)對Bypass開關(guān)的控制。

(3) 由Watchdog來控制。這種情況實際是對方式2的一種延伸應(yīng)用，可以通過Watchdog來控制GPIO Bypass程序的啟用與關(guān)閉，從而實現(xiàn)對Bypass狀態(tài)的控制。使用這種方式后，平臺如果死機就可以由Watchdog來打開Bypass。具體流程如圖3：

圖3 Bypass功能流程圖

在實際的應(yīng)用中，這3種狀態(tài)往往是同時存在的，尤其是1和2兩種方式。一般的應(yīng)用方法為：在斷電的情況下，設(shè)備處于Bypass打開狀態(tài)，然后設(shè)備上電后，由于BIOS可以對Bypass作操作，所以在BIOS接管設(shè)備后，Bypass仍然處于打開狀態(tài)，然后OS啟動，當OS啟動后，一般會執(zhí)行GPIO的Bypass程序，將Bypass關(guān)閉，這樣可以應(yīng)用程序就可以發(fā)揮作用了。也就是說在整個啟動過程中，幾乎不會造成網(wǎng)絡(luò)的斷開。只有在設(shè)備剛剛上電到BIOS接管這短短的2-3秒鐘的時間會使網(wǎng)絡(luò)斷開。

5 Bypass實現(xiàn)的原理分析

簡單說明了Bypass的控制方式后，再對Bypass工作原理作一下簡要的說明。Bypass的工作原理主要從硬件和軟件兩方面來分析。

5.1 硬件方面

在硬件層面上，要實現(xiàn)Bypass，主要使用的就是繼電器。這些繼電器主要連接各個網(wǎng)口信號線上，下圖以其中一根信號線來說明繼電器在其中的工作方式。以電源觸發(fā)為例，當斷電的情況下，繼電器內(nèi)的開關(guān)將會跳撥到1的狀態(tài)，即將LAN RJ45入接口上的線直接和LAN RJ45出導通；而當設(shè)備通電后，開關(guān)就會導通到2上。

繼電器開關(guān)示意圖

5.2 軟件方面

在Bypass的分類中談到了GPIO和Watchdog兩種方式來控制、觸發(fā)Bypass，實際上這兩種方式都是對GPIO作操作，然后由GPIO來控制硬件上的繼電器作相應(yīng)的跳轉(zhuǎn)。具體就是相應(yīng)的GPIO如果被置成高電平，那么繼電器就相應(yīng)的跳轉(zhuǎn)到位置2，相反如果GPIO置成低電平，則繼電器就跳轉(zhuǎn)到位置1。對GPIO寫入“0”或“1”，就可以實現(xiàn)對Bypass進行開關(guān)的控制。另外對于Watchdog Bypass，實際上是在上面的GPIO控制的基礎(chǔ)上，增加Watchdog控制Bypass。首先系統(tǒng)激活Watchdog功能，通常情況下，當Watchdog生效后，系統(tǒng)會Reset；但如果使用了Watchdog Bypass功能，則在Watchdog生效后，系統(tǒng)不會Reset，而是將相對應(yīng)的網(wǎng)口Bypass打開，使設(shè)備呈現(xiàn)為Bypass狀態(tài)。實際這種Bypass，也是通過 GPIO來控制 Bypass的，只不過這種情況下，向GPIO寫入低電平的工作由Watchdog來執(zhí)行，不需要另外編程來寫GPIO。值得注意的事，如果使用了Watchdog Bypass，則Watchdog將不能再讓系統(tǒng)Reset了。

6 結(jié)束語

旁路技術(shù)應(yīng)用于串聯(lián)網(wǎng)絡(luò)監(jiān)控模式雖然可以解決不丟包、不斷網(wǎng)的問題，但在網(wǎng)速上還是有影響的，尤其是監(jiān)控網(wǎng)絡(luò)內(nèi)多臺計算機時，對網(wǎng)速延時較大。設(shè)備提供的光纖接入端口可以有效解決網(wǎng)速延時問題，待光纖入戶普及工程結(jié)束時，串聯(lián)旁路技術(shù)對網(wǎng)速的延時將會被忽略。或許那時，會有更好的技術(shù)解決方案。

[1]孫知信.網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究[M].北京：清華大學出版社.2010.

[2]http://www.youxia.org/2008/10/Bypass-JieShao.html.

[3]http://www.softbar.com/blog/post/64.html.