来源:百度文库
网络犯罪和网络中的违法案件,目前正伴随着网络的普及而呈上升趋势。由于互联网上的每一台主机、路由器都有一个由32位二进制编码组合、包括网络号和主机号的IP地址,为避免联网主机发生地址冲突这个地址由网络信息中心NIC统一分配,因而具有惟一性。正是因为IP地址的这种惟一性,查找主机IP地址就成为我们追查网上信息源、进而侦破案件的重要手段。IP地址能否作为合法证据?CT机关提取的IP地址的可信度如何?实际网络应用环境存在IP地址伪造的可能,那么,怎样识别获取IP地址的真假?如何根据IP地址定位联网机器?
IP地址的获取
IP地址和网络上使用的计算机的一一对应关系是勿庸质疑的,这是互联网应用的基本规则。但是,从技术上讲在网络使用中存在隐藏真实IP,或以虚假IP代替真实IP的可能,因此,实际工作中必须解决理论上的真实IP和网络中出现的IP真假判别问题,只有解决了IP地址的真实性,才能在网络中定位机器,让IP地址在办案中发挥作用。
IP地址由ISP分配给网络用户上网使用,IP地址的分配方法有两种,一是静态地址分配,把特定的IP地址固定的分配给一个用户,该用户每次上网都要使用同一IP地址;二是动态IP地址分配。多个IP地址由多个用户随机获得,用户每次上网可能会使用不同的IP地址。无论用户使用哪种方式得到IP,使用网络时,电信部门都有相应记录,所以,获取IP地址最直接的方法是从ISP服务商的服务器中提取。由于电信部门的IP地址使用记录信息量大,查询历史记录得到的IP地址又要和用户关联才能体现价值,检索查询工作量很大。实际工作中获取的IP地址多是CT部门、电信部门通过动态监控得到,然后电信部门配合查询使用该IP地址的用户。
目前,互联网中常用的通信有E-Mail、网络聊天等,而许多刑事案件和网上聊天有关,在确定其IP地址时,一般仅利用网上常见的自由软件,就可容易的查出通信双方的IP地址。确定聊天的IP地址可以利用下述方法:
(1)使用显示IP的补丁程序
显IP补丁程序是由编程爱好者自发编写的,程序升级速度几乎与原版同步,腾讯公司每发布一个新版本,显IP补丁程序也会很快问世。
程序作为网络实时通信软件,提供面向连接的服务,为保证信息在收、发双方可靠传递,数据中含双方的地址信息,作为提供给用户使用的信息层面不需要显示地址信息,所以程序屏蔽地址信息。而显IP补丁程序能修改程序,使接收方能从发送方的在线信号中解析出IP地址。在使用经过补丁程序修改后的时,双击一个在线的对象,系统弹出的“发送消息”窗口中会显示在线对象的IP地址及通信端口号,当然,前提条件必须是点击对象在好友列表中,且处于“在线”状态,若不然则先要把对方添加到好友列表。端口号也是一项很重要的信息,一般设为“4000”。
(2)使用IPLocAte程序
IPLocAte的基本工作原理是基于对UDP的监听,工作时它会抢在程序前接收发送方发送的信息,并直接从中提取发送方的IP地址及端口号。它的拦截有时会导致出现不能正常收、发信息的现象,目前多使用该软件中文6.0版本。
使用IPLocAte程序时,应先启动,并在IPLocAte中设置好本机所用端口号,一般为4000,然后按下监听按钮,使用接收或发送一条信息,系统会“监听”对方的IP地址和端口号,收到信息后自动停止“监听”。由于IPLocAte是从底层分析数据包获取地址信息,所以使用此软件提取的地址信息准确性较高。该软件还提供有简单的定位和攻击功能,但效果欠佳。
(3) ICP反隐形技巧
当要查找的对象在网上隐形后,就看不到他的活动信息,IP地址无从查起。但若设法确认了监控对象在网上后,就可以利用ISP的服务器提取IP记录,这也是查获对方的一种有效手段。一般人是先上线,然后才将ICQ调成隐形状态,如果监控对象先你上网,你上网时他已经隐形,你是发现不了他的,但是如果你先上线就可以在提示报警中设定他上线立即通知事件,这样他一上线,你就会听到声音提示,知道他上线了,这时他再去调成隐形也就来不及了。对付隐形的另外一种方法是在上次聊天时发一条对方肯定会回复的信息,在确认信息发出后立刻断线,回信会留在服务器上,下次上线时,即使对方对你隐形,服务器的信息也会传过来,你就能够看到他正处于在线状态了。在ICQ中,只要有人对你发送信息,他的状态就会显示在联系清单上,无论他是否对你隐形。根据这个原理,破解别人隐形的基本方法就是骗他向你发送信息,掌握这些技巧在侦破涉及网络聊天的犯罪时特别有用。
IP地址的真实性判定
使用以上方法获取的IP地址的真实性必须经过认真验证,才具有使用价值,否则,会影响侦查视线,甚至会把工作引入歧途。造成IP地址不准确的原因是多方面的,有人为的伪造,有从安全角度考虑的隐藏,也有网络应用环境造成的虚假,具体情况应区别对待。
(1) 代理上网
通过代理上网时,获取的IP地址不是收发信息机器的地址,是代理服务器的IP地址。代理服务器的功能是代理网络用户去取得网络信息,在浏览器中设置一个代理服务后访问互联网上任何站点时所发出的任何请求,都不会直接发给远程的主机,而是被送到代理服务器上,代理服务器再向远程的主机提出申请,这样目的服务器只能查出你所使用的代理服务器的IP地址。
许多网吧和单位也是由服务器获取IP地址,而后再由局域网中的机器获取服务器的IP进而实现互联网通信,所以即使查获的IP地址是真的,也只能圈定一个很小的范围。若是远程代理上网查起来更麻烦。判断是否为代理上网的简单方法为查看端口号,如果端口号不是“4000、4001„”而是任意数字,应考虑通过代理服务器上网的可能,不妨使用“代理猎手”进行搜索确认代理服务器,表1是几个代理服务器的地址,从端口号可以看出某些规律。若IP地址是某网站或个人用户,问题会简单许多。结果不同,下一步采取的对策也不同。
(2) IP欺骗
伪造的IP地址没有利用的价值,随着Win2000的广泛应用,利用某些技术进行IP欺骗并非难事,但是以较简单的方式伪造IP地址,虽然能够发送信息,受信息传递基本规则所限,却不能正常接收别人的信息。要想伪造的IP地址能正常收发信息,需要相当复杂的技术进行信息包装变换,一般人很难实现,所以验证IP欺骗可以采用发送试探性信息等待回复或Ping此IP地址的方法来验证IP的真假。
根据IP地址定位联网机器
IP地址和联网机器有惟一的对应关系,且IP分配遵循一定的规律和规则,所以根据IP地址应该能够准确的判断机器的地理位置和所属单位。如果拥有完整的IP地址分配表,就可以很精确地定位机器,一般情况下,查找IP地址和定位机器可以请电信部门协助完成,前期最好自己使用软件查询,将其结果请有关部门确认,这样工作效率会更高。
IPLocAte软件自身可以关联IP地址分配表,使用它监听IP地址时,能进行比对检索IP地址对应的地区网络、显示结果,从而帮助人们定位。
追捕软件以扫描、位置搜索的功能见长,地理位置定位也是靠自身关联的IP数据库。很显然定位准确与否取决于两个因素,一是IP地址库的容量,二是IP地址的真伪。
互联网中IP地址的追查、确认需要注意和研究的问题
(1)一般情况下CT机关有关部门应优先考虑利用一些自由软件自己检测或确认IP地址,然而受条件限制,获取的IP地址的可信度不高,当作为证据使用时,必须附之可靠的旁证或与其他证据形成证据链。
(2)利用ISP的IP记录证据价值较高,为避免争议实际使用时ISP需要提供记录真实性的证据,因而CT机关实际办案中面临跨部门协作的问题。由于网络中信息稍纵即逝的特性,时间将是能否获取IP的一个大问题。
(3)动态IP必须和用户关联,这一工作只能请电信部门协助完成。在得到相关信息后,CT机关应尽快办妥手续进行现场检查,获取有价值的证据信息。
(4)使用一些共享软件来确定IP,其定位的准确与否取决于IP分配数据库,基于工作的需要,CT机关应考虑建立自己完备的IP地址信息库,建立快速检测实验中心,以方便、协助各级CT机关开展网络侦查工作。