監看LINE語音通話流量 蒐證揪出拍賣詐欺罪犯

▲圖4 LINE使用介面及基本功能。

網路封包

在網際網路中，資料的傳輸是以封包的形式傳遞，網路封包是傳送資料的最小單位，換言之，訊息跨網路間傳輸的最基本資料單元即為封包，兩台電腦必須透過網路封包傳送以傳遞資料完成溝通。

一個封包主要是由標頭（Header）與資料（Data）所組成。標頭裡詳細地定義封包的屬性，包括所使用的通訊協定、來源IP位址、目的地IP位址、來源MAC位址、目的地MAC位址及所要傳輸的資料等資訊。封包會因為不同的應用服務或通訊協定而有不同的大小，但每行欄位的大小總合均固定為32位元（bit）。然而，並非所有的通訊協定都會擁有相同的欄位資料，如果所使用的通訊協定不相同，封包結構也會有些許的差異，網路封包的基本格式如圖5所示。

▲圖5 網路封包基本格式。

相關工具及軟體介紹

接著介紹本文將會使用到的Wireshark、WHOIS資料庫以及Android智慧型手機。

Wireshark

Wireshark的原名為Ethereal，是一款開放原始碼的網路封包錄製分析軟體。使用者可以從官方網站（http://www.wireshark.org/）免費下載使用。Wireshark可以擷取封包資料，並加以分析封包內的資訊。 Wireshark支援的協定具完整性且多樣化，不但支援的通訊協定及封包種類高達680多種，且版本更新迅速。再加上本身提供圖形化介面，更顯得功能強大且易於操作，幾乎所有形式的封包流經此網路設備皆會被擷取。

Wireshark豐富的過濾語言，可輕鬆錄製並判別出封包的種類，並有效率地分析封包內的摘要及詳細資訊，使用者能夠在官方網站查詢相關協定的詳細內容。常見的封包類型有HTTP、FTP、Telnet、ICMP等，目前最新版本為2.0.3版，操作介面如圖6所示。

▲圖6 Wireshark操作介面。

WHOIS資料庫

建置WHOIS資料庫主要是為了因應註冊管理機關執行業務上的需求，以及提供一般民眾自由、方便地上網查詢為目的。可區分為IP位址註冊資料庫與網域名稱註冊資料庫兩類。

WHOIS資料庫是由各IP位址及網域名稱管理發放機構所建立，透過與申請註冊者簽訂契約，以完整蒐集所有申請註冊者之相關註冊資料，並公開於網際網路之中，供大眾以網域名稱或IP位址等方式查詢。

要查詢註冊者之相關註冊資料時，使用者只需至各註冊管理機構之WHOIS資料庫輸入欲搜尋之關鍵文字與數字，資料庫即會提供相對應之註冊者資訊，包含網域名稱、IP位址、聯絡電話、聯絡地址及電子郵件地址等，其查詢介面如圖7所示。

▲圖7 WHOIS查詢介面。

Android智慧型手機

Android是一個以Linux為基礎的開放式行動作業系統，主要用於智慧型手機和平板電腦等行動裝置，是由Google成立的開放手機聯盟（Open Handset Alliance，OHA）所研發領導。

由於行動裝置體積較小且需同時具備行動通訊功能，因此所配置的中央處理器、儲存空間、蓄電能力及系統功能雖然與個人電腦差異很大。但Android智慧型手機仍具備有許多便利的功能，例如資料儲存、藍牙、行動網路、無享分享等。

封包蒐證操作流程說明

由於LINE對於通訊層面的隱私相當重視，故在程式的設計與實作上非常嚴謹，其大部分的訊息皆有加密，所以即使錄製其封包，也不易解析其內容。但LINE透過行動網路使用的網路電話時所傳輸的訊息是沒有經過加密的，這是目前LINE所被發現的少數漏洞。

為了能夠提供鑑識調查人員蒐集LINE網路電話封包，以及分析IP位址及相關資訊，本文擬定了一項網路封包蒐證流程，利用筆記型電腦及智慧型手機等一般人身邊隨手可得的設備，架設一個網路封包錄製環境，針對LINE的網路電話通訊進行封包錄製與分析，其步驟如圖8所示並說明如下。

▲圖8 LINE網路電話封包蒐證流程。

架設網路封包錄製環境

要自行架設網路封包錄製環境並不困難，只要準備一台已經安裝Wireshark封包錄製軟體與電腦版的LINE應用程式即可，同時將電腦連接網路，在此環境中與蒐證對象進行LINE網路電話通訊時，即可在通訊的過程中同時蒐集網路電話封包。

本文於實例操作中所使用的使用智慧型手機為Sony Xperia Z3，其作業系統版本為5.0（Lollipop），已具備行動上網功能並安裝最新6.2.1版本LINE App。另使用ASUS X550V筆記型電腦為封包錄製主機，作業系統為Windows 10家用版，主機當中安裝2.0.3版本的Wireshark與版本為4.6.1.931的LINE應用程式。

要特別注意的是，蒐證對象所使用的智慧型手機必須在開啟行動網路的狀態下，以LINE網路電話向已執行Wireshark封包錄製功能的電腦主機進行通訊，才能有效錄製雙方通訊時所產生的網路封包。