秋風的蕭瑟 又見湖邊木葉飛

網(wǎng)警如何找到你？

       俗語有云：天網(wǎng)恢恢、疏而不漏！這句話是真的么？現(xiàn)實社會中我不知道。但是在互聯(lián)網(wǎng)上，這句話在Internet上是很軟弱的。讀完我這篇文，就可以知道。在網(wǎng)絡上觸犯現(xiàn)行法律，即便于公安部門立案調(diào)查，未必就 “落入法網(wǎng)” 
-------------------------------------------------------------我是分割線------------------------------------------------------------------
                注：本文僅做技術(shù)研討，并非討論如何在網(wǎng)絡犯罪后逃脫法律的懲罰。
------------------------------------------------------------- 我是分割線------------------------------------------------------------------
      
       首先來認識一下：“網(wǎng)監(jiān)”也就是公安部門分管網(wǎng)絡的部門。他們負責網(wǎng)絡監(jiān)管，如網(wǎng)站和服務器器被黑、游戲帳號裝備被盜、網(wǎng)絡上的各種糾紛、反dang反zhengfu的內(nèi)容，都屬于網(wǎng)監(jiān)處理。
       我們來假設一個案例：163.com主站（哪個公司的咱就不說了哈）被入侵，服務器硬盤全部多次格式化，并且重復讀寫垃圾數(shù)據(jù)，導致 硬盤數(shù)據(jù)無法進行恢復，損失慘重。于是在召集專家緊急修復服務器數(shù)據(jù)的同時，163.COM公司迅速向廣州網(wǎng)監(jiān)報案。廣州網(wǎng)監(jiān)介入調(diào)查，追蹤此次入侵者！
       如果你是入侵者，面對這樣的情況，你會怎么辦？其實很多同行在侵入別人網(wǎng)站、服務器、內(nèi)部網(wǎng)絡的同時，都不太懂得如何保護自己。如果你們不注意隱藏自己，用不了一天，網(wǎng)監(jiān)部門就可以鎖定你家祖宗十八代-_-!!!，如果隱藏的好，等這個案子過了法律追究期限，也是個無頭案。而這，在Internet上來說，確實是易如反掌！
       首先，我們來了解下網(wǎng)監(jiān)部門如何追蹤入侵者，鎖定他在何處作案。
       大家一般都知道，當你黑掉一個網(wǎng)站的時候，你在WEB的操作。都會或多或少的被記錄在對方WEB服務器日志上。IIS和Apache都是會記錄一些IIS日志。如果你入侵一家網(wǎng)站，被記錄下IP地址一點也不奇怪。就算一般瀏覽網(wǎng)站，也會被記錄下IP（當我在這里碼字的時候，不知道網(wǎng)易已經(jīng)記錄了我多少次IP了 ==b），當你在瀏覽網(wǎng)站執(zhí)行一個操作的時候，IIS服務器就會進行一次記錄，比如說發(fā)生一次連接錯誤。這就更不談你侵入他人網(wǎng)站會不會留下IP記錄，這是絕對會留下的。
       當你侵入一臺服務器呢？在你進入服務器的時候，首先WINDOWS系統(tǒng)就會對你的連接IP進行記錄，其次在網(wǎng)關(guān)服務器上，也會記錄連接進入服務器的IP。所以即便于你能夠把服務器上的記錄給刪除，而網(wǎng)關(guān)上的記錄，你永遠也碰不到。
       公安部門在鎖定做案者的時候，首先就是要找到做案者，如何找到？最重要的就是追蹤IP了。
       我們來了解下一些ADSL寬帶接入常識。
       眾所周知，現(xiàn)在大家一般都是使用的ADSL電信或者網(wǎng)通的寬帶接入網(wǎng)絡。絕大部分是使用的動態(tài)IP，少部分是使用的固定IP。固定IP是特性一般是帶寬在4M以上。而一般人用不了。當你啟動計算機，通過ISP提供給你的寬帶ADSL帳號撥進互聯(lián)網(wǎng)的時候。ISP服務商的系統(tǒng)就會隨機分配給你一個動態(tài)IP， 并且記錄如下事件，例如：2010年4月18日1時48分8秒，J983001（寬帶帳號）,撥入IP：58.48.30.234，操作系統(tǒng)： Windows 7，撥入電話：02786163163。各省的電信記錄方式可能不同，但是這些數(shù)據(jù)絕對會被ISP記錄下來，有的人可能不相信ISP會記錄這么詳細的內(nèi)容。不過我進入電信網(wǎng)絡中查看過這種系統(tǒng)，確實存在！而且更詳細，我這里只是簡單列舉了他記錄的一些主要數(shù)據(jù)！
       另外一點，當你成功撥號進入互聯(lián)網(wǎng)后，你的IP在訪問互聯(lián)網(wǎng)的時候，會經(jīng)過不少路由器，幾乎每個路由器都會記錄下你的IP！
       現(xiàn)在大家知道了ISP服務商通過什么方式記錄你的行蹤了吧。
       我們再談談公安部門如何抓捕做案者。大家都知道，要抓一個人，首先就要知道他是誰、他在那里。如果這都不知道，怎么抓？而要獲取到作案者地理位置和真實身份的唯一手段，就是“IP”，IP就是ISP分配給大家用來上網(wǎng)的東東。大家都知道，當你的計算機和一臺Internet上的服務器建立連接的時候，雙方就會互相傳輸數(shù)據(jù)給對方。而這個IP就等于是傳輸?shù)耐ǖ?，其實你使用的IP，只能說是互聯(lián)網(wǎng)的“身份證”，真正訪問互聯(lián)網(wǎng)資源的其實是ISP，你的IP只是負責接受和傳輸數(shù)據(jù)到XX服務器。同樣，這個IP就是確認某臺計算機在某年某月某日某時某分某秒連接進入某個網(wǎng)絡的證明。同樣只有找到這臺作案的計算 機，才能繼續(xù)追查他的使用者。
       好的，我們現(xiàn)在回到前面，我們前面說了，假設163.COM公司報案后，公安部門通過分析，在WEB服務器系統(tǒng)上以及網(wǎng)關(guān)上面（無法擦去）均找到了連接并 入侵系統(tǒng)的IP地址：211.1.1.1，這個時候公安部門調(diào)查發(fā)現(xiàn)，這個IP是來自日本的。這就是說入侵者是小日本？
       這其實只是一個假象。
       當查找一個入侵者的時候，很重要的一個環(huán)節(jié)就是查路由日志，當你的IP訪問一臺服務器的時候，就會經(jīng)過非常多的路由器，也就是說不只一臺路由記錄了你曾經(jīng)到訪過的IP，這也是可以追查到的。同樣，即使你使用國外肉雞來連接入侵163.COM，警察叔叔同樣會追查到你。那他們是如何做到的？
      答案很簡單，公安部門是有權(quán)利要求電信部門配合，提供路由日志，具體提供到有那些IP曾經(jīng)路由到211.1.1.1這個IP上面，這樣。就可以抓住你了。 當你被抓的時候，別想為什么老子明明用了代理，還是被抓？其實很簡單，因為單單是一層，那是很容易被破解的，尤其是代理！代理協(xié)議都是很簡單的。被破譯一點也不難。
       稍微懂點擊數(shù)的童鞋都知道，公安網(wǎng)絡監(jiān)管部門有一個GFW（“國家防火長城”，還是思科提供的呢～shit?。┐蠹抑肋@個防火墻是做什么的？就是用來屏蔽一些被認為網(wǎng)站內(nèi)容涉嫌fandong、色情活動的站點和網(wǎng)絡資源。不信，大家試試隨便找個普通的國外有效代理訪問類似www.wujie.net，你就會發(fā)現(xiàn)你和代理的連接中斷，為什么中斷？因為GFW檢測到你涉嫌訪問fandong、色情內(nèi)容并且已經(jīng)被屏蔽的站點。然后ISP的系統(tǒng)，就會強行中斷你和那個國外代理的連接。這樣，在一定的時間里，你就會以為代理死掉了。更簡單的測試方法比如：你在google.com里搜索：“胡”“溫””習““賈”“邪惡”等等，你就會發(fā)現(xiàn)自己和Google的連接已經(jīng)中斷，其實這就是ISP強行掐斷了你們的訪問（可憐我天朝子民連“學習”這個詞都不能在Google上搜索了 = =|||）。你在大概幾分鐘類就無法訪問Google。因為你的內(nèi)容沒有進行任何加密措施，就類似代理、就很容易被識別出來。
       所以大家不要隨便相信代理這種基本沒有任何安全性可言的東西。
       而怎么樣，才能逃避追蹤呢？方法很簡單。
       公安部門追蹤入侵者，只能從IP下手，我們逃避掉IP，只要自己拉風，基本就沒有危險了。如何逃避？我說下，我一般“檢測”站點服務器所用的方法。
       準備工具：根據(jù)威脅性質(zhì)，我一般對很危險的網(wǎng)絡使用“E級防護”直接侵入服務器：北京某高速IDC服務器A、它的后面還有：湖南IDC服務器：B、山東 IDC服務器：C、韓國服務器：D、臺灣服務器：E、本人電腦：
注意，防護程度根據(jù)個人能力而定，一般我這種級別的入侵防護要求被控制的服務器質(zhì)量很高，首要是速度非常快，PING值如果國外的兩臺高于：150，那就不用考慮了。一般國外的要求PING在120左右。國內(nèi)的PING在70以內(nèi)。否則會造成操作速度非常緩慢，因為本身這樣做以后，操作速度就會變慢不少， 原因是：（這里的各地服務器我用A、B、C、D、E、代替，剛才已經(jīng)寫清楚了），首先，我們連接的是E，然后在E號服務器里使用3389終端連接韓國D號，然后D號再3389連接進入山東服務器C號，然后C號3389再連接進入湖南B號。湖南B號繼續(xù)3389連接進入“A號”。這樣，在操作過程中。你的一切操作都會記錄在A號上面。被入侵的服務器一切記錄都在北京A號上。連A號上的日志都不用擦，就是要留給公安叔叔追蹤！
       我前面已經(jīng)說過了，公安叔叔的網(wǎng)絡抓捕終極武器就是查路由了。而當我連接到臺灣E號的時候，就會記錄我路由到了E，然后呢？你在3389上的操作，僅僅只會留在對方的服務器上，而你只是看到傳輸回來的圖象。并且是經(jīng)過高強度加密，我試過根本無法被識別，依照現(xiàn)在的技術(shù)，是根本無法還原你到底進行了什么操作。并且這是絕對不可能的事情。因為終端連接的協(xié)議是非常嚴謹?shù)?。就現(xiàn)在來說，是無法破解的。看完你就知道為什么了！
       當我連接到E號臺灣的時候，我的一切操作就是E完整的，我僅僅是得到傳輸回來的圖形界面（也就是截圖差不多的），所以一切操作就是E完成的。這個時候E路由到了D號韓國，所以E號的路由就不是我們的了，就是由臺灣ISP服務商路由了~大家明白原理了吧？警察叔叔只有權(quán)利查大陸電信部門的路由日志，他們可以查到一個IP路由到了大陸以外，但是絕對不可能查到一個真正的國外計算機傀儡的背后是誰。為什么呢？
       因為當E號臺灣操作D號韓國的時候，他的一切操作就是由臺灣ISP記錄了。這個時候韓國D號連接國內(nèi)C號的時候，才有可能被查到。因為前面的 A、B、C都在國內(nèi)，只要在國內(nèi)，都有可能被追蹤到！例如：繼續(xù)回到案例假設中：這個時候警察叔叔查到IP：211.1.1.1。假設他是北京A號，好的，連夜中警察叔叔趕到北京電信。通過電信的配合，查知是某 IDC托管商處的服務器。然后開啟這臺傀儡服務器，通過分析記錄日志，得到我們的B號傀儡服務器，好的，連夜趕往湖南電信，在湖南電信的配合下，查到又是一 臺IDC托管服務器，素聞湖南人熱情好客，果然不錯。在IDC的盛情款待和大力配合下和警察叔叔們奮勇拼搏、不為個人、大力犧牲的情況下。查到了我們的山東C號服務器。這個時候，勞累的警察叔叔在休息了一晚后，繼續(xù)趕往山東，在當?shù)仉娦诺呐浜舷隆２榈竭@個IP又是屬于某IDC機房的。于是在分析完日志后。我們的警察叔叔知道曾經(jīng)在吻合的時間和背景下連接到這臺C號的IP是：203.1.1.1——而這個IP來自韓國，怎么辦？他能怎么辦？
       其實話說回來，公安這樣要求國內(nèi)ISP服務商配合調(diào)查，開啟路由提供日志的幾率是很低的。如果要跨國辦案，只有一個可能，就是前往韓國。好的，既然是假設，我們就要假設完。在拿到去韓國的機票后，警察叔叔來到了韓國，在當?shù)鼐降拇罅ε浜虾褪⑶榭畲?。通過萬分之一的機會查到了這臺可能已經(jīng)被我不負任何責任格式掉的服務器IP地址所在機房。在萬分之一的幾率下，又通過韓ISP的配合，居然查到還沒被刪除的路由日志。于是查到路由到這臺韓D號的IP來自臺灣 22.1.1.1。在“八恥八榮”和”科學發(fā)展觀“的號召下，警察叔叔奮力拼搏，拿到了去臺灣的機票，終于終于獲得了臺灣警方的配合。在寶島，同胞們還是這么熱情，終于在萬分之一的幾率下查到了這臺曾經(jīng)被不負責的格式掉的服務器......
       終于，在萬萬分之一的幾率下取得源入侵IP23.1.1.1來自中國湖北某地，于是警察叔叔殺紅了眼前往湖北，終于在當?shù)豂SP的配合下。通過系統(tǒng)記錄的撥號日志，終于查找到這位仁兄——可是警察叔叔們發(fā)現(xiàn)，已經(jīng)過了——刑事追究期限= =|||。不過這已經(jīng)是有了中福彩體彩六合彩的運氣了。
       我說句說實話，比爾大蓋子把他 500多億的財產(chǎn)送給你的幾率，都比查到源IP的幾率高！
       剛才是假設到最后是查處了我這個幕后黑手，劇情是挺順利的。可是現(xiàn)實中，是絕對不可能的，首先：路由日志，不是誰想查就能查的。查路由會導致ISP整體網(wǎng)絡速度下降非常大，而且是只有幾率查到，因為最關(guān)鍵的是這種路由日志一般都會定期刪除，所以他的保存期很短。并且電信部門對一般的地市的網(wǎng)監(jiān)，不強勢的部門都不怎么鳥他！～所以說，就算要找到我們的C號山東服務器都是很困難的。警察叔叔一般情況下，能查到B號的，你就該送人家——優(yōu)秀人民公安錦旗了
       再說說國外的D號和E號，當查到C的時候，也不知道是什么年代了。去查一臺多次格式化，并且經(jīng)過多次讀寫后的服務器的入侵日志，無疑是。。。怎么說都不可能，除非有路由和網(wǎng)關(guān)日志，那東西。能在幾個月后查到的幾率是0，按國內(nèi)公安辦案速度，一般等個一年兩年，才有可能去韓國。那個時候，估計人家服務器換沒換，我就不 知道了。這個時候能幸運的查到臺灣E號，幾率確實比微軟老總送你500億美刀的幾率高。而在幾年后，能在E上找到你的源IP，確實可以當聯(lián)合國總統(tǒng)了吧？哦對了，好象沒這職。
       按道理說，找到你的時候，你的電腦在長時間的使用中也已經(jīng)更新?lián)Q代了~這個年代，兩年換代，不希奇吧？能把你入罪，并且還在法律追究期內(nèi)的情況，確實能媲美彗星撞地球了。別的不說，只要把硬盤多讀寫幾次、格幾 次。這幾年后，不格不讀寫，硬盤也都被重復寫過多次了吧？而當年入侵的時候是操作在臺灣機器上的，除非有一個可能——ISP在這幾年里一直在路由器上攔截你的一切網(wǎng)絡訪問數(shù)據(jù)，并且解密開。并且就算解密開，得到的只是你連接對方服務器的數(shù)據(jù)。這種級別的服務，我想只有特級間諜才享受吧。ISP可花不起這個錢和設備來監(jiān)視一個普通人幾年。并且還保存幾年數(shù)據(jù)，要知道，如果一個省的ISP監(jiān)視一個省的上網(wǎng)數(shù)據(jù)，一天的數(shù)據(jù)就夠裝幾萬G了。。。不知道得用什么東西裝，這是不可能的事情。更別提解密了。就算找到你，也沒證據(jù)證明是誰入侵格式了163.COM的硬盤！
       歸根結(jié)底，只要你能夠利用國外網(wǎng)絡躲避開國內(nèi)路由，根本沒有可能查到你，上面的假設中的A、B、C、D、E我都是自己親身使用過的。并非胡亂吹噓。這里我來說下，我一般檢測站點服務器的隱藏自己的具體方式：
       首先準備肉雞3-5臺——2臺國外肉雞——2臺國內(nèi)，國外肉雞最低兩臺。這樣才能足夠逃避追蹤。國內(nèi)肉雞可以減少到1臺。根據(jù)你找到的肉雞網(wǎng)速決定。要求肉雞的網(wǎng)絡延遲非常高，國外地區(qū)的肉雞，網(wǎng)絡延遲要求你本機連接上的PING值不高于130。國內(nèi)肉雞不高于70的延遲。這樣才能很好的使用肉雞。方式是使用 WINDOWS自帶的3389遠程連接，在肉雞里再連接肉雞，這樣反復套襪子式的連接。
      我一般是使用5臺`3臺國內(nèi)肉雞，2臺國外肉雞。我采用的連接方式是，完全暴露的國內(nèi)A號`B號國內(nèi)，C號國外，D號國內(nèi)。E號國內(nèi)，F(xiàn)號本機。我連接E 號，然后連接D、C、B、A。注意E號建議是采用開代理的方式連接。比如把E號開啟SOCKS5代理服務方式，然后你在本機連接IP127.0.1，就可以成功連接E號。這樣我在E號留的WINDOWS日志記錄IP全部就變成了127.0.1。這樣就無法證明我曾經(jīng)干了什么。即便于當檢查我的計算機的時候，也只能看到我連接了127.0.1。而路由只能證明我訪問了、和對方服務器建立了連接。
       以上隱藏方式，為親身使用過。并非胡亂猜想。如果你這樣都能被逮，只能說你是神人也！天神下凡。。。。
------------------------------------------------------------- 我是分割線------------------------------------------------------------------
                注：本文僅做技術(shù)研討，并非討論如何在網(wǎng)絡犯罪后逃脫法律的懲罰。
------------------------------------------------------------- 我是分割線------------------------------------------------------------------

這篇文章僅做純技術(shù)研討學習。
請不要嘗試越過法律！
請各位嘗試入侵的網(wǎng)友記住：
當你在沒有任何防護的情況下進行hacking，你時時刻刻都面臨著危險。你是否落入那張“網(wǎng)”，就看別人是否要你進“網(wǎng)”。

posted on 2010-04-19 21:25 梁良 閱讀(315) 評論(0)  編輯  收藏 所屬分類: 一滴一滴