优惠论坛
标题:
看看网警如何找到你的 <转>
[打印本页]
作者:
vvvvvv
时间:
2010-6-6 06:27
标题:
看看网警如何找到你的 <转>
先来认识一下:“WJ”也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、反ZF的内容,属于WJ处理。
7 [0 [8 V" R2 I0 s% i
我们来假设一个案例:163.com主站被入侵,服务器硬盘全部多次格式化,并且重复读写垃圾数据,导致硬盘数据无法进行恢复,损失惨重。于是在召集专家紧急修复服务器数据的同时,163.COM公司迅速向广州WJ报案。广州WJ介入调查,追踪此次入侵者!
" T& d# Z: @; l# @ w" N6 c
如果你是入侵者,你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时,都不太懂得如何保护自己。如果你们不注意隐藏自己,用不了一天,WJ部门就可以锁定你!如果隐藏的好,等这个案子过了法律追究期限,就是个无头案。
q, X8 ?" k! F# ^9 J% t
首先,我们来了解下WJ部门如何追踪入侵者,锁定他在何处作案。大家一般都知道,当你黑掉一个网站的时候,你在浏览器的操作,都会或多或少的被记录在对方WEB服务器日志上,IIS和Apache都会记录日志,你入侵一家网站,被记录下IP地址一点也不奇怪,就算一般的浏览网页,也会被记录下IP,你在浏览器执行一个操作,IIS服务器就会进行一次记录。这就更不谈你侵入他人网站会不会留下IP记录,这是绝对会留下的。
" C0 D- R: n4 m) e# x. |3 P0 z
在你进入服务器的时候,首先WINDOWS系统就会对你的连接IP进行记录,其次在网关服务器上,也会记录进入服务器的IP。所以即便于你能够把服务器上的记录给删除,而网关上的记录,你永远也碰不到。
& n/ ^# ~% g5 n) A6 g
公安部门在锁定做案者的时候,首先就是要找到做案者,如何找到?最重要的就是追踪IP了。
7 d9 N/ G! j. o& P8 a3 r3 A
我们来了解下一些ADSL宽带接入常识。众所周知,现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP,少部分是使用的固定IP。固定IP一般带宽在 4M以上,而一般人用不了。当你启动计算机,通过ISP提供给你的宽带ADSL帐号拨进互联网的时候,ISP服务商的系统就会随机分配给你一个动态IP,并且记录如下事件,例如:2008年8月8日8时8分8秒,btm4545455(宽带帐号),拨入IP:58.53.1.5,操作系统: Windowsxp,拨号电话:07284544562。各省的电信记录方式可能不同,但是这些数据绝对会被ISP记录下来,有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统,确实存在!而且更详细,我这里只是简单列举了他记录的一些主要数据!
+ A% E9 L8 y3 u% O: w Z
另外一点,当你成功拨号进入互联网后,你的IP在访问互联网的时候,会经过不少路由器,几乎每个路由器都会记录下你的IP!
* w4 h( B* V: }9 F; M6 W
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧?
7 J1 |$ Y( U' q9 x- M5 F
我们再谈谈公安部门如何抓捕做案者。大家都知道,要抓一个人,首先就要知道他是谁、他在那里。如果这都不知道,怎么抓?而要获取到作案者地理位置和真实身份的唯一手段,就是“IP”,IP就是ISP分配给大家用来上网的东东。大家都知道,当你的计算机和一台Internet上的服务器建立连接的时候,双方就会互相传输数据给对方。而这个IP就等于是传输的通道。其实你使用的IP,只能说是互联网的“身份证”,真正访问互联网资源的其实是ISP,你的IP只是负责接受和传输数据到ISP服务器。同样,这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机,才能继续追查他的使用者。
+ w6 o. N, N4 s+ U5 L% x; Q4 G- e
好的,我们现在回到前面,我们前面说了,假设163.COM公司报案后,公安部门通过分析,在WEB服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的IP地址:211.1.1.1,这个时候公安部门调查发现,这个IP是来自日本的。这就是说`入侵者是日本人?这其实只是一个假象。
4 H/ ^ K, c8 x1 t# S" _3 v @
当查找一个入侵者的时候,很重要的一个环节就是查路由日志,大家都知道,当你的IP访问一台服务器的时候,就会经过非常多的路由器,也就是说不只一台路由记录了你曾经到访过的IP,这也是可以追查到的。同样,即使你使用国外肉鸡来连接入侵163.COM,公安同样会追查到你。那他们是如何做到的?答案很简单,公安部门是有权利要求电信部门配合,提供路由日志,具体提供到有那些IP曾经路由到211.1.1.1这个IP上面,这样就可以抓住你了。当你被抓的时候,别想为什么明明用了代理,还是被抓?其实很简单,因为单单是一层,那是很容易被破解的,尤其是代理!代理协议都是很简单的,被破译一点也不难。
* L% ]& x: K! l c) z
所以大家不要随便相信代理这种基本没有任何安全性可言的东西。而怎么样才能逃避追踪呢?公安部门追踪入侵者,只能从IP下手,我们逃避掉IP,基本就没有危险了。如何逃避?我说下,我一般“检测”站点服务器所用的方法。根据威胁性质一般对很危险的网络使用“E级防护”:直接侵入服务器的是北京某高速IDC服务器A,它的后面还有:湖南IDC服务器B、山东 IDC服务器C、韩国服务器D、台湾安服务器E、本人电脑F。这里的各地服务器我用A、B、C、D、E、F代替,刚才已经写清楚了,首先,我们连接的是E,然后在E号服务器里使用3389终端连接韩国D 号,然后D号再3389连接进入山东服务器C号,然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样,在操作过程中,被入侵的服务器一切记录都指向北京A上。
# N: ?0 Z" \4 k' a* l+ p# Q
公安的网络抓捕终极武器就是查路由了。而当连接到台湾E号的时候,就会记录我路由到了E,然后呢?留在对方的服务器上仅仅是你在3389上的操作结果,而操作过程中传输回来的图象,是经过高强度加密,我试过根本无法被识别,依照现在的技术,是根本无法还原你到底进行了什么操作。因为终端连接的协议是非常严谨的,就现在来说,是无法破解的。看完你就知道为什么了!
, X% y8 L0 Q/ M& p/ q
当连接到台湾E号的时候,我的一切操作就是E完成的,我仅仅是得到传输回来的图形界面(也就是截图差不多的),所以一切操作就是E完成的。这个时候E 路由到了D号韩国,所以E号的路由就不是我们的了,就是台湾 ISP服务商的路由了,大家明白原理了吧?公安只有权利查国内电信部门的路由日志,他们可以查到一个IP路由到了国外,但是绝对不可能查到一个真正的国外计算机傀儡背后是谁?为什么呢?因为当E号台湾操作D号韩国的时候,他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候,才有可能被查到。为什么呢?因为前面的A、B、C都在国内,只要在国内,都有可能被追踪到!例如:继续回到案例假设中,这个时候公安查到IP:211.1.1.1,假设他是北京A号,好的,连夜中公安赶到北京电信,通过电信的配合查知是某IDC托管商处的服务器,分析完这台傀儡服务器,通过分析记录日志,得到我们的B号傀儡服务器,好的,连夜赶往湖南电信,在湖南电信的配合下查到又是一台IDC托管服务器,素闻湖南人热情好客,果然不错,在IDC的盛情款待和大力配合下和公安们奋勇拼搏、大力牺牲的情况下,查到了我们的山东C号服务器。这个时候,劳累的公安在休息了一晚后,继续赶往山东,在当地电信的配合下,查到这个IP又是属于某IDC机房的。于是在分析完日志后,公安知道曾经在吻合的时间和背景下连接到这台C号的IP是:203.1.1.1,而这个IP来自韩国,怎么办?其实公安这样要求国内ISP服务商配合调查,开启路由提供日志的几率是很低的。如果要跨国办案,只有一个可能,就是前往韩国,好的,既然是假设,我们就要假设完。在拿到去韩国的机票后,公安来到了韩国,在当地警方的大力配合和盛情款待后,通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器的IP地址所在机房。在万分之一的几率下,又通过韩ISP的配合,居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾22.1.1.1,公安奋力拼搏,拿到了去台湾的机票,终于终于获得了台湾警方的配合。终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。终于,在万万分之一的几率下取得源入侵IP23.1.1.1来自天朝湖北某地,于是公安杀红了眼前往湖北,终于在当地ISP的配合下,通过系统记录的拨号记录,终于查找到这位仁兄。可是公安们发现已经过了刑事追究期限,不过这已经是有了中500亿美金的运气了。说实话,比尔盖茨把他500亿的财产送给你的几率,都比查到源IP的几率高!
& Z; w0 L6 Q2 Z3 Y' y
刚才是我的假设,剧情是顺利的。可是现实中,是绝对不可能的,首先,路由日志,不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。最关键的是这种路由日志一般都会定期删除,所以他的保存期很短。并且电信部门对一般的小地市的WJ,不强势的部门都不怎么管。所以说,就算要找到我们的C号山东服务器都是很困难的。公安一般情况下,能查到B号的,你就该送人家:优秀人民公安锦旗了。
1 }7 `5 \3 R+ l$ I0 E4 l5 ^
再说说国外的D号和E号,当查到C的时候,也不知道是什么年代了。去查一台多次格式化,并且读写很多次的服务器的入侵日志,怎么说都不可能,除非有路由和网关日志。那东西能在几个月后查到的几率是0,按国内公安办案速度,一般等个一年两年,才有可能去韩国。那个时候,人家服务器换没换。我就不知道了,这个时候能幸运的查到台湾 E号,几率确实比微软老总送你500亿的几率高。而在几年后,能在E上找到你的源IP,确实可以当联合国总统了吧? ISP在这几年里一直在路由器上拦截你的一切网络访问数据,并且解密开,这种级别的享受,我想只有特级间谍才享受吧,ISP可花不起这个钱和设备来监视一个普通人几年,并且还保存几年数据,要知道,如果一个省的ISP监视一个省的上网数据,一天的数据就够装几万G了。不知道得用什么东西装,更别提解密了。就算找到你,也没证据证明是谁入侵格式了163.COM的硬盘!
+ x5 n8 o& Z1 v3 e
归根结底,只要你能够利用国外网络躲避开国内路由,根本没有可能查到你,上面的假设中的A、B、C、D、E我都是自己亲身使用过的,并非胡乱吹嘘。这里我来说下,我一般检测站点服务器的隐藏自己的具体方式:首先准备肉鸡3-5台,2台国外肉鸡,两台国内,国外肉鸡最低两台,这样才能足够逃避追踪。国内肉鸡可以减少到1台,根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高,国外地区的肉鸡网络延迟要求你本机连接上的PING值不高于130,国内肉鸡不高于70的延迟,这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接,在肉鸡里再连接肉鸡,这样反复套袜子式的连接。
$ c5 A' h9 r! j7 f7 `7 f' Y
我一般是使用5台,3台国内肉鸡,2台国外肉鸡。我采用的连接方式是,完全暴露的A号国内,B号国内,C号国外,D号国内,E号国内,F号本机。我连接E 号,然后连接D、C、B、A。注意E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式,然后你在本机连接IP127.0.1,就可以成功连接E号。这样我在E号留的WINDOWS日志记录IP全部就变成了127.0.0.1,这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候,也只能看到我连接了127.0.0.1。而路由只能证明我和对方服务器建立了连接。
3 c7 b2 @. L. d0 f8 c5 V/ T
以上隐藏方式,为亲身使用过,并非胡乱猜想。
作者:
ldwbdde
时间:
2010-6-6 10:35
真要找你是一定找得到的,
5 n. k( P5 [' [! W4 ?6 q3 Z
但一般找的不是玩家是代理
作者:
爱拼猎人
时间:
2010-6-6 11:52
网赌要注意自身的安全,只要不是聚赌和做代理的庄家,一般的玩家都是安全的。
作者:
414
时间:
2010-6-7 00:25
手段真是越来越高明了 如果我本身就在国外
4 I* w5 e, A1 [8 D {
岂不全部搞定, 何必挂那么多肉鸡呢
8 L) P4 Y6 Z6 K _5 j
找到ip也不知道,总不能调查外国公民吧
欢迎光临 优惠论坛 (https://www.tcelue.ooo/)
Powered by Discuz! X3.1