标题:
[转贴] 警察是如何找到你的
[打印本页]
作者:
路见不平
时间:
2010-8-25 22:14
标题:
警察是如何找到你的
俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上,这句话在
Internet
上是很软弱的。读完我这篇文,就可以知道。在网络上触犯现行法律,即便于公安部门立案调查,未必就
“
落入法网
”
注:本文仅做技术研讨,并非讨论如何在犯罪后逃脱法律的惩罚。
首先来认识一下:
“
网监
”
也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情
`
反现
zhengfu
的内容。都属于网监处理。
我们来假设一个案例:
163.com
主站被入侵,服务器YP全部多次格式化,并且重复读写垃圾数据,导致YP数据无法进行恢复,损失惨重。于是在召集专家紧急修复服务器数据的同时,
163.COM
公司迅速向广州网监报案。广州网监介入调查,追踪此次入侵者!
如果你是入侵者,你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时,都不太懂得如何保护自己。如果你们不注意隐藏自己,用不了一天,网监部门就可以锁定你家祖宗十八代
-_-!!!
,如果隐藏的好,等这个案子过了法律追究期限,也是个无头案。而这,在
Internet
上来说,是易如反掌!
首先,我们来了解下
`
网监部门如何追踪入侵者,锁定他在何处作案。大家一般都知道,当你黑掉一个网站的时候,你在
WEB
的操作。都会或多或少的被记录在对方
WEB
服务器日志上。
IIS
和
Apache
都是会记录一些
IIS
日志。如果你入侵一家网站,被记录下
IP
地址一点也不奇怪。就算一般浏览网站,也会被记录下
IP
,当你在浏览网站执行一个操作的时候,
IIS
服务器就会进行一次记录,比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下
IP
记录,这是绝对会留下的。
当你侵入一台服务器呢?在你进入服务器的时候,首先
WINDOWS
系统就会对你的连接
IP
进行记录,其次在网关服务器上。也会记录连接进入服务器的
IP
。所以即便于你能够把服务器上的记录给删除,而网关上的记录,你永远也碰不到。
公安部门在锁定做案者的时候,首先就是要找到做案者,如何找到?最重要的就是追踪
IP
了。
我们来了解下一些
ADSL
宽带接入常识。
众所周知,现在大家一般都是使用的
ADSL
电信或者网通的宽带接入网络。绝大部分是使用的动态
IP
,少部分是使用的固定
IP
。固定
IP
是特性一般是带宽在
4M
以上。而一般人用不了。当你启动计算机,通过
ISP
提供给你的宽带
ADSL
帐号拨进互联网的时候。
ISP
服务商的系统就会随机分配给你一个动态
IP
,并且记录如下事件,例如:
2008
年
8
月
8
日
8
时
8
分
8
秒
,
btm4545455
(宽带帐号)
,
拨入
IP
:
58.53.1.5
,操作系统:
Windowsxp
,拨号电话:
07284544562
。各省的电信记录方式可能不同,但是这些数据绝对会被
ISP
记录下来,有的人可能不相信
ISP
会记录这么详细的内容。不过我进入电信网络中查看过这种系统,确实存在!而且更详细,我这里只是简单列举了他记录的一些主要数据!
另外一点,当你成功拨号进入互联网后,你的
IP
在访问互联网的时候,会经过不少路由器,几乎每个路由器都会记录下你的
IP
!
现在大家知道了
ISP
服务商通过什么方式记录你的行踪了吧?
我们再谈谈公安部门如何抓捕做案者。大家都知道,要抓一个人,首先就要知道他是谁、他在那里。如果这都不知道,怎么抓?而要获取到作案者地理位置和真实身份的唯一手段,就是
“
IP
”
,
IP
就是
ISP
分配给大家用来上网的东东。大家都知道,当你的计算机和一台
Internet
上的服务器建立连接的时候,双方就会互相传输数据给对方。而这个
IP
就等于是传输的通道,其实你使用的
IP
,只能说是互联网的
“
身份证
”
,真正访问互联网资源的其实是
ISP
,你的
IP
只是负责接受和传输数据到
XX
服务器。同样,这个
IP
就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机,才能继续追查他的使用者。
作者:
路见不平
时间:
2010-8-25 22:14
好的,我们现在回到前面,我们前面说了,假设
163.COM
公司报案后,公安部门通过分析,在
WEB
服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的
IP
地址:
211.1.1.1
,这个时候公安部门调查发现,这个
IP
是来自日本的。这就是说
`
入侵者是日本人?这其实只是一个假象。
当查找一个入侵者的时候,很重要的一个环节就是查路由日志,大家都知道,当你的
IP
访问一台服务器的时候,就会经过非常多的路由器,也就是说不只一台路由记录了你曾经到访过的
IP
,这也是可以追查到的。同样,即使你使用国外肉鸡来连接入侵
163.COM
,公安叔叔同样会追查到你。那他们是如何做到的?
答案很简单,公安部门是有权利要求电信部门配合,提供路由日志,具体提供到有那些
IP
曾经路由到
211.1.1.1
这个
IP
上面,这样。就可以抓住你了。当你被抓的时候,别想
`
为什么劳资明明用了代理,还是被抓?其实很简单,因为单单是一层,那是很容易被破解的,尤其是代理!代理协议都是很简单的。被破译一点也不难。
大家都知道,公安网络监管部门有一个国家防火墙
“
金盾
”
,大家知道这个防火墙是做什么的?就是用来屏蔽一些被认为网站内容涉嫌
fandong
、色情活动的站点和网络资源。不信,大家试试随便找个普通的国外有效代理访问类似
www.wujie.net
,你就会发现你和代理的连接中断,为什么中断?因为金盾检测到你涉嫌访问
fandong
、色情内容
`
并且已经被屏蔽的站点。然后
ISP
的系统,就会强行中断你和那个国外代理的连接。这样,在一定的时间里,你就会以为代理死掉了。更简单的测试方法比如:你在
google.com
里搜索:
“
邪恶
”
,你就会发现自己和
GOOGLE
的连接已经中断,其实这就是
ISP
强行掐断了你们的访问。你在大概几分钟类就无法访问
GOOGLE
。因为你的内容没有进行任何加密措施,就类似代理、就很容易被识别出来。
所以大家不要随便相信代理这种基本没有任何安全性可言的东西。。而怎么样,才能逃避追踪呢?方法很简单。
公安部门追踪入侵者,只能从
IP
下手,我们逃避掉
IP
,只要自己拉风。基本就没有危险了。如何逃避?我说下,我一般
“
检测
”
站点服务器所用的方法。准备工具
`
根据威胁性质
`
我一般对很危险的网络使用
“
E
级防护
”
直接侵入服务器的是:北京某高速
IDC
服务器
A
、它的后面还有:湖南
IDC
服务器:
B
、山东
IDC
服务器:
C
、韩国服务器:
D
、台湾服务器:
E
、本人电脑:
F
。
注意,防护程度根据个人能力而定,一般我这种级别的入侵防护要求被控制的服务器质量很高,首要是速度非常快,
PING
值如果国外的两台高于:
150
,那就不用考虑了。一般国外的要求
PING
在
120
左右。国内的
PING
在
70
以内。否则会造成操作速度非常缓慢,因为本身这样做以后,操作速度就会变慢不少,原因是:(这里的各地服务器我用
A
、
B
、
C
、
D
、
E
、
F
代替,刚才已经写清楚了),首先,我们连接的是
E
,然后在
E
号服务器里使用
3389
终端连接韩国
D
号,然后
D
号再
3389
连接进入山东服务器
C
号,然后
C
号
3389
再连接进入湖南
B
号。湖南
B
号继续
3389
连接进入
“
A
号
”
。这样,在操作过程中。你的一切操作都会记录在
A
号上面。被入侵的服务器一切记录都在北京
A
号上。连
A
号上的日志都不用擦,就是要留给公安叔叔追踪!
我前面已经说过了,公安叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾
E
号的时候,就会记录我路由到了
E
,然后呢?你在
3389
上的操作,仅仅只会留在对方的服务器上,而你只是看到传输回来的图象。并且是经过高强度加密,我试过根本无法被识别,依照现在的技术,是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说,是无法破解的。看完你就知道为什么了!
当我连接到
E
号台湾的时候,我的一切操作就是
E
完整的,我仅仅是得到传输回来的图形界面(也就是截图差不多的),所以一切操作就是
E
完成的。这个时候
E
路由到了
D
号韩国,所以
E
号的路由就不是我们的了,就是由台湾
ISP
服务商路由了
~
大家明白原理了吧?公安叔叔只有权利查国内电信部门的路由日志,他们可以查到一个
IP
路由到了国外,但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁
`
为什么呢?
作者:
路见不平
时间:
2010-8-25 22:15
因为当
E
号台湾操作
D
号韩国的时候,他的一切操作就是由台湾
ISP
记录了。这个时候韩国
D
号连接国内
C
号的时候,才有可能被查到。为什么呢?因为前面的
A
、
B
、
C
都在国内,只要在国内,都有可能被追踪到!例如:
继续回到案例假设中:这个时候公安叔叔查到
IP
:
211.1.1.1`
假设他是北京
A
号,好的,连夜中公安叔叔赶到北京电信
`
通过电信的配合
`
查知是某
IDC
托管商处的服务器,开启了这台傀儡服务器,通过分析记录日志,得到我们的
B
号傀儡服务器,好的,连夜赶往湖南电信
`
在湖南电信的配合下
`
查到又是一台
IDC
托管服务器,素闻湖南人热情好客
`
果然不错。在
IDC
的盛情款待和大力配合下和公安叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东
C
号服务器。这个时候,劳累的公安叔叔在休息了一晚后,继续赶往山东,在当地电信的配合下。查到这个
IP
又是属于某
IDC
机房的。于是在分析完日志后。
我们的公安叔叔知道
`
曾经在吻合的时间和背景下连接到这台
C
号的
IP
是:
203.1.1.1`
而这个
IP
来自韩国,怎么办?
其实公安这样要求国内
ISP
服务商配合调查,开启路由提供日志的几率是很低的。如果要跨国办案,只有一个可能。就是前往韩国
`
好的,既然是假设,我们就要假设完。在拿到去韩国的机票后,公安叔叔来到了韩国,在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器
IP
地址所在机房。在万分之一的几率下,又通过韩
ISP
的配合,居然查到还没被删除的路由日志。于是查到路由到这台韩
D
号的
IP
来自台湾
22.1.1
.1
、八耻八荣的号召下,公安叔叔奋力拼搏,拿到了去台湾的机票,终于终于获得了台湾警方的配合。在异国,同胞们还是这么热情,终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。。。
终于,在万万分之一的几率下取得源入侵
IP23.1.1.1
来自中国湖北某地,于是公安叔叔杀红了眼前往湖北,终于在当地
ISP
的配合下。通过系统记录的拨号记录,终于查找到这位仁兄
`
可是公安叔叔们发现。已经过了:刑事追究期限。。。。不过这已经是有了中
500
亿美金的运气了。说实话,比尔大盖子把他
500
亿的财产送给你的几率,都比查到源
IP
的几率高!
刚才是我的假设,剧情是顺利的。可是现实中,是绝对不可能的,首先:路由日志,不是谁想查就能查的。查路由会导致
ISP
整体网络速度下降非常高。而且不一定有几率,最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监,不强势的部门都不怎么鸟。所以说,就算要找到我们的
C
号山东服务器都是很困难的。公安叔叔一般情况下,能查到
B
号的,你就该送人家:优秀人民公安锦旗了。。
再说说国外的
D
号和
E
号,当查到
C
的时候,也不知道是什么年代了。去查一台多次格式化,并且读写的服务器的入侵日志,无疑是。。。怎么说都不可能,除非有路由和网关日志,那东西。能在几个月后查到的几率是
0
,按国内公安办案速度,一般等个一年两年,才有可能去韩国。那个时候,估计人家服务器换没换。我就不知道了,这个时候能幸运的查到台湾
E
号,几率确实比微软老总送你
500
亿美刀的几率高。,而在几年后,能在
E
上找到你的源
IP
。确实可以当联合国总统了吧?哦对了,好象没这职。
按道理说,找到你的时候,你的电脑在长时间的使用中也已经更新换代了
~
这个年代,两年换代,不希奇吧?劳资
2005
年
1
月配的新机花了
8200
,现在
2006
年买不到
6000
配的牛
B
多鸟!能把你入罪,并且还在法律追究期内的情况,确实能媲美哈雷彗星撞地球了。别的不说,只要把YP多读写几次、格几次。这几年后,不格不读写,YP也都被重复写过多次了吧?而当年入侵的时候是操作在台湾机器上的,除非有一个可能。
ISP
在这几年里一直在路由器上拦截你的一切网络访问数据,并且解密开。并且就算解密开,得到的只是你连接对方服务器的数据。这种级别的享受,我想只有特级间谍才享受吧。
ISP
可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据,要知道,如果一个省的
ISP
监视一个省的上网数据,一天的数据就够装几万
G
了。。。不知道得用什么东西装,这是不可能的事情。更别提解密了。就算找到你,也没证据证明是谁入侵格式了
163.COM
的YP!
作者:
路见不平
时间:
2010-8-25 22:15
归根结底,只要你能够利用国外网络躲避开国内路由,根本没有可能查到你,上面的假设中的
A
、
B
、
C
、
D
、
E
我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下,我一般检测站点服务器的隐藏自己的具体方式
`
首先准备肉鸡
3-5
台
`2
台国外肉鸡
`
两台国内,国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到
1
台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高
`
国外地区的肉鸡
`
网络延迟要求你本机连接上的
PING
值不高于
130
。国内肉鸡不高于
70
的延迟。这样才能很好的使用肉鸡。方式是使用
WINDOWS
自带的
3389
远程连接,在肉鸡里再连接肉鸡,这样反复套袜子式的连接。
我一般是使用
5
台
`3
台国内肉鸡,
2
台国外肉鸡。我采用的连接方式是,完全暴露的国内
A
号
`B
号国内,
C
号国外
`D
号国内。
E
号国内,
F
号本机。我连接
E
号,然后连接
D
、
C
、
B
、
A
。注意
`E
号建议是采用开代理的方式连接。比如把
E
号开启
SOCKS5
代理服务方式,然后你在本机连接
IP127.0.1
,就可以成功连接
E
号。这样我在
E
号留的
WINDOWS
日志记录
IP`
全部就变成了
127.0.1
。这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候,也只能看到我连接了
127.0.1
。而路由只能证明我访问了、和对方服务器建立了连接。
以上隐藏方式,为亲身使用过。并非胡乱猜想。如果你这样都能被逮,只能说你是神人也!天神下凡。。。。
注意:这篇文章仅做纯技术研讨学习。请不要尝试越过法律!请各位尝试入侵的网友记住!当你在没有任何防护的情况下进行
hacking
,你时时刻刻都面临着危险。你是否落入那张
“
网
”
,就看别人是否要你进
“
网
”
。犹如案板上的
→“
鱼
作者:
czxt2008
时间:
2010-8-25 22:28
.....太深了。。
作者:
hackroad
时间:
2010-8-25 22:33
现在的网监只负责 反ZF..色情违法的东西..其他的不管
作者:
hackroad
时间:
2010-8-25 22:38
知己知彼百战百胜
作者:
排骨汤
时间:
2010-8-25 22:45
太深奥了
作者:
晴天
时间:
2010-8-26 06:52
不发表敏感问题、不发黄色音像。
不去 研究楼主文章。
作者:
Jackal
时间:
2010-8-26 08:15
太长了 看了一段 往下拉还有 算了 不是黑客
作者:
sbliuyiyi
时间:
2010-8-26 08:55
深奥几。。。。
作者:
车行天下
时间:
2010-8-26 09:20
只看了1楼,下面的看不下去。
作者:
alafate1129
时间:
2010-8-26 09:23
直接拉到底太长了~
作者:
bobbyxi
时间:
2010-8-26 09:28
LZ的都是长篇大论呀~~
作者:
brett80
时间:
2010-8-26 10:20
技术帖,,,,
作者:
陸小哇
时间:
2010-10-15 12:14
特长了
欢迎光临 〖嘉城社区网〗 (http://162.218.51.55/)
Powered by Discuz! 7.0.0
