網(wǎng)警如何找到你？入侵必讀.doc

網(wǎng)警如何找到你？入侵必讀時(shí)間: 2010-03-24閱讀: 27次 整理: 華西安全網(wǎng)請(qǐng)不要看到這么多字調(diào)頭就跑！學(xué)東西就不要怕多字，對(duì)你有幫助的文章，再多都要看，書那么厚都能看完，別說這一點(diǎn)了. 看了這文章你會(huì)毛骨颯然 語有云：天網(wǎng)恢恢、疏而不漏！這句話是真的么？現(xiàn)實(shí)社會(huì)中我不知道。但是在互聯(lián)網(wǎng)上，這句話在Internet上是很軟弱的。讀完我這篇文，就可以知道。在網(wǎng)絡(luò)上觸犯現(xiàn)行法律，即便于公安部門立案調(diào)查，未必就“落入法網(wǎng)” 注：本文僅做技術(shù)研討，并非討論如何在犯罪后逃脫法律的懲罰。 首先來認(rèn)識(shí)一下：“網(wǎng)監(jiān)”也就是公安部門分管網(wǎng)絡(luò)的部門。他們負(fù)責(zé)網(wǎng)絡(luò)監(jiān)管，如網(wǎng)站和服務(wù)器被黑、游戲帳號(hào)裝備被盜、網(wǎng)絡(luò)上的各種糾紛、*反現(xiàn)zhengfu的內(nèi)容。都屬于網(wǎng)監(jiān)處理。 我們來假設(shè)一個(gè)案例：163.com主站被入侵，服務(wù)器硬盤全部多次格式化，并且重復(fù)讀寫垃圾數(shù)據(jù)，導(dǎo)致硬盤數(shù)據(jù)無法進(jìn)行恢復(fù)，損失慘重。于是在召集專家緊急修復(fù)服務(wù)器數(shù)據(jù)的同時(shí)，163.COM公司迅速向廣州網(wǎng)監(jiān)報(bào)案。廣州網(wǎng)監(jiān)介入調(diào)查，追蹤此次入侵者！ 如果你是入侵者，你面對(duì)這樣的情況。你會(huì)怎么辦？其實(shí)很多同行在侵入別人網(wǎng)站、服務(wù)器、內(nèi)部網(wǎng)絡(luò)的同時(shí)，都不太懂得如何保護(hù)自己。如果你們不注意隱藏自己，用不了一天，網(wǎng)監(jiān)部門就可以鎖定你家祖宗十八代-_-!，如果隱藏的好，等這個(gè)案子過了法律追究期限，也是個(gè)無頭案。而這，在Internet上來說，是易如反掌！ 首先，我們來了解下網(wǎng)監(jiān)部門如何追蹤入侵者，鎖定他在何處作案。大家一般都知道，當(dāng)你黑掉一個(gè)網(wǎng)站的時(shí)候，你在WEB的操作。都會(huì)或多或少的被記錄在對(duì)方WEB服務(wù)器日志上。IIS和Apache都是會(huì)記錄一些IIS日志。如果你入侵一家網(wǎng)站，被記錄下IP地址一點(diǎn)也不奇怪。就算一般瀏覽網(wǎng)站，也會(huì)被記錄下IP，當(dāng)你在瀏覽網(wǎng)站執(zhí)行一個(gè)操作的時(shí)候，IIS服務(wù)器就會(huì)進(jìn)行一次記錄，比如說發(fā)生一次連接錯(cuò)誤。這就更不談你侵入他人網(wǎng)站會(huì)不會(huì)留下IP記錄，這是絕對(duì)會(huì)留下的。 當(dāng)你侵入一臺(tái)服務(wù)器呢？在你進(jìn)入服務(wù)器的時(shí)候，首先WINDOWS系統(tǒng)就會(huì)對(duì)你的連接IP進(jìn)行記錄，其次在網(wǎng)關(guān)服務(wù)器上。也會(huì)記錄連接進(jìn)入服務(wù)器的IP。所以即便于你能夠把服務(wù)器上的記錄給刪除，而網(wǎng)關(guān)上的記錄，你永遠(yuǎn)也碰不到。 公安部門在鎖定做案者的時(shí)候，首先就是要找到做案者，如何找到？最重要的就是追蹤IP了。 我們來了解下一些ADSL寬帶接入常識(shí)。 眾所周知，現(xiàn)在大家一般都是使用的ADSL電信或者網(wǎng)通的寬帶接入網(wǎng)絡(luò)。絕大部分是使用的動(dòng)態(tài)IP，少部分是使用的固定IP。固定IP是特性一般是帶寬在 4M以上。而一般人用不了。當(dāng)你啟動(dòng)計(jì)算機(jī)，通過ISP提供給你的寬帶ADSL帳號(hào)撥進(jìn)互聯(lián)網(wǎng)的時(shí)候。ISP服務(wù)商的系統(tǒng)就會(huì)隨機(jī)分配給你一個(gè)動(dòng)態(tài)IP，并且記錄如下事件，例如：2008年8月8日8時(shí)8分8秒，btm4545455（寬帶帳號(hào)）,撥入IP：，操作系統(tǒng)： Windowsxp，撥號(hào)電話：07284544562。各省的電信記錄方式可能不同，但是這些數(shù)據(jù)絕對(duì)會(huì)被ISP記錄下來，有的人可能不相信ISP會(huì)記錄這么詳細(xì)的內(nèi)容。不過我進(jìn)入電信網(wǎng)絡(luò)中查看過這種系統(tǒng)，確實(shí)存在！而且更詳細(xì)，我這里只是簡單列舉了他記錄的一些主要數(shù)據(jù)！ 另外一點(diǎn)，當(dāng)你成功撥號(hào)進(jìn)入互聯(lián)網(wǎng)后，你的IP在訪問互聯(lián)網(wǎng)的時(shí)候，會(huì)經(jīng)過不少路由器，幾乎每個(gè)路由器都會(huì)記錄下你的IP！ 現(xiàn)在大家知道了ISP服務(wù)商通過什么方式記錄你的行蹤了吧？ 我們?cè)僬務(wù)劰膊块T如何抓捕做案者。大家都知道，要抓一個(gè)人，首先就要知道他是誰、他在那里。如果這都不知道，怎么抓？而要獲取到作案者地理位置和真實(shí)身份的唯一手段，就是“IP”，IP就是ISP分配給大家用來上網(wǎng)的東東。大家都知道，當(dāng)你的計(jì)算機(jī)和一臺(tái)Internet上的服務(wù)器建立連接的時(shí)候，雙方就會(huì)互相傳輸數(shù)據(jù)給對(duì)方。而這個(gè)IP就等于是傳輸?shù)耐ǖ?，其?shí)你使用的IP，只能說是互聯(lián)網(wǎng)的“身份證”，真正訪問互聯(lián)網(wǎng)資源的其實(shí)是ISP，你的IP只是負(fù)責(zé)接受和傳輸數(shù)據(jù)到XX服務(wù)器。同樣，這個(gè)IP就是確認(rèn)某臺(tái)計(jì)算機(jī)在某年某月某日某時(shí)某分某秒連接進(jìn)入某個(gè)網(wǎng)絡(luò)的證明。同樣只有找到這臺(tái)作案的計(jì)算機(jī)，才能繼續(xù)追查他的使用者。 好的，我們現(xiàn)在回到前面，我們前面說了，假設(shè)163.COM公司報(bào)案后，公安部門通過分析，在WEB服務(wù)器系統(tǒng)上以及網(wǎng)關(guān)上面（無法擦去）均找到了連接并入侵系統(tǒng)的IP地址：，這個(gè)時(shí)候公安部門調(diào)查發(fā)現(xiàn)，這個(gè)IP是來自日本的。這就是說入侵者是日本人？這其實(shí)只是一個(gè)假象。 當(dāng)查找一個(gè)入侵者的時(shí)候，很重要的一個(gè)環(huán)節(jié)就是查路由日志，大家都知道，當(dāng)你的IP訪問一臺(tái)服務(wù)器的時(shí)候，就會(huì)經(jīng)過非常多的路由器，也就是說不只一臺(tái)路由記錄了你曾經(jīng)到訪過的IP，這也是可以追查到的。同樣，即使你使用國外肉雞來連接入侵163.COM，公安叔叔同樣會(huì)追查到你。那他們是如何做到的？ 答案很簡單，公安部門是有權(quán)利要求電信部門配合，提供路由日志，具體提供到有那些IP曾經(jīng)路由到 這個(gè)IP上面，這樣。就可以抓住你了。當(dāng)你被抓的時(shí)候，別想為什么勞資明明用了代理，還是被抓？其實(shí)很簡單，因?yàn)閱螁问且粚樱鞘呛苋菀妆黄平獾?，尤其是代理！代理協(xié)議都是很簡單的。被破譯一點(diǎn)也不難。 大家都知道，公安網(wǎng)絡(luò)監(jiān)管部門有一個(gè)國家防火墻“金盾”，大家知道這個(gè)防火墻是做什么的？就是用來屏蔽一些被認(rèn)為網(wǎng)站內(nèi)容涉嫌fandong、*活動(dòng)的站點(diǎn)和網(wǎng)絡(luò)資源。不信，大家試試隨便找個(gè)普通的國外有效代理訪問類似，你就會(huì)發(fā)現(xiàn)你和代理的連接中斷，為什么中斷？因?yàn)榻鸲軝z測(cè)到你涉嫌訪問fandong、*內(nèi)容并且已經(jīng)被屏蔽的站點(diǎn)。然后ISP的系統(tǒng)，就會(huì)強(qiáng)行中斷你和那個(gè)國外代理的連接。這樣，在一定的時(shí)間里，你就會(huì)以為代理死掉了。更簡單的測(cè)試方法比如：你在里搜索：“*”，你就會(huì)發(fā)現(xiàn)自己和GOOGLE的連接已經(jīng)中斷，其實(shí)這就是ISP強(qiáng)行掐斷了你們的訪問。你在大概幾分鐘類就無法訪問GOOGLE。因?yàn)槟愕膬?nèi)容沒有進(jìn)行任何加密措施，就類似代理、就很容易被識(shí)別出來。 所以大家不要隨便相信代理這種基本沒有任何安全性可言的東西。而怎么樣，才能逃避追蹤呢？方法很簡單。 公安部門追蹤入侵者，只能從IP下手，我們逃避掉IP，只要自己拉風(fēng)?；揪蜎]有危險(xiǎn)了。如何逃避？我說下，我一般“檢測(cè)”站點(diǎn)服務(wù)器所用的方法。準(zhǔn)備工具 根據(jù)威脅性質(zhì)我一般對(duì)很危險(xiǎn)的網(wǎng)絡(luò)使用“E級(jí)防護(hù)”直接侵入服務(wù)器的是：北京某高速IDC服務(wù)器A、它的后面還有：湖南IDC服務(wù)器：B、山東IDC 服務(wù)器：C、韓國服務(wù)器：D、臺(tái)灣服務(wù)器：E、本人電腦：F。 注意，防護(hù)程度根據(jù)個(gè)人能力而定，一般我這種級(jí)別的入侵防護(hù)要求被控制的服務(wù)器質(zhì)量很高，首要是速度非?？?，PING值如果國外的兩臺(tái)高于：150，那就不用考慮了。一般國外的要求PING在120左右。國內(nèi)的PING在70以內(nèi)。否則會(huì)造成操作速度非常緩慢，因?yàn)楸旧磉@樣做以后，操作速度就會(huì)變慢不少，原因是：（這里的各地服務(wù)器我用A、B、C、D、E、F代替，剛才已經(jīng)寫清楚了），首先，我們連接的是E，然后在E號(hào)服務(wù)器里使用3389終端連接韓國D 號(hào)，然后D號(hào)再3389連接進(jìn)入山東服務(wù)器C號(hào)，然后C號(hào)3389再連接進(jìn)入湖南B號(hào)。湖南B號(hào)繼續(xù)3389連接進(jìn)入“A號(hào)”。這樣，在操作過程中。你的一切操作都會(huì)記錄在A號(hào)上面。被入侵的服務(wù)器一切記錄都在北京A號(hào)上。連A號(hào)上的日志都不用擦，就是要留給公安叔叔追蹤！ 我前面已經(jīng)說過了，公安叔叔的網(wǎng)絡(luò)抓捕終極武器就是查路由了。而當(dāng)我連接到臺(tái)灣E號(hào)的時(shí)候，就會(huì)記錄我路由到了E，然后呢？你在3389上的操作，僅僅只會(huì)留在對(duì)方的服務(wù)器上，而你只是看到傳輸回來的圖象。并且是經(jīng)過高強(qiáng)度加密，我試過根本無法被識(shí)別，依照現(xiàn)在的技術(shù)，是根本無法還原你到底進(jìn)行了什么操作。并且這是絕對(duì)不可能的事情。因?yàn)榻K端連接的協(xié)議是非常嚴(yán)謹(jǐn)?shù)?。就現(xiàn)在來說，是無法破解的?？赐昴憔椭罏槭裁戳?！ 當(dāng)我連接到E號(hào)臺(tái)灣的時(shí)候，我的一切操作就是E完整的，我僅僅是得到傳輸回來的圖形界面（也就是截圖差不多的），所以一切操作就是E完成的。這個(gè)時(shí)候E路由到了D號(hào)韓國，所以E號(hào)的路由就不是我們的了，就是由臺(tái)灣ISP服務(wù)商路由了大家明白原理了吧？公安叔叔只有權(quán)利查國內(nèi)電信部門的路由日志，他們可以查到一個(gè)IP路由到了國外，但是絕對(duì)不可能查到一個(gè)真正的國外計(jì)算機(jī)傀儡到底他背后是誰為什么呢？ 因?yàn)楫?dāng)E號(hào)臺(tái)灣操作D號(hào)韓國的時(shí)候，他的一切操作就是由臺(tái)灣ISP記錄了。這個(gè)時(shí)候韓國D號(hào)連接國內(nèi)C號(hào)的時(shí)候，才有可能被查到。為什么呢？因?yàn)榍懊娴腁、B、C都在國內(nèi)，只要在國內(nèi)，都有可能被追蹤到！例如： 繼續(xù)回到案例假設(shè)中：這個(gè)時(shí)候公安叔叔查到IP：假設(shè)他是北京A號(hào)，好的，連夜中公安叔叔趕到北京電信通過電信的配合查知是某 IDC托管商處的服務(wù)器，開啟了這臺(tái)傀儡服務(wù)器，通過分析記錄日志，得到我們的B號(hào)傀儡服務(wù)器，好的，連夜趕往湖南電信在湖南電信的配合下查到又是一臺(tái)IDC托管服務(wù)器，素聞湖南人熱情好客果然不錯(cuò)。在IDC的盛情款待和大力配合下和公安叔叔們奮勇拼搏、不為個(gè)人、大力犧牲的情況下。查到了我們的山東C號(hào)服務(wù)器。這個(gè)時(shí)候，勞累的公安叔叔在休息了一晚后，繼續(xù)趕往山東，在當(dāng)?shù)仉娦诺呐浜舷?。查到這個(gè)IP又是屬于某IDC機(jī)房的。于是在分析完日志后。 我們的公安叔叔知道曾經(jīng)在吻合的時(shí)間和背景下連接到這臺(tái)C號(hào)的IP是：而這個(gè)IP來自韓國，怎么辦？ 其實(shí)公安這樣要求國內(nèi)ISP服務(wù)商配合調(diào)查，開啟路由提供日志的幾率是很低的。如果要跨國辦案，只有一個(gè)可能。就是前往韓國好的，既然是假設(shè)，我們就要假設(shè)完。在拿到去韓國的機(jī)票后，公安叔叔來到了韓國，在當(dāng)?shù)鼐降拇罅ε浜虾褪⑶榭畲?。通過萬分之一的機(jī)會(huì)查到了這臺(tái)可能已經(jīng)被我不負(fù)任何責(zé)任格式掉的服務(wù)器IP 地址所在機(jī)房。在萬分之一的幾率下，又通過韓ISP的配合，居然查到還沒被刪除的路由日志。于是查到路由到這臺(tái)韓D號(hào)的IP來自臺(tái)灣、八恥八榮的號(hào)召下，公安叔叔奮力拼搏，拿到了去臺(tái)灣的機(jī)票，終于終于獲得了臺(tái)灣警方的配合。在異國，同胞們還是這么熱情，終于在萬分之一的幾率下查到了這臺(tái)曾經(jīng)被不負(fù)責(zé)的格式掉的服務(wù)器。 終于，在萬萬分之一的幾率下取得源入侵IP來自中國湖北某地，于是公安叔叔殺紅了眼前往湖北，終于在當(dāng)?shù)豂SP的配合下。通過系統(tǒng)記錄的撥號(hào)記錄，終于查找到這位仁兄可是公安叔叔們發(fā)現(xiàn)。已經(jīng)過了：刑事追究期限。不過這已經(jīng)是有了中 500億美金的運(yùn)氣了。說實(shí)話，比爾大蓋子把他500億財(cái)產(chǎn)送給你的幾率，都比查到源IP的幾率高！ 剛才是我的假設(shè)，劇情是順利的?？墒乾F(xiàn)實(shí)中，是絕對(duì)不可能的，首先：路由日志，不是誰想查就能查的。查路由會(huì)導(dǎo)致ISP整體網(wǎng)絡(luò)速度下降非常高。而且不一定有幾率，最關(guān)鍵的是這種路由日志一般都會(huì)定期刪除。所以他的保存期很短。并且電信部門對(duì)一般的小地市的網(wǎng)監(jiān)，不強(qiáng)勢(shì)的部門都不怎么鳥。所以說，就算要找到我們的C號(hào)山東服務(wù)器都是很困難的。公安叔叔一般情況下，能查到B號(hào)的，你就該送人家：優(yōu)秀人民公安錦旗了。 再說說國外的D號(hào)和E號(hào)，當(dāng)查到C的時(shí)候，也不知道是什么年代了。去查一臺(tái)多次格式化，并且讀寫的服務(wù)器的入侵日志，無疑是。怎么說都不可能，除非有路由和網(wǎng)關(guān)日志，那東西。能在幾個(gè)月后查到的幾率是0，按國內(nèi)公安辦案速度，一般等個(gè)一年兩年，才有可能去韓國。那個(gè)時(shí)候，估計(jì)人家服務(wù)器換沒換。我就不知道了，這個(gè)時(shí)候能幸運(yùn)的查到臺(tái)灣E號(hào)，幾率確實(shí)比微軟老總送你 500億美刀的幾率高。，而在幾年后，能在E上找到你的源IP。確實(shí)可以當(dāng)聯(lián)合國總統(tǒng)了吧？哦對(duì)了，好象沒這職。 按道理說，找到你的時(shí)候，你的電腦在長時(shí)間的使用中也已經(jīng)更新?lián)Q代了這個(gè)年代，兩年換代，不希奇吧？勞資2005年1月配的新機(jī)花了8200，現(xiàn)在 2006年買不到6000配的牛 B多鳥！能把你入罪，并且還在法律追究期內(nèi)的情況，確實(shí)能媲美哈雷彗星撞地球了。別的不說，只要把硬盤多讀寫幾次、格幾次。這幾年后，不格不讀寫，硬盤也都被重復(fù)寫過多次了吧？而當(dāng)年入侵的時(shí)候是操作在臺(tái)灣機(jī)器上的，除非有一個(gè)可能。 ISP在這幾年里一直在路由器上攔截你的一切網(wǎng)絡(luò)訪問數(shù)據(jù)，并且解密開。并且就算解密開，得到的只是你連接對(duì)方服務(wù)器的數(shù)據(jù)。這種級(jí)別的享受，我想只有特級(jí)間諜才享受吧。ISP可花不起這個(gè)錢和設(shè)備來監(jiān)視一個(gè)普通人幾年。并且還保存幾年數(shù)據(jù)，要知道，如果一個(gè)省的ISP監(jiān)視一個(gè)省的上網(wǎng)數(shù)據(jù)，一天的數(shù)據(jù)就夠裝幾萬G了。不知道得用什么東西裝，這是不可能的事情。更別提解密了。就算找到你，也沒證據(jù)證明是誰入侵格式了163.COM的硬盤！歸根結(jié)底，只要你能夠利用國外網(wǎng)絡(luò)躲避開國內(nèi)路由，根本沒有可能查到你，上面的假設(shè)中的A、B、C、D、E我都是自己親身使用過的。并非胡亂吹噓。這里我來說下，我一般檢測(cè)站點(diǎn)服務(wù)器的隱藏自己的具體方式 首先準(zhǔn)備肉雞3-5臺(tái)2臺(tái)國外肉雞兩臺(tái)國內(nèi)，國外肉雞最低兩臺(tái)。這樣才能足夠逃避追蹤。國內(nèi)肉雞可以減少到1臺(tái)。根據(jù)你找到的肉雞網(wǎng)速?zèng)Q定。要求肉雞的網(wǎng)絡(luò)延遲非常高國外地區(qū)的肉雞網(wǎng)絡(luò)延遲要求你本機(jī)連接上的PING值不高于130。國內(nèi)肉雞不高于70的延遲。這樣才能很好的使用肉雞。方式是使用 WINDOWS自帶的3389遠(yuǎn)程連接，在肉雞里再連接肉雞，這樣反復(fù)套襪子式的連接。 我一般是使用5臺(tái)3臺(tái)國內(nèi)肉雞，2臺(tái)國外肉雞。我采用的連接方式是，完全暴露的國內(nèi)A號(hào)B號(hào)國內(nèi)，C號(hào)國外D號(hào)國內(nèi)。E號(hào)國內(nèi)，F(xiàn)號(hào)本機(jī)。我連接E 號(hào)，然后連接D、C、B、A。注意E號(hào)建議是采用開代理的方式連接。比如把E號(hào)開啟SOCKS