我们来假设一个案例,在一个月黑风高的晚上,小明在某论坛大肆批评政府,第二天小明刚一睡醒就听见咚咚咚,开门查水表,于是乎小明神秘消失了。
好了,再以网监的角度来看看:
一天,网监局的小红看到了一个网民在网上发了个大肆批判ZF的帖子,心想,这哥们胆子挺大啊?于是联系了那个网络公司,要求调取发帖人IP地址,IP调取结果为122.224.54.112,IPWHOIS登记的所有人为中国电信,好了,网监局小红联系了中国电信,要求查在2014-01-21 03:30分使用122.224.54.112的人,之后中国电信乖乖的配合网监局,交出了小明的家庭地址,浙江省绍兴市XXXXXX ,然后水表就没了。
再切换会小明的角度:小明心想,老子明明用的是ADSL,动态IP,发完贴就断开了,怎么还tm被查到了,WTF?
老衲的解释:在各级ISP的日志服务器上都有留存日志,日志留存时间大概是6个月左右,在AAA服务器上留有你登录认证的用户名,时间,分配的IP地址。依靠这个就能找到谁在哪个时间段使用过哪个IP地址。
被拘留15天后的小明终于出来了,他心想,老子就要跟你们这群网监局的人干到底,小明就在网上找到了个代理VPN,继续上网发帖,继续在另一个网站上批评政府,这是个小网站啊,日志留存期内肯定查不到了,而且还挂了个VPN,第二天,小明又被查水表了。
以网监局的小红的角度再看看:诶呀?根据"与情控制系统"的报告,有人在某个小型网站发了个反ZF的文章,小红又火速要求网站提供发帖人IP地址,结果小红一看 175.45.176.11 这是尼玛是我大朝鲜IP啊,难不成是金三胖子发的帖子么?小红想了想,金三胖子不会说中文啊,于是,小红上报了此次事件,上级表示一定要查到,然后小红就去各大出口运营商调取路由日志了,于是小明发现,在2014年2月8日,122.224.250.38链接到了175.45.176.11的某个端口,于是乎小红查了查122.224.250.38在那个时间段是属于谁的?一查,又是小明干的。
小红第二天火速赶往小明家,把正在看电视的小明抓捕归案。小明又被小红胖揍一顿。
小明心想:老子明明挂了VPN了啊,又在小型网站上发帖,怎么又尼玛被抓了。
老衲的解释:各级公安系统均配备了与情控制系统,能采集几乎所有的国内网站的发帖信息,检测到关键字就被单独列出。而且单层VPN很不保险,查路由日志就查到了。
又是蹲了15天拘留。
小明肯定心里很不爽啊,于是苦修黑阔技术。同时中国电信也拒绝继续向小明提供服务,他换成了广电网络(二级ISP,出口IP都一样,几千人共用一个IP)之后又学会了一招,双层VPN/变换出口IP的VPN(就比如链接用175.45.176.11,但是访问网站的时候出口IP就变成了175.45.179.244,这样就没法靠路由日志查了),于是乎小明又继续批评ZF
网监局的小红看到后,这怎么又有人发帖了,查吧。一看,IP是175.45.179.244,这尼玛又是我大朝鲜的IP,是不是小明干的啊?但是没证据啊,于是又查了查路由日志,这回什么都没有,小红心想,这小明技术提高了啊。于是乎小红要求国内各大网络公司提供175.45.179.244这个IP的访问记录,于是某企鹅公司说了,这个IP登录过我们公司的服务,号码是12345668,小红又要求某企鹅公司提供这个号码的历史登录记录,于是乎小红看到了,看IP是二级ISP的,几千人共用一个ip啊,怎么办呢?小红又要求企鹅公司提供登录端口号,然后又同时根据二级ISP内网审计设备查到了登录该qq的内网IP,于是根据内网记录,查到了网络开户人就是小明。
小红火速赶到了小明的家,又把小明抓走了。这是小明的三进宫了,小红也表示很无奈,渐渐的,单身的小红和小明互相就有了好感(>.<尼玛)
小明想:老子都用二级ISP了,也用双重VPN了,怎么又尼玛被抓了,wr!!
老衲的解释:首先二级ISP有更严格的内网审计功能,你要是直接登录QQ,他们的内网审计就能直接看到你登录的QQ帐号但是看不到你的聊天记录,因为加密的。某局实验室的设备可以直接看到你的聊天记录(老衲见识过这个,有QQ的解密密钥,还能解飞信,YY之类的,毕竟中国的企业必须给WJ部门提供方便)。虽然是几千人共用一个IP,但是端口号是唯一的,可以通过端口号查内网路由日志。而且这种VPN甚至IPSecVPN能在某墙的干扰下变成纯明文VPN,因为windows系统中可能有bug,即使开启了必须加密也能链接成功,但是却没加密。这就是为什么有时候你开VPN上网,DNS都设置好了,还是打不开非死不可之类的网站。即使这些情况都没有,你也不能保证VPN服务商跟WJ部门没有合作的。而且电脑上有很多国产软件是和WJ部门有合作的,比如搜狗拼音,腾讯qq啊之类的,这些软件的特征是 开启时间长,可长时间驻留,每日必备。在你开全局VPN的时候,你的qq,搜狗拼音等也会被代理上,比如qq会断线重链,根据每个人的唯一码,很简单找到你。
是15天的拘留,小明很不爽啊,出来后苦苦学习黑阔技术,之后又学会了一招
小明用了个Linux LiveCD,把电脑网卡MAC都改了,然后破解了邻居的一个WiFi,然后用I2P作为前置代理链接上了TOR网络,然后继续发帖。第二天,咚咚咚,小明又被小红带走了。
网监局小红:还是有人发帖批评ZF啊,于是小红查了下发帖IP,是个欧洲的TOR出口,小红心想,这怎么办呢,TOR网络,不可能继续追查下去了。小红看了看发帖的用户名:laozishixiaoming,这个用户名。。。
然后百度谷歌搜索了下这个用户名,发现这个用户名注册过很多网站,于是乎联系这些网站要求提供IP,拿到IP后查AAA服务器记录,一看,是小明。于是小红气呼呼的奔向了小明家…………….
小明心想:又尼玛栽了。
小红说:想见我不要用这种方法吧?
老衲的解释:这是社会工程学的一种手段,小明犯的致命错误就是用了自己的常用用户名发帖。
总结:
首先要做到匿名发帖就要保证自己的电脑没有"后门",这里的"后门"指不经自己授权就随意发送接受自己不想被发送或接收的数据。在这个条件下,腾讯qq,搜狗拼音,暴风影音,迅雷等就是"后门"
其次要应用的安全,比如VPN总不能被干扰成明文了你还在网上狂吧? IP藏匿手段要好,最好用I2P+TOR代理。
最重要的也是要保证社会工程学的防御,据老衲的了解,很多发帖人就栽在这上面了
这个故事的结局是 小明被政府以高薪聘用 成为网监局的一名专家 在职期间抓了无数中二 最后和小红结了婚 从此他们过上了幸福的生活,(这是篇教大家如何泡网警妹子的攻略。)
转自CL
以下为整理更多资料:
仅为学术交流,千万不要拿来做坏事!
大致分为下列几种情况:
--------------------------------------------------------------------------------
1.不用代理
网民发帖流程:
发帖人 → ISP → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 发帖人IP → 发帖人ISP → 档案
爆菊几率:100%
2.只用1层私人VPN
网民发帖流程:
发帖人 → ISP → VPN → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → VPN的IP → 路由日志 → 链接者IP → 链接者ISP → 办网档案
爆菊几率:100%
3.用1层共用VPN
网民发帖流程:
发帖人 → ISP → VPN → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → VPN的IP → 入侵VPN服务器 → 日志 → 链接者IP → 链接者ISP → 办网档案
爆菊几率:80%
4.用2层私人VPN
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → VPN2的IP → 入侵VPN2服务器 → 日志查VPN1 → 路由日志 → 链接者IP → 链接者ISP → 办网档案
爆菊几率:40%
5.用2层共用VPN
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → VPN2的IP → 入侵VPN2服务器 → 日志查VPN1 → 日志 → 链接者IP → 链接者ISP → 办网档案
爆菊几率:25%
6.用N层私人(共用)VPN后删掉VPN,如果发帖人有QQ
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌(百度)一下 → 查到QQ → 找企鹅公司查近期登录IP
爆菊几率:100%
7.用N层私人(共用)VPN后删掉VPN,如果发帖人无QQ
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌(百度)一下 → 查到其他论坛注册的ID → 找管理员查注册(登录)IP
爆菊几率:100%
8.用N层私人(共用)VPN后删掉VPN,如果发帖人再网上没有任何信息
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 无常用用户名 → 根据发帖内容(如北京市海淀区XX小区) → 监控整个小区宽带 → 分析 → 找到IP
爆菊几率:80%(如果不是严重的问题,如判国之类的应该不会用这种蛋疼方法)
9.用N层私人(共用)VPN后删掉VPN,如果发帖人再网上没有任何信息,但电脑上有自动链接网络的软件,如QQ,金山快盘等。。
网民发帖流程:
发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 无常用用户名 → 各大公司查IP → 查到常用用户名 → 查历史登录记录 → 查ip → 爆菊
爆菊几率:100%
10.到KFC之类的地方上公共网。
网民发帖流程:
发帖人 → KFC → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 调监控 → 爆菊
爆菊几率:100%
11.到KFC之类的地方上公共网,假设本次没被监控拍到
网民发帖流程:
发帖人 → KFC → 服务器托管商 → 服务器
网警追踪流程:
网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 查MAC地址 → 到附近其他公共网络查此MAC → (如果DHCP会查计算机名) → 附近监控 → 爆菊
爆菊几率:100%
12.假设网监已知道MAC地址
12.1 假设自己买的电脑
查MAC数据库能找到销售商。。一般买电脑的时候MAC也有记录。。可能是三包凭证之类的都有。。而一般买电脑会让你提供个人信息填写三包,MAC之类的硬件代码也会记录。。之后你懂的,不过有些商家对这个不怎么记录。不过也有可能查购买者银行卡(如果非现金)。所以..爆菊几率<25%
12.2 假设是线下二手交易
同样,查到电脑原主人,问问就知道了。。不过一般交易者都会留下你的手机号之类的,到移动联通电信之类的查查就知道了。。如果非实名卡查查基站,能查到IMEI,如果不是山寨机同样有方法查到买手机的人,所以我感觉这样反而没到小地方买电脑的方法保险。。爆菊几率<75%
13.知道地区了。。
查所有与1723交换记录(openvpn蛋疼)。。查链接时间,你懂的。。
--------------------------------------------------------------------------------
以上仅仅只是从技术角度考虑,其他的危险因素还有作案动机、销赃渠道、人际关系等……
例如最简单的方法,中国黑客就这么多,大家互相都认识(包括黑帽、白帽之间互相举报,更有恶心的出卖朋友换奖金,不要不信,国内还真有人干过),挨个找就行了(我记得在某次大事件中,警方侦查方式就采用的此类)……
关于出卖朋友这种行为,国内的就不说了,免得引起不必要的麻烦,国外的如:LulzSec 领导人出卖了 Anonymous 所有人,匿名者组织集体灭团!
名词解释:
VPN:
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
可以简单的理解为,VPN是一种加密代理技术。
详细资料见:虚拟专用网络
ISP:
ISP(Internet Service Provider),互联网服务提供商,即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。ISP是经国家主管部门批准的正式运营企业,享受国家法律保护。
简单地说,就是电信、网通、移动、联通等提供网络接入的公司……
具体资料见:互联网服务提供商
办网档案:
这个就不用解释了吧,ISP给你提供网络接入的时候,要求你提供的相关资料:地址、身份证号、姓名、电话等……
例如电信公司安装宽带时要求的相关资料,直接可以找到你……
本文最后更新于2019-10-23,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
分享到:
评论