必读-防范发帖人的IP详细地址入侵.doc

组装电脑 西德尼 必读-防范发帖人的IP详细地址入侵 请不要看到这么多字调头就跑！学东西就不要怕多字，对你有帮助的文章，再多都要看，书那么厚都能看完，别说这一点了. 看了这文章你会毛骨飒然语有云：天网恢恢、疏而不漏！这句话是真的么？现实社会中我不知道。但是在互联网上，这句话在Internet上是很软弱的。读完我这篇文，就可以知道。在网络上触犯现行法律，即便于安公部门立案调查，未必就“落入法网” 注：本文仅做技术研讨，并非讨论如何在犯罪后逃脱法律的惩罚。首先来认识一下：“监”网也就是安公部门分管网络的部门。他们负责网络监管，如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、*反现zf的内容。都属于网监处理。 我们来假设一个案例：163.com主站被入侵，服务器硬盘全部多次格式化，并且重复读写垃圾数据，导致硬盘数据无法进行恢复，损失惨重。于是在召集专家紧急修复服务器数据的同时，163.COM公司迅速向广州网监报案。广州网监介入调查，追踪此次入侵者！如果你是入侵者，你面对这样的情况。你会怎么办？其实很多同行在侵入别人网站、服务器、内部网络的同时，都不太懂得如何保护自己。如果你们不注意隐藏自己，用不了一天，网监部门就可以锁定你家祖宗十八代-_-!，-9562424-转载请注明出处！、作者oQo：六年专业查询天涯百度论坛博客等发帖人IP如果隐藏的好，等这个案子过了法律追究期限，也是个无头案。而这，在Internet上来说，是易如反掌 首先，我们来了解下网监部门如何追踪入侵者，锁定他在何处作案。大家一般都知道，当你黑掉一个网站的时候，你在WEB的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站，被记录下IP地址一点也不奇怪。就算一般浏览网站，也会被记录下IP，当你在浏览网站执行一个操作的时候，IIS服务器就会进行一次记录，比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录，这是绝对会留下的。 当你侵入一台服务器呢？在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。 安公部门在锁定做案者的时候，首先就是要找到做案者，如何找到？最重要的就是追踪IP了。 我们来了解下一些ADSL宽带接入常识。 众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP是特性一般是带宽在 4M以上。而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如：2008年8月8日8时8分8秒，btm4545455（宽带帐号）,拨入IP：，操作系统： Windowsxp，拨号电话：07284544562。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在！而且更详细，我这里只是简单列举了他记录的一些主要数据！ 另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP！ 现在大家知道了ISP服务商通过什么方式记录你的行踪了吧？我们再谈谈安公部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓？而要获取到作案者地理位置和真实身份的唯一手段，就是“IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道，其实你使用的IP，只能说是互联网的“身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到XX服务器。同样，这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机，才能继续追查他的使用者。 好的，我们现在回到前面，我们前面说了，假设163.COM公司报案后，安公部门通过分析，在WEB服务器系统上以及网关上面（无法擦去）均找到了连接并入侵系统的IP地址：，这个时候安公部门调查发现，这个IP是来自日本的。这就是说入侵者是日本人？这其实只是一个假象。 当查找一个入侵者的时候，很重要的一个环节就是查路由日志，大家都知道，当你的IP访问一台服务器的时候，就会经过非常多的路由器，也就是说不只一台路由记录了你曾经到访过的IP，这也是可以追查到的。同样，即使你使用国外肉鸡来连接入侵163.COM，安公叔叔同样会追查到你。那他们是如何做到的？ 注意，防护程度根据个人能力而定，一般我这种级别的入侵防护要求被控制的服务器质量很高，首要是速度非常快，PING值如果国外的两台高于：150，那就不用考虑了。一般国外的要求PING在120左右。国内的PING在70以内。否则会造成操作速度非常缓慢，因为本身这样做以后，操作速度就会变慢不少，原因是：（这里的各地服务器我用A、B、C、D、E、F代替，刚才已经写清楚了），首先，我们连接的是E，然后在E号服务器里使用3389终端连接韩国D 号，然后D号再3389连接进入山东服务器C号，然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样，在操作过程中。你的一切操作都会记录在A号上面。被入侵的服务器一切记录都在北京A号上。连A号上的日志都不用擦，就是要留给安公叔叔追踪！ 我前面已经说过了，安公叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾E号的时候，就会记录我路由到了E，然后呢？你在3389上的操作，仅仅只会留在对方的服务器上，而你只是看到传输回来的图象。并且是经过高强度加密，我试过根本无法被识别，依照现在的技术，是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说，是无法破解的。看完你就知道为什么了！ 当我连接到E号台湾的时候，我的一切操作就是E完整的，我仅仅是得到传输回来的图形界面（也就是截图差不多的），所以一切操作就是E完成的。这个时候E路由到了D号韩国，所以E号的路由就不是我们的了，就是由台湾ISP服务商路由了大家明白原理了吧？安公叔叔只有权利查国内电信部门的路由日志，他们可以查到一个IP路由到了国外，但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁为什么呢？ 因为当E号台湾操作D号韩国的时候，他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候，才有可能被查到。为什么呢？因为前面的A、B、C都在国内，只要在国内，都有可能被追踪到！例如： 继续回到案例假设中：这个时候安公叔叔查到IP：假设他是北京A号，好的，连夜中安公叔叔赶到北京电信通过电信的配合查知是某 IDC托管商处的服务器，开启了这台傀儡服务器，通过分析记录日志，得到我们的B号傀儡服务器，好的，连夜赶往湖南电信在湖南电信的配合下查到又是一台IDC托管服务器，素闻湖南人热情好客果然不错。在IDC的盛情款待和大力配合下和安公叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东C号服务器。这个时候，劳累的安公叔叔在休息了一晚后，继续赶往山东，在当地电信的配合下。查到这个IP又是属于某IDC机房的。于是在分析完日志后。 我们的安公叔叔知道曾经在吻合的时间和背景下连接到这台C号的IP是：而这个IP来自韩国，怎么办？ 其实安公这样要求国内ISP服务商配合调查，开启路由提供日志的几率是很低的。如果要跨国办案，只有一个可能。就是前往韩国好的，既然是假设，我们就要假设完。在拿到去韩国的机票后，安公叔叔来到了韩国，在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器IP 地址所在机房。在万分之一的几率下，又通过韩ISP的配合，居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾、八耻八荣的号召下，安公叔叔奋力拼搏，拿到了去台湾的机票，终于终于获得了台湾警方的配合。在异国，同胞们还是这么热情，终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。 终于，在万万分之一的几率下取得源入侵IP来自中国湖北某地，于是安公叔叔杀红了眼前往湖北，终于在当地ISP的配合下。通过系统记录的拨号记录，终于查找到这位仁兄可是安公叔叔们发现。已经过了：刑事追究期限。不过这已经是有了中 500亿美金的运气了。说实话，比尔大盖子把他500亿财产送给你的几率，都比查到源IP的几率高！ 刚才是我的假设，剧情是顺利的。可是现实中，是绝对不可能的，首先：路由日志，不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。而且不一定有几率，最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监，不强势的部门都不怎么鸟。所以说，就算要找到我们的C号山东服务器都是很困难的。安公叔叔一般情况下，能查到B号的，你就该送人家：优秀人民安公锦旗了。 再说说国外的D号和E号，当查到C的时候，也不知道是什么年代了。去查一台多次格式化，并且读写的服务器的入侵日志，无疑是。怎么说都不可能，除非有路由和网关日志，那东西。能在几个月后查到的几率是0，按国内安公办案速度，一般等个一年两年，才有可能去韩国。那个时候，估计人家服务器换没换。我就不知道了，这个时候能幸运的查到台湾E号，几率确实比微软老总送你 500亿美刀的几率高。，而在几年后，能在E上找到你的源IP。确实可以当联合国总统了吧？哦对了，好象没这职。 按道理说，找到你的时候，你的电脑在长时间的使用中也已经更新换代了这个年代，两年换代，不希奇吧？劳资2005年1月配的新机花了8200，现在 2006年买不到6000配的牛 B多鸟！能把你入罪，并且还在法律追究期内的情况，确实能媲美哈雷彗星撞地球了。别的不说，只要把硬盘多读写几次、格几次。这几年后，不格不读写，硬盘也都被重复写过多次了吧？而当年入侵的时候是操作在台湾机器上的，除非有一个可能。 ISP在这几年里一直在路由器上拦截你的一切网络访问数据，并且解密开。并且就算解密开，得到的只是你连接对方服务器的数据。这种级别的享受，我想只有特级间谍才享受吧。ISP可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据，要知道，如果一个省的ISP监视一个省的上网数据，一天的数据就够装几万G了。不知道得用什么东西装，这是不可能的事情。更别提解密了。就算找到你，也没证据证明是谁入侵格式了163.COM的硬盘！归根结底，只要你能够利用国外网络躲避开国内路由，根本没有可能查到你，上面的假设中的A、B、C、D、E我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下，我一般检测站点服务器的隐藏自己的具体方式 首先准备肉鸡3-5台2台国外肉鸡两台国内，国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到1台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高国外地区的肉鸡网络延迟要求你本机连接上的PING值不高于130。国内肉鸡不高于70的延迟。这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接，在肉鸡里再连接肉鸡，这样反复套袜子式的连接。 我一般是使用5台3台国内肉鸡，2台国外肉鸡。我采用的连接方式是，完全暴露的国内A号B号国内，C号国外