2006-12-23 22:14:36 by: h4x0r
互联网真的是"天网灰灰"吗?
互联网真的是"天网灰灰"吗?
今天在irc看到某人发了一个pst的url,披上opera去看看,幻影旅团的论坛,是黑暗之子转的朽木写的文章,虽然从技术的角度切入,我对他文中说到的一些东西不敢苟同,比如路由器的日志。。。。但从安全意识的角度来看,朽木的建议还是十分中肯的。irc里一个叫hax0r的人推荐了一个叫bcwipe的东西,他说那东西可以按照美国DOD的数据擦写标准清理上网痕迹,废话少说,转载开始。
这篇文章很早就写了,本来是投到黑防的。编辑说稿子很好,回信给我让我修改稿子把路线偏向“防”,可是思来想去,从纯技术的角度来说。目前国内网络结构是无法“防御”的。所以婉言谢绝了黑防编辑修改文章的事情。发出来大家学习吧。
俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上,这句话在Internet上是很软弱的。读完我这篇文,就可以知道。在网络上触犯现行法律,即便于公安部门立案调查,未必就“落入法网” 注:本文仅做技术研讨,并非讨论如何在犯罪后逃脱法律的惩罚。
首先来认识一下:“网监”也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反现政府的内容。都属于网监处理。
我们来假设一个案例:163.com主站被入侵,服务器硬盘全部多次格式化,并且重复读写垃圾数据,导致硬盘数据无法进行恢复,损失惨重。于是在召集专家紧急修复服务器数据的同时,163.COM公司迅速向广州网监报案。广州网监介入调查,追踪此次入侵者!
如果你是入侵者,你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时,都不太懂得如何保护自己。如果你们不注意隐藏自己,用不了一天,网监部门就可以锁定你家祖宗十八代-_-!!!,如果隐藏的好,等这个案子过了法律追究期限,也是个无头案。而这,在Internet上来说,是易如反掌!
首先,我们来了解下`网监部门如何追踪入侵者,锁定他在何处作案。大家一般都知道,当你黑掉一个网站的时候,你在WEB 的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站,被记录下IP地址一点也不奇怪。就算一般浏览网站,也会被记录下IP,当你在浏览网站执行一个操作的时候,IIS服务器就会进行一次记录,比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录,这是绝对会留下的。
当你侵入一台服务器呢?在你进入服务器的时候,首先WINDOWS系统就会对你的连接IP进行记录,其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除,而网关上的记录,你永远也碰不到。
公安部门在锁定做案者的时候,首先就是要找到做案者,如何找到?最重要的就是追踪IP了。
我们来了解下一些ADSL宽带接入常识。
众所周知,现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP,少部分是使用的固定IP。固定IP是特性一般是带宽在 4M以上。而一般人用不了。当你启动计算机,通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP,并且记录如下事件,例如:2008年8月8日8时8分8秒,btm4545455(宽带帐号),拨入IP:58.53.1.5,操作系统: Windowsxp,拨号电话:07284544562。各省的电信记录方式可能不同,但是这些数据绝对会被ISP记录下来,有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统,确实存在!而且更详细,我这里只是简单列举了他记录的一些主要数据!
另外一点,当你成功拨号进入互联网后,你的IP在访问互联网的时候,会经过不少路由器,几乎每个路由器都会记录下你的IP!
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧?
我们再谈谈公安部门如何抓捕做案者。大家都知道,要抓一个人,首先就要知道他是谁、他在那里。如果这都不知道,怎么抓?而要获取到作案者地理位置和真实身份的唯一手段,就是“IP”,IP就是ISP分配给大家用来上网的东东。大家都知道,当你的计算机和一台Internet上的服务器建立连接的时候,双方就会互相传输数据给对方。而这个IP就等于是传输的通道,其实你使用的IP,只能说是互联网的“身份证”,真正访问互联网资源的其实是ISP,你的IP只是负责接受和传输数据到XX服务器。同样,这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机,才能继续追查他的使用者。
好的,我们现在回到前面,我们前面说了,假设163.COM公司报案后,公安部门通过分析,在WEB服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的IP地址:211.1.1.1,这个时候公安部门调查发现,这个IP是来自日本的。这就是说`入侵者是日本人?这其实只是一个假象。
当查找一个入侵者的时候,很重要的一个环节就是查路由日志,大家都知道,当你的IP访问一台服务器的时候,就会经过非常多的路由器,也就是说不只一台路由记录了你曾经到访过的IP,这也是可以追查到的。同样,即使你使用国外肉鸡来连接入侵163.COM,公安叔叔同样会追查到你。那他们是如何做到的?
答案很简单,公安部门是有权利要求电信部门配合,提供路由日志,具体提供到有那些IP曾经路由到211.1.1.1这个IP上面,这样。就可以抓住你了。当你被抓的时候,别想`为什么劳资明明用了代理,还是被抓?其实很简单,因为单单是一层,那是很容易被破解的,尤其是代理!代理协议都是很简单的。被破译一点也不难。
大家都知道,公安网络监管部门有一个国家防火墙“金盾”,大家知道这个防火墙是做什么的?就是用来屏蔽一些被认为网站内容涉嫌反动、色情活动的站点和网络资源。不信,大家试试随便找个普通的国外有效代理访问类似www.wujie.net ,你就会发现你和代理的连接中断,为什么中断?因为金盾检测到你涉嫌访问反动、色情内容` 并且已经被屏蔽的站点。然后ISP的系统,就会强行中断你和那个国外代理的连接。这样,在一定的时间里,你就会以为代理死掉了。更简单的测试方法比如:你在google.com里搜索:“邪恶”,你就会发现自己和GOOGLE的连接已经中断,其实这就是ISP强行掐断了你们的访问。你在大概几分钟类就无法访问GOOGLE。因为你的内容没有进行任何加密措施,就类似代理、就很容易被识别出来。
所以大家不要随便相信代理这种基本没有任何安全性可言的东西。。而怎么样,才能逃避追踪呢?方法很简单。
公安部门追踪入侵者,只能从IP下手,我们逃避掉IP,只要自己拉风。基本就没有危险了。如何逃避?我说下,我一般“检测”站点服务器所用的方法。准备工具 `根据威胁性质`我一般对很危险的网络使用“E级防护”直接侵入服务器的是:北京某高速IDC服务器A、它的后面还有:湖南IDC服务器:B、山东IDC 服务器:C、韩国服务器:D、台湾服务器:E、本人电脑:F。
注意,防护程度根据个人能力而定,一般我这种级别的入侵防护要求被控制的服务器质量很高,首要是速度非常快,PING值如果国外的两台高于:150,那就不用考虑了。一般国外的要求PING在120左右。国内的PING在70以内。否则会造成操作速度非常缓慢,因为本身这样做以后,操作速度就会变慢不少,原因是:(这里的各地服务器我用A、B、C、D、E、F代替,刚才已经写清楚了),首先,我们连接的是E,然后在E号服务器里使用3389终端连接韩国D号,然后D号再3389连接进入山东服务器C号,然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样,在操作过程中。你的一切操作都会记录在A号上面。被入侵的服务器一切记录都在北京A号上。连A 号上的日志都不用擦,就是要留给公安叔叔追踪!
我前面已经说过了,公安叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾E号的时候,就会记录我路由到了E,然后呢?你在3389上的操作,仅仅只会留在对方的服务器上,而你只是看到传输回来的图象。并且是经过高强度加密,我试过根本无法被识别,依照现在的技术,是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说,是无法破解的。看完你就知道为什么了!
当我连接到E号台湾的时候,我的一切操作就是E完整的,我仅仅是得到传输回来的图形界面(也就是截图差不多的),所以一切操作就是E完成的。这个时候E路由到了D号韩国,所以E号的路由就不是我们的了,就是由台湾ISP服务商路由了~大家明白原理了吧?公安叔叔只有权利查国内电信部门的路由日志,他们可以查到一个IP路由到了国外,但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁`为什么呢?
因为当E号台湾操作D号韩国的时候,他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候,才有可能被查到。为什么呢?因为前面的A、B、C都在国内,只要在国内,都有可能被追踪到!例如:
继续回到案例假设中:这个时候公安叔叔查到IP:211.1.1.1`假设他是北京A号,好的,连夜中公安叔叔赶到北京电信`通过电信的配合`查知是某 IDC托管商处的服务器,开启了这台傀儡服务器,通过分析记录日志,得到我们的B号傀儡服务器,好的,连夜赶往湖南电信`在湖南电信的配合下`查到又是一台IDC托管服务器,素闻湖南人热情好客`果然不错。在IDC的盛情款待和大力配合下和公安叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东C号服务器。这个时候,劳累的公安叔叔在休息了一晚后,继续赶往山东,在当地电信的配合下。查到这个IP又是属于某IDC机房的。于是在分析完日志后。
我们的公安叔叔知道`曾经在吻合的时间和背景下连接到这台C号的IP是:203.1.1.1`而这个IP来自韩国,怎么办?
其实公安这样要求国内ISP服务商配合调查,开启路由提供日志的几率是很低的。如果要跨国办案,只有一个可能。就是前往韩国`好的,既然是假设,我们就要假设完。在拿到去韩国的机票后,公安叔叔来到了韩国,在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器IP地址所在机房。在万分之一的几率下,又通过韩ISP的配合,居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾 22.1.1.1、八耻八荣的号召下,公安叔叔奋力拼搏,拿到了去台湾的机票,终于终于获得了台湾警方的配合。在异国,同胞们还是这么热情,终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。。。
终于,在万万分之一的几率下取得源入侵IP23.1.1.1来自中国湖北某地,于是公安叔叔杀红了眼前往湖北,终于在当地ISP的配合下。通过系统记录的拨号记录,终于查找到这位仁兄`可是公安叔叔们发现。已经过了:刑事追究期限。。。。不过这已经是有了中500亿美金的运气了。说实话,比尔大盖子把他500亿的财产送给你的几率,都比查到源IP的几率高!
刚才是我的假设,剧情是顺利的。可是现实中,是绝对不可能的,首先:路由日志,不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。而且不一定有几率,最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监,不强势的部门都不怎么鸟。所以说,就算要找到我们的C号山东服务器都是很困难的。公安叔叔一般情况下,能查到B号的,你就该送人家:优秀人民公安锦旗了。。
再说说国外的D号和E号,当查到C的时候,也不知道是什么年代了。去查一台多次格式化,并且读写的服务器的入侵日志,无疑是。。。怎么说都不可能,除非有路由和网关日志,那东西。能在几个月后查到的几率是0,按国内公安办案速度,一般等个一年两年,才有可能去韩国。那个时候,估计人家服务器换没换。我就不知道了,这个时候能幸运的查到台湾E号,几率确实比微软老总送你500亿美刀的几率高。,而在几年后,能在E上找到你的源IP。确实可以当联合国总统了吧?哦对了,好象没这职。
按道理说,找到你的时候,你的电脑在长时间的使用中也已经更新换代了~这个年代,两年换代,不希奇吧?劳资2005年1月配的新机花了8200,现在2006年买不到6000配的牛B多鸟!能把你入罪,并且还在法律追究期内的情况,确实能媲美哈雷彗星撞地球了。别的不说,只要把硬盘多读写几次、格几次。这几年后,不格不读写,硬盘也都被重复写过多次了吧?而当年入侵的时候是操作在台湾机器上的,除非有一个可能。
ISP在这几年里一直在路由器上拦截你的一切网络访问数据,并且解密开。并且就算解密开,得到的只是你连接对方服务器的数据。这种级别的享受,我想只有特级间谍才享受吧。ISP可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据,要知道,如果一个省的ISP监视一个省的上网数据,一天的数据就够装几万G了。。。不知道得用什么东西装,这是不可能的事情。更别提解密了。就算找到你,也没证据证明是谁入侵格式了163.COM的硬盘!
归根结底,只要你能够利用国外网络躲避开国内路由,根本没有可能查到你,上面的假设中的A、B、C、D、E我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下,我一般检测站点服务器的隐藏自己的具体方式`
首先准备肉鸡3-5台`2台国外肉鸡`两台国内,国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到1台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高`国外地区的肉鸡`网络延迟要求你本机连接上的PING值不高于130。国内肉鸡不高于70的延迟。这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接,在肉鸡里再连接肉鸡,这样反复套袜子式的连接。
我一般是使用5台`3台国内肉鸡,2台国外肉鸡。我采用的连接方式是,完全暴露的国内A号`B号国内,C号国外`D号国内。E号国内,F号本机。我连接E号,然后连接D、C、B、A。注意`E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式,然后你在本机连接IP127.0.1,就可以成功连接E号。这样我在E号留的 WINDOWS日志记录IP`全部就变成了127.0.1。这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候,也只能看到我连接了 127.0.1。而路由只能证明我访问了、和对方服务器建立了连接。
以上隐藏方式,为亲身使用过。并非胡乱猜想。如果你这样都能被逮,只能说你是神人也!天神下凡。。。。
注意:这篇文章仅做纯技术研讨学习。请不要尝试越过法律!请各位尝试入侵的网友记住!当你在没有任何防护的情况下进行hacking,你时时刻刻都面临着危险。你是否落入那张“网”,就看别人是否要你进“网”。犹如案板上的→“鱼
你错了,VPN是会留下本地操作痕迹的、比如你打开一个网页、开一个SHELL。本地机器储存了渗透目标的一些资料。你说的很对`很多时候他们都通过非技术的手段来找你、所以公安叔叔本地取证的话,那就BB了、而通过远程终端的模式。可以将渗透的各种本地操作都最大限度的转移到国外的服务器上进行。如果所有操作都是这样进行的、本地硬盘未留下痕迹。不牵涉到MONEY、一般不可能出问题。正是为了防止公安叔叔用非技术手段来追踪我们、所以更是不能使用VPN这类东西。
公安叔叔是没有权限在见到一个人的时候、就将他抓起来。注意:我所指的抓是“带手铐”但是因为中国法制观念的问题。。很多时候`被传讯者也会被带手铐。其实除非你被刑事拘留、在被刑事拘留前`我们都是合法享有政治权利的公民。连犯罪嫌疑人都不算、公安叔叔是没有任何权利对我们上拷的。
如果公安叔叔通过非技术手段查到`你有可能就是幕后黑手、一般这个时候,他们会搞突然袭击。我被抓的时候就是这样`一开始假装电信来我家检测网络掉线的原因(其实是他们掐了)。然后故意在我电脑上打开开始、看了下桌面、然后就走了`过了不到60秒、7名公安叔叔以迅雷不极掩耳的速度从1楼冲到3楼马上拔掉了电源抗起主机,带着俺就走了。
但是请注意、不要觉得公安叔叔把你主机抱了就走、还给你上手铐,就是很牛B了。其实这是典型的假牛B、俗称“装B”
绝大多数的时候、公安为了能从你的口中审讯到他们想要的口供、为了给你的心理造成震慑、根本就不会告诉你:其实你只要一句话不说、满12小时。公安如果找不到犯罪证据对你申请刑事拘留、你就可以和他们说88了。。超过12小时、就是非法拘禁。你要是家里关系够牛B的话、倒是可以试试告他们。公安是不可以以任何理由用连续拘传的方式限制公民的人身自由。
在这12小时中、公安除了对你进行审讯、还会检查你的硬盘。如果你的硬盘上确实没有任何和你渗透的目标有关联的“痕迹”,你自己能坚持12小时不说话。那就什么事都没、公安要想申请刑事拘留、必须获取到人证、或者物证中的任何一种、所谓人证`既你的审讯口供、物证既硬盘痕迹。如果他没有这两点、报到法制科,除非人家法制科和你有仇、不然绝对不会批准逮捕的。
我当时被刑拘前,深圳市公安局压根就不批准刑拘。当时我在网监队闹、说他们非法拘禁我、因为当时我已经被传唤了24小时、就算深圳公安异地再次传唤、时间也过了。所以要么放我、要么刑事拘留。但他们一直和深圳公安局法制科的人联系了几个小时、因为我没有“犯罪事实”他们不批。
结果一起去我老家的那个TX的人、不知道和我们老家的公安说了什么、居然由天门市公安局批准了刑拘。。。说实话、我很心寒。我好歹也是天门人、这个姑且不说。
我的案子根本就不是天门市公安局办理、他们从法律上讲、是根本无权对我进行刑事拘留。但是没办法、这年头,谁有钱谁牛B!尤其象我们那种内地的落后地区、根本不存在所谓的法制观念。
PS:关于我被抓、其实我觉得2楼的不笑话我、我自己也该嘲笑自己。自己干嘛要给他们打电话呢?关于我敲诈他们`那都是子虚乌有的、如果有,怎么会出现“无犯罪事实`不批刑拘”的事情?更可笑的是`以我当时掌握的权限、足够修改他们运营的所有业务,就算敲诈~最少也得500万吧?
事实是`当时我打电话告诉他们有漏洞、并成功改了1000X的号,然后他们问我,有没什么目的和要求。我说没,电话中、还拍我马屁说我多么多么牛B怎么地怎么地。然后问了我QQ号。。。我记得好象是下午2点多打过来的电话,到4点`他们报的案。晚上8点我被抓。如果我知道他们会报案、我就不会把当时很多资料信息都储存在本地。我就是死在本地操作上的。。。
所以说`远程终端这种模式、才是真正意义上的使用跳板在进行操作、你做的任何事情、都是最前面那层终端做的,而VPN则不行。用一个最简单的原理来说、我们运行一个反弹木马、如果用VPN的话,就算IP是隐藏了、反弹控制端看到的也是VPN的IP,但归根结底中木马的`还是你的电脑、就算格盘、上面显示的是来自美国的IP、但是实际上格的也还是你中国的硬盘。用终端则完全不同。两者是有根本性的差别!
不过`终端这类图形控制、比起VPN有个很大的缺陷。那就是本机和终端的网络传输导致的延迟。所以要连3层国外终端、要求都是很高的。最起码PING值能在120以下。
而公安叔叔可以随便去抓人、法制观念不强,其实和中国目前法律的不完善有很大的关系、象欧美很多国家`比如美国、英国。如果将犯罪嫌疑人刑事拘留后、如果无法认定他是“罪犯”,再释放后、是无权再因为同一起案件、再次对他进行刑拘留、调查。
也就是说、如果在美国、英国这样法制完善、民主自由的国家里,只要你能在法庭上获得陪审团裁定无罪、你就算杀了人、再承认自己杀了人。也不会用害怕坐牢、因为警察这个时候已经无权因为同一起案件,再次对你进行调查。
从人权角度来讲、中国法律和欧美法系也是有很大区别的。在英美、法庭审理是实行无罪推论的。打个比方`警察如果不是合法收集来的证据、是不视其为证据的。法庭和陪审团是从“被告”无罪的角度去推论地。而在中国、这类证据一般都被法官采信。就算不认定其是证据、也会将它作为辅证。因为在国内法庭审理上、都是以被告有罪的角度进行推论的。而犯罪嫌疑人、更是可以和检方达成“控辩交易”、术语也叫简化模式(意思是:犯罪嫌疑人在未经过法庭审判`就向检察院认罪表示愿意接受法律的惩罚、不开庭审理。最后会给你宣判书`你绝对不可能是无罪、因为你认罪了。但是你绝对会被判的较轻。)而在很多欧美国家、即便你承认自己犯罪、也需要证据。那怕你在法庭上大喊,我有罪!我有罪。但如果他们认为证据无效、一样会放掉你。
但是记住很重要的一点`中国`就算宣布你无罪、再发现新的罪证后对你进行再次调查。如果认定新罪证有效、是可以再对你进行宣判的。但再英美是不可以的,即便是杀人!
另外紫侠客:在中国境内,钱绝对大不过“法”、只有权才真正大过“法”袁宝X怎么死的?真是因为花了几十万买凶杀了个在他们看来狗都不如的人?如果袁宝X还不够在中国称之为有钱人的话。。那中国还有几个人能称之为有钱人?
另外声明一下:我只是从技术和法律角度上论证反追踪和取证。纯属无聊、任何人不得公然对抗公安叔叔的调查、一定要大大地协助配合!严禁对抗审讯!坦白从宽、抗拒从严!!(我到网监大队后没过5分钟、就开始交代自己的问题、后来被刑拘1个月后`因犯罪证据不足未被检察院逮捕`起诉、转取保候审、但我绝对牢记南山检察院的那位阿姨说的话`我确实犯罪了、很感激他们给我重新做人的机会、我一定要改过自新。也感谢TX公司没有刁难我)
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=792
今天在irc看到某人发了一个pst的url,披上opera去看看,幻影旅团的论坛,是黑暗之子转的朽木写的文章,虽然从技术的角度切入,我对他文中说到的一些东西不敢苟同,比如路由器的日志。。。。但从安全意识的角度来看,朽木的建议还是十分中肯的。irc里一个叫hax0r的人推荐了一个叫bcwipe的东西,他说那东西可以按照美国DOD的数据擦写标准清理上网痕迹,废话少说,转载开始。
这篇文章很早就写了,本来是投到黑防的。编辑说稿子很好,回信给我让我修改稿子把路线偏向“防”,可是思来想去,从纯技术的角度来说。目前国内网络结构是无法“防御”的。所以婉言谢绝了黑防编辑修改文章的事情。发出来大家学习吧。
俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上,这句话在Internet上是很软弱的。读完我这篇文,就可以知道。在网络上触犯现行法律,即便于公安部门立案调查,未必就“落入法网” 注:本文仅做技术研讨,并非讨论如何在犯罪后逃脱法律的惩罚。
首先来认识一下:“网监”也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反现政府的内容。都属于网监处理。
我们来假设一个案例:163.com主站被入侵,服务器硬盘全部多次格式化,并且重复读写垃圾数据,导致硬盘数据无法进行恢复,损失惨重。于是在召集专家紧急修复服务器数据的同时,163.COM公司迅速向广州网监报案。广州网监介入调查,追踪此次入侵者!
如果你是入侵者,你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时,都不太懂得如何保护自己。如果你们不注意隐藏自己,用不了一天,网监部门就可以锁定你家祖宗十八代-_-!!!,如果隐藏的好,等这个案子过了法律追究期限,也是个无头案。而这,在Internet上来说,是易如反掌!
首先,我们来了解下`网监部门如何追踪入侵者,锁定他在何处作案。大家一般都知道,当你黑掉一个网站的时候,你在WEB 的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站,被记录下IP地址一点也不奇怪。就算一般浏览网站,也会被记录下IP,当你在浏览网站执行一个操作的时候,IIS服务器就会进行一次记录,比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录,这是绝对会留下的。
当你侵入一台服务器呢?在你进入服务器的时候,首先WINDOWS系统就会对你的连接IP进行记录,其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除,而网关上的记录,你永远也碰不到。
公安部门在锁定做案者的时候,首先就是要找到做案者,如何找到?最重要的就是追踪IP了。
我们来了解下一些ADSL宽带接入常识。
众所周知,现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP,少部分是使用的固定IP。固定IP是特性一般是带宽在 4M以上。而一般人用不了。当你启动计算机,通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP,并且记录如下事件,例如:2008年8月8日8时8分8秒,btm4545455(宽带帐号),拨入IP:58.53.1.5,操作系统: Windowsxp,拨号电话:07284544562。各省的电信记录方式可能不同,但是这些数据绝对会被ISP记录下来,有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统,确实存在!而且更详细,我这里只是简单列举了他记录的一些主要数据!
另外一点,当你成功拨号进入互联网后,你的IP在访问互联网的时候,会经过不少路由器,几乎每个路由器都会记录下你的IP!
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧?
我们再谈谈公安部门如何抓捕做案者。大家都知道,要抓一个人,首先就要知道他是谁、他在那里。如果这都不知道,怎么抓?而要获取到作案者地理位置和真实身份的唯一手段,就是“IP”,IP就是ISP分配给大家用来上网的东东。大家都知道,当你的计算机和一台Internet上的服务器建立连接的时候,双方就会互相传输数据给对方。而这个IP就等于是传输的通道,其实你使用的IP,只能说是互联网的“身份证”,真正访问互联网资源的其实是ISP,你的IP只是负责接受和传输数据到XX服务器。同样,这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机,才能继续追查他的使用者。
好的,我们现在回到前面,我们前面说了,假设163.COM公司报案后,公安部门通过分析,在WEB服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的IP地址:211.1.1.1,这个时候公安部门调查发现,这个IP是来自日本的。这就是说`入侵者是日本人?这其实只是一个假象。
当查找一个入侵者的时候,很重要的一个环节就是查路由日志,大家都知道,当你的IP访问一台服务器的时候,就会经过非常多的路由器,也就是说不只一台路由记录了你曾经到访过的IP,这也是可以追查到的。同样,即使你使用国外肉鸡来连接入侵163.COM,公安叔叔同样会追查到你。那他们是如何做到的?
答案很简单,公安部门是有权利要求电信部门配合,提供路由日志,具体提供到有那些IP曾经路由到211.1.1.1这个IP上面,这样。就可以抓住你了。当你被抓的时候,别想`为什么劳资明明用了代理,还是被抓?其实很简单,因为单单是一层,那是很容易被破解的,尤其是代理!代理协议都是很简单的。被破译一点也不难。
大家都知道,公安网络监管部门有一个国家防火墙“金盾”,大家知道这个防火墙是做什么的?就是用来屏蔽一些被认为网站内容涉嫌反动、色情活动的站点和网络资源。不信,大家试试随便找个普通的国外有效代理访问类似www.wujie.net ,你就会发现你和代理的连接中断,为什么中断?因为金盾检测到你涉嫌访问反动、色情内容` 并且已经被屏蔽的站点。然后ISP的系统,就会强行中断你和那个国外代理的连接。这样,在一定的时间里,你就会以为代理死掉了。更简单的测试方法比如:你在google.com里搜索:“邪恶”,你就会发现自己和GOOGLE的连接已经中断,其实这就是ISP强行掐断了你们的访问。你在大概几分钟类就无法访问GOOGLE。因为你的内容没有进行任何加密措施,就类似代理、就很容易被识别出来。
所以大家不要随便相信代理这种基本没有任何安全性可言的东西。。而怎么样,才能逃避追踪呢?方法很简单。
公安部门追踪入侵者,只能从IP下手,我们逃避掉IP,只要自己拉风。基本就没有危险了。如何逃避?我说下,我一般“检测”站点服务器所用的方法。准备工具 `根据威胁性质`我一般对很危险的网络使用“E级防护”直接侵入服务器的是:北京某高速IDC服务器A、它的后面还有:湖南IDC服务器:B、山东IDC 服务器:C、韩国服务器:D、台湾服务器:E、本人电脑:F。
注意,防护程度根据个人能力而定,一般我这种级别的入侵防护要求被控制的服务器质量很高,首要是速度非常快,PING值如果国外的两台高于:150,那就不用考虑了。一般国外的要求PING在120左右。国内的PING在70以内。否则会造成操作速度非常缓慢,因为本身这样做以后,操作速度就会变慢不少,原因是:(这里的各地服务器我用A、B、C、D、E、F代替,刚才已经写清楚了),首先,我们连接的是E,然后在E号服务器里使用3389终端连接韩国D号,然后D号再3389连接进入山东服务器C号,然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样,在操作过程中。你的一切操作都会记录在A号上面。被入侵的服务器一切记录都在北京A号上。连A 号上的日志都不用擦,就是要留给公安叔叔追踪!
我前面已经说过了,公安叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾E号的时候,就会记录我路由到了E,然后呢?你在3389上的操作,仅仅只会留在对方的服务器上,而你只是看到传输回来的图象。并且是经过高强度加密,我试过根本无法被识别,依照现在的技术,是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说,是无法破解的。看完你就知道为什么了!
当我连接到E号台湾的时候,我的一切操作就是E完整的,我仅仅是得到传输回来的图形界面(也就是截图差不多的),所以一切操作就是E完成的。这个时候E路由到了D号韩国,所以E号的路由就不是我们的了,就是由台湾ISP服务商路由了~大家明白原理了吧?公安叔叔只有权利查国内电信部门的路由日志,他们可以查到一个IP路由到了国外,但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁`为什么呢?
因为当E号台湾操作D号韩国的时候,他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候,才有可能被查到。为什么呢?因为前面的A、B、C都在国内,只要在国内,都有可能被追踪到!例如:
继续回到案例假设中:这个时候公安叔叔查到IP:211.1.1.1`假设他是北京A号,好的,连夜中公安叔叔赶到北京电信`通过电信的配合`查知是某 IDC托管商处的服务器,开启了这台傀儡服务器,通过分析记录日志,得到我们的B号傀儡服务器,好的,连夜赶往湖南电信`在湖南电信的配合下`查到又是一台IDC托管服务器,素闻湖南人热情好客`果然不错。在IDC的盛情款待和大力配合下和公安叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东C号服务器。这个时候,劳累的公安叔叔在休息了一晚后,继续赶往山东,在当地电信的配合下。查到这个IP又是属于某IDC机房的。于是在分析完日志后。
我们的公安叔叔知道`曾经在吻合的时间和背景下连接到这台C号的IP是:203.1.1.1`而这个IP来自韩国,怎么办?
其实公安这样要求国内ISP服务商配合调查,开启路由提供日志的几率是很低的。如果要跨国办案,只有一个可能。就是前往韩国`好的,既然是假设,我们就要假设完。在拿到去韩国的机票后,公安叔叔来到了韩国,在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器IP地址所在机房。在万分之一的几率下,又通过韩ISP的配合,居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾 22.1.1.1、八耻八荣的号召下,公安叔叔奋力拼搏,拿到了去台湾的机票,终于终于获得了台湾警方的配合。在异国,同胞们还是这么热情,终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。。。
终于,在万万分之一的几率下取得源入侵IP23.1.1.1来自中国湖北某地,于是公安叔叔杀红了眼前往湖北,终于在当地ISP的配合下。通过系统记录的拨号记录,终于查找到这位仁兄`可是公安叔叔们发现。已经过了:刑事追究期限。。。。不过这已经是有了中500亿美金的运气了。说实话,比尔大盖子把他500亿的财产送给你的几率,都比查到源IP的几率高!
刚才是我的假设,剧情是顺利的。可是现实中,是绝对不可能的,首先:路由日志,不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。而且不一定有几率,最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监,不强势的部门都不怎么鸟。所以说,就算要找到我们的C号山东服务器都是很困难的。公安叔叔一般情况下,能查到B号的,你就该送人家:优秀人民公安锦旗了。。
再说说国外的D号和E号,当查到C的时候,也不知道是什么年代了。去查一台多次格式化,并且读写的服务器的入侵日志,无疑是。。。怎么说都不可能,除非有路由和网关日志,那东西。能在几个月后查到的几率是0,按国内公安办案速度,一般等个一年两年,才有可能去韩国。那个时候,估计人家服务器换没换。我就不知道了,这个时候能幸运的查到台湾E号,几率确实比微软老总送你500亿美刀的几率高。,而在几年后,能在E上找到你的源IP。确实可以当联合国总统了吧?哦对了,好象没这职。
按道理说,找到你的时候,你的电脑在长时间的使用中也已经更新换代了~这个年代,两年换代,不希奇吧?劳资2005年1月配的新机花了8200,现在2006年买不到6000配的牛B多鸟!能把你入罪,并且还在法律追究期内的情况,确实能媲美哈雷彗星撞地球了。别的不说,只要把硬盘多读写几次、格几次。这几年后,不格不读写,硬盘也都被重复写过多次了吧?而当年入侵的时候是操作在台湾机器上的,除非有一个可能。
ISP在这几年里一直在路由器上拦截你的一切网络访问数据,并且解密开。并且就算解密开,得到的只是你连接对方服务器的数据。这种级别的享受,我想只有特级间谍才享受吧。ISP可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据,要知道,如果一个省的ISP监视一个省的上网数据,一天的数据就够装几万G了。。。不知道得用什么东西装,这是不可能的事情。更别提解密了。就算找到你,也没证据证明是谁入侵格式了163.COM的硬盘!
归根结底,只要你能够利用国外网络躲避开国内路由,根本没有可能查到你,上面的假设中的A、B、C、D、E我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下,我一般检测站点服务器的隐藏自己的具体方式`
首先准备肉鸡3-5台`2台国外肉鸡`两台国内,国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到1台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高`国外地区的肉鸡`网络延迟要求你本机连接上的PING值不高于130。国内肉鸡不高于70的延迟。这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接,在肉鸡里再连接肉鸡,这样反复套袜子式的连接。
我一般是使用5台`3台国内肉鸡,2台国外肉鸡。我采用的连接方式是,完全暴露的国内A号`B号国内,C号国外`D号国内。E号国内,F号本机。我连接E号,然后连接D、C、B、A。注意`E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式,然后你在本机连接IP127.0.1,就可以成功连接E号。这样我在E号留的 WINDOWS日志记录IP`全部就变成了127.0.1。这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候,也只能看到我连接了 127.0.1。而路由只能证明我访问了、和对方服务器建立了连接。
以上隐藏方式,为亲身使用过。并非胡乱猜想。如果你这样都能被逮,只能说你是神人也!天神下凡。。。。
注意:这篇文章仅做纯技术研讨学习。请不要尝试越过法律!请各位尝试入侵的网友记住!当你在没有任何防护的情况下进行hacking,你时时刻刻都面临着危险。你是否落入那张“网”,就看别人是否要你进“网”。犹如案板上的→“鱼
你错了,VPN是会留下本地操作痕迹的、比如你打开一个网页、开一个SHELL。本地机器储存了渗透目标的一些资料。你说的很对`很多时候他们都通过非技术的手段来找你、所以公安叔叔本地取证的话,那就BB了、而通过远程终端的模式。可以将渗透的各种本地操作都最大限度的转移到国外的服务器上进行。如果所有操作都是这样进行的、本地硬盘未留下痕迹。不牵涉到MONEY、一般不可能出问题。正是为了防止公安叔叔用非技术手段来追踪我们、所以更是不能使用VPN这类东西。
公安叔叔是没有权限在见到一个人的时候、就将他抓起来。注意:我所指的抓是“带手铐”但是因为中国法制观念的问题。。很多时候`被传讯者也会被带手铐。其实除非你被刑事拘留、在被刑事拘留前`我们都是合法享有政治权利的公民。连犯罪嫌疑人都不算、公安叔叔是没有任何权利对我们上拷的。
如果公安叔叔通过非技术手段查到`你有可能就是幕后黑手、一般这个时候,他们会搞突然袭击。我被抓的时候就是这样`一开始假装电信来我家检测网络掉线的原因(其实是他们掐了)。然后故意在我电脑上打开开始、看了下桌面、然后就走了`过了不到60秒、7名公安叔叔以迅雷不极掩耳的速度从1楼冲到3楼马上拔掉了电源抗起主机,带着俺就走了。
但是请注意、不要觉得公安叔叔把你主机抱了就走、还给你上手铐,就是很牛B了。其实这是典型的假牛B、俗称“装B”
绝大多数的时候、公安为了能从你的口中审讯到他们想要的口供、为了给你的心理造成震慑、根本就不会告诉你:其实你只要一句话不说、满12小时。公安如果找不到犯罪证据对你申请刑事拘留、你就可以和他们说88了。。超过12小时、就是非法拘禁。你要是家里关系够牛B的话、倒是可以试试告他们。公安是不可以以任何理由用连续拘传的方式限制公民的人身自由。
在这12小时中、公安除了对你进行审讯、还会检查你的硬盘。如果你的硬盘上确实没有任何和你渗透的目标有关联的“痕迹”,你自己能坚持12小时不说话。那就什么事都没、公安要想申请刑事拘留、必须获取到人证、或者物证中的任何一种、所谓人证`既你的审讯口供、物证既硬盘痕迹。如果他没有这两点、报到法制科,除非人家法制科和你有仇、不然绝对不会批准逮捕的。
我当时被刑拘前,深圳市公安局压根就不批准刑拘。当时我在网监队闹、说他们非法拘禁我、因为当时我已经被传唤了24小时、就算深圳公安异地再次传唤、时间也过了。所以要么放我、要么刑事拘留。但他们一直和深圳公安局法制科的人联系了几个小时、因为我没有“犯罪事实”他们不批。
结果一起去我老家的那个TX的人、不知道和我们老家的公安说了什么、居然由天门市公安局批准了刑拘。。。说实话、我很心寒。我好歹也是天门人、这个姑且不说。
我的案子根本就不是天门市公安局办理、他们从法律上讲、是根本无权对我进行刑事拘留。但是没办法、这年头,谁有钱谁牛B!尤其象我们那种内地的落后地区、根本不存在所谓的法制观念。
PS:关于我被抓、其实我觉得2楼的不笑话我、我自己也该嘲笑自己。自己干嘛要给他们打电话呢?关于我敲诈他们`那都是子虚乌有的、如果有,怎么会出现“无犯罪事实`不批刑拘”的事情?更可笑的是`以我当时掌握的权限、足够修改他们运营的所有业务,就算敲诈~最少也得500万吧?
事实是`当时我打电话告诉他们有漏洞、并成功改了1000X的号,然后他们问我,有没什么目的和要求。我说没,电话中、还拍我马屁说我多么多么牛B怎么地怎么地。然后问了我QQ号。。。我记得好象是下午2点多打过来的电话,到4点`他们报的案。晚上8点我被抓。如果我知道他们会报案、我就不会把当时很多资料信息都储存在本地。我就是死在本地操作上的。。。
所以说`远程终端这种模式、才是真正意义上的使用跳板在进行操作、你做的任何事情、都是最前面那层终端做的,而VPN则不行。用一个最简单的原理来说、我们运行一个反弹木马、如果用VPN的话,就算IP是隐藏了、反弹控制端看到的也是VPN的IP,但归根结底中木马的`还是你的电脑、就算格盘、上面显示的是来自美国的IP、但是实际上格的也还是你中国的硬盘。用终端则完全不同。两者是有根本性的差别!
不过`终端这类图形控制、比起VPN有个很大的缺陷。那就是本机和终端的网络传输导致的延迟。所以要连3层国外终端、要求都是很高的。最起码PING值能在120以下。
而公安叔叔可以随便去抓人、法制观念不强,其实和中国目前法律的不完善有很大的关系、象欧美很多国家`比如美国、英国。如果将犯罪嫌疑人刑事拘留后、如果无法认定他是“罪犯”,再释放后、是无权再因为同一起案件、再次对他进行刑拘留、调查。
也就是说、如果在美国、英国这样法制完善、民主自由的国家里,只要你能在法庭上获得陪审团裁定无罪、你就算杀了人、再承认自己杀了人。也不会用害怕坐牢、因为警察这个时候已经无权因为同一起案件,再次对你进行调查。
从人权角度来讲、中国法律和欧美法系也是有很大区别的。在英美、法庭审理是实行无罪推论的。打个比方`警察如果不是合法收集来的证据、是不视其为证据的。法庭和陪审团是从“被告”无罪的角度去推论地。而在中国、这类证据一般都被法官采信。就算不认定其是证据、也会将它作为辅证。因为在国内法庭审理上、都是以被告有罪的角度进行推论的。而犯罪嫌疑人、更是可以和检方达成“控辩交易”、术语也叫简化模式(意思是:犯罪嫌疑人在未经过法庭审判`就向检察院认罪表示愿意接受法律的惩罚、不开庭审理。最后会给你宣判书`你绝对不可能是无罪、因为你认罪了。但是你绝对会被判的较轻。)而在很多欧美国家、即便你承认自己犯罪、也需要证据。那怕你在法庭上大喊,我有罪!我有罪。但如果他们认为证据无效、一样会放掉你。
但是记住很重要的一点`中国`就算宣布你无罪、再发现新的罪证后对你进行再次调查。如果认定新罪证有效、是可以再对你进行宣判的。但再英美是不可以的,即便是杀人!
另外紫侠客:在中国境内,钱绝对大不过“法”、只有权才真正大过“法”袁宝X怎么死的?真是因为花了几十万买凶杀了个在他们看来狗都不如的人?如果袁宝X还不够在中国称之为有钱人的话。。那中国还有几个人能称之为有钱人?
另外声明一下:我只是从技术和法律角度上论证反追踪和取证。纯属无聊、任何人不得公然对抗公安叔叔的调查、一定要大大地协助配合!严禁对抗审讯!坦白从宽、抗拒从严!!(我到网监大队后没过5分钟、就开始交代自己的问题、后来被刑拘1个月后`因犯罪证据不足未被检察院逮捕`起诉、转取保候审、但我绝对牢记南山检察院的那位阿姨说的话`我确实犯罪了、很感激他们给我重新做人的机会、我一定要改过自新。也感谢TX公司没有刁难我)
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=792
There is no comment on this article.
