不管黑客用了多少跳板,最終是不是可以通過網路運營商找出真實IP?
是的,本質上這是一個成本和代價的問題:
1、如果追查者擁有很大的權力,例如國際刑警組織或者是國際CERT組織,可以協調全球各運營商,通過官方渠道一級一級追蹤回去,只要時間足夠,是可以追查到最後一級的真實接入的,凱文米特尼克就是這麼被下村勉抓到的。
2、如果追查者擁有很高的黑客技術,一級一級反向破解回去,入侵跳板機器並且監聽鏈接,也是可以追查到最後一級的真實接入。
3、有些跳板/VPN/代理/肉機等等本身就是陷阱,用了的話等於自我暴露。有些加密通道已經不再安全,例如SSL和tor,過於信任這種技術也會導致輕易暴露。
4、大數據分析和行為模式分析有可能可以定位到具體的人,哪怕並不清楚這麼多層的鏈接究竟是怎麼構建的。首先,得到「真實IP」不代表可以溯源。攻擊者可以在三百米外接入一個咖啡館的無線網路,這時候「真實IP」就是這個咖啡館的IP。攻擊者可以用盜竊或黑市購得的手機卡上網,這時候「真實IP」最多只能幫助溯源到一片相當大的區域。
其次,即使存在一個能隨時查看全世界所有網路運營商設備的超級網管,也仍然可以實現連「真實IP」也找不到。這就不能說太細了。
只要黑客比追查者更高明,就可以做到完全無法追蹤。當然這樣高明的黑客,做的也不是電信詐騙這種小事,更多的是像Snowden泄露NSA機密文件,使公眾了解政府的醜聞。或者像民主黨的郵件泄露那樣,為了打擊某個政治力量。那個時候不一定需要從源ip來查找目標,分析資金流向等一系列其他線索就能抓到目標了。
追查黑客也並不一定需要從IP入手,比如Kickass的站長,多年使用TOR隱藏身份,結果因為蘋果itunes上買音樂被發現之後抓走了。
TOR團隊維護的伺服器不會記錄日誌,但是第三方的伺服器則無法控制,不過TOR的機制是十分鐘左右更新一次鏈路,所以目前人類的計算能力下,無法追查到真實ip還是可以做到的。ISP間的記錄取決於各國法律,比如羅馬尼亞因為歷史上有過齊奧塞斯庫搞過打字機法案,給國家的造成了嚴重傷害,所以國民對隱私保護特別重視,對境內ISP的日誌記錄就不強制,反而要求保護好客戶資料,所以大部分的服務商都是不記錄的。宣稱保護隱私的VPN服務商,會建議用戶使用羅馬尼亞的伺服器,因為在那裡日誌是可以不記錄的。
不過事實上,任何一個國家都未必有興趣去跨國追蹤一個黑客。比如美國那邊只要發現攻擊的ip來自於中國,宣稱是中國政府策劃的就完成了任務。中國政府則宣稱是黑客攻擊最大的受害國,有幾萬ip,幾十萬台設備被境外黑客控制,這事兒就糊弄過去了。1,真實IP不代表能找到人 ,比如wifi2.現在通過慣例查找及大數據分析方式找人比較高效3.公網及公關網路有時不能隱藏內網地址,如webrtc,這個是兩三年前已經大眾化的技術diafygi/webrtc-ips · GitHub4.上網登陸賬戶不以為著安全,你可能不知道服務商介面是否有問題,比方jsonp跨域,服務商介面濫用,如watering-holes-exploiting-jsonp-hijacking-to-track-users-in-china 這是原文Watering holes exploiting JSONP hijacking to track users in China
老版本的網站用iframe框架解決跨域,當然也給釣魚留下了方便的途徑。
5.以上這些是大路貨,運營商部分才是噁心的部分,你們接觸不到而已,彈廣告那是標配。1.運營商之間,會存在互相租用帶寬、ip等資源的情況,而且在三四線城市及以下的地區,比較普遍。這也是為什麼互聯網目前大部分的ip歸屬地查詢會出現錯亂的情況。最專業的 IP 地址庫_IPIP.NET 這個平台不僅僅依靠註冊信息來查詢歸屬地,可以一定程度上降低錯誤的頻率,所以很多大公司已經選擇購買了他們的付費產品,但仍舊不能徹底解決。基於此,特殊部門真的在追查比較複雜的情況時,並不首選依賴ip信息來定位源頭。他們用什麼辦法?這個不能詳細討論。
2.實際情況中,經過多重的VPN、地址轉換以後,會大大增加確定最初責任人的成本。運營商保存的寬頻註冊人信息、ip與埠歷史信息,會幫助確定責任人。但現實情況里,會有其他更快更有效的辦法鎖定人。當然不是....
總而言之,追蹤者一般是通過監視你的網路流量,查路由,代理,各種網路設備日誌,以及被攻擊系統的日誌等。通過這些手段,層層追蹤。當然,這只是網路層面的。另外的還有主機層面的,例如拿到跳板的許可權後,給你架設蜜罐捕獲你的操作記錄,或者是分析主機磁碟數據,看是否有後門程序等,如果有後門程序,並且是反向連接型的,則可以對該程序進行逆向工程,破解出反向連接地址,進一步追蹤。
關於網路層面的,題主可以參考下《黑客大追蹤:網路取證核心原理與實踐》。瀉藥。理論上是,但實際上跳得越多越難找到。原因如下:1,經過網路越多,找相應的ISP協助查找越難,尤其是跨國家跳來跳去後難道你要找聯合國查嗎?萬一跳到索馬利亞呢?2,由於數據是海量的,ISP不可能記錄所有連接的日誌,尤其是非自己客戶直接接入上網的連接基本上不可能記錄。路由途徑的流量,頂多有個路由表能查出大致某個時間段某個連接哪裡來哪裡去。
理論上一定能抓到,但實際上沒辦法抓到。
在這裡我忍不住想八一八那些蘋果助手的黑幕。
原理都差不多,公司申請一個iOS企業開發者賬號,再用這個賬號,將那些付費軟體免費授權給ios設備安裝,這就是所謂的免費,被蘋果發現馬上封號,閃退,再用新的企業號頂上。
大家都知道,近兩年企業號申請越來越難了,資質資料齊全,蘋果就是不批,背後的原因就是這幫助手鬧得,明目張胆的盜用其他公司的信息,從官網上爬,從慧聰爬,用三四層VPN跳來跳去申請企業號,生怕自己被發現,在我們公司做這個事的一般是試用期員工或者實習生,估計他們也是怕被發現,做好了一旦案發就拿臨時工頂包的準備,但是三四個VPN,能抓到把柄的概率微乎其微。
去年底某家助手上市新三板了,以為上市了就算洗白,呵呵。
在這裡,我建議大家千萬別用助手,後台太多,很不穩定,都花幾千買了手機,這種事情可以花點錢,花不了多少。
利益相關:曾在某助手當過PM。絕對乾淨的kali linux+whonix Getaway虛擬機,host用什麼系統隨意,推薦烏班圖,windows什麼的我不信任,WIFI信號放大器+破解周邊任意wifi,接入內網,DNS劫持攔截流量確定普通用戶,寫個py隨時清理路由器連接日誌,做為流量出入口…總體思路就是,宿主機連接wifi&>wifi流量走進whonix虛擬機&>whonix全局代理下接入kali虛擬機&>然後該幹什麼幹什麼,完事兒後不要留名留扣扣號不要留特殊標記,不要留後門,不要留後門,不要留後門(重要的事情說三遍!)
要看你所說的網路運營商指定的範圍。現有的匿名技術一般通過多級代理來實現。這裡面包含幾個角色:1.訪問發起者主機,主機本身由訪問發起者控制。2.多級代理伺服器,伺服器由代理服務提供者控制。3.訪問目的伺服器,伺服器由最終服務提供者控制。4.連接伺服器之間的網路設備,路由器、防火牆等,由諸如中國電信,沃達豐,ATT等各國運營商控制。在網路上所謂匿名,你需要隱藏的要素包含:1.你的身份——你是誰?2.你的目的——你要和誰通信?
3.你通信的內容——你們說了什麼?
按照問題,我們只討論第一點。第一點又包含兩部分,你的社會身份(姓名,住址,身份證),你的網路身份(IP地址)。這裡又只討論網路身份。那麼,假設某位老大哥發現有人在網路上做了些他不想看到的事情,他想把這個人抓出來,他該怎麼做?首先從源頭追查,在目的伺服器上的網路路由器上查到第一個源IP,從而鎖定最後一跳代理伺服器,通過最後一跳伺服器的上的日誌,可以繼續向上一級鎖定,直到定位到源頭。這裡要注意的是,代理伺服器的控制權不在網路運營商的手裡,要追查這些日誌,老大哥們除了網路運營商,還需要對代理服務提供進行控制。上述所說的,是追查的最直接和明確的方法,如果無法查詢代理日誌,是否可以追查?答案是:當然可以!除了了代理伺服器,防火牆也可以監控連接信息,通過防火牆上對代理伺服器的出入流量進行特徵分析,也可以基本確定代理與被代理鏈接的對應關係。這要求網路中有防火牆設備能夠對流量進行深度監控和記錄,一般的路由器是不會做這樣的事情的。這樣每一跳的查找,代價會非常大,需要調動的資源很龐大。還有更加簡單的方法!當你訪問網路的時候,雖然你的內容被加密了,我除非逐跳破解才能解析出來,但另外一些特徵,你是無法隱藏的。比如,你訪問一個服務,發送了幾個數據包,這些包的長度,發送時間,發送間隔,這些是加密無效的,通過了多少級代理都無法隱藏。這樣理論上,只要掌握了出口與入口的流量日誌,通過大數據分析,也一樣能把你挖出來。但相比逐級追蹤,這個證據要弱很多,而且在數據量很大的情況下,匹配會很困難,一般需要結合其他證據使用。任何東西都可以被追蹤!
但是!
但是!但是!!!追蹤的前提是。。。。。發現。
所以,最重要的是不被發現。如何不被發現?最重要的就是基本維持原裝。但是,現在都有例行檢查,只要檢查的人不是菜鳥,肯定會被發現。但是發現了,也不一定會追蹤。因為為什麼要去追蹤呢?
一定是產生了破壞,才會追蹤。一定是產生了破壞,你才會害怕追蹤。
即使你被追蹤了,也不要害怕。因為追蹤需要時間。
追蹤的手段無非只有兩個,一,通過虛擬網路確定你的實際坐標。二,通過人工將你抓獲。
第一個就很需要時間,第二個也很需要時間。
避免追蹤,就是為了避免抓獲。
如何避免抓獲?首先,在確定你的位置之前,就轉移位置(並消除一切個人信息)
這樣,就需要再次追蹤你的位置。。。那麼就這樣一直循環下去(如果你付出一些腦筋,實際上是沒辦法追蹤的。點一下,任何追蹤,只能追蹤到你手上的那台電腦,注意:是你手上的那台電腦,手上!!不是跳板。。。。。。但是,你手上的那台電腦就是你手上的那台電腦嗎?。。。。或許,有些人還是不明白,再說一點,追蹤只能通過網路進行追蹤。。。那麼,如果你不使用網路呢。。。。。。)即使已經追蹤到你姓甚名誰,家住哪裡(那你也菜了)
還不是要派蜀黍來抓你嗎?
你可以這樣做唉。。。。。。。
我就納悶了,小時候上的黑網吧你們是打算怎麼找?
通過運營商不一定能夠,通過每一個節點的日誌可以。有幾個問題需要解決:1、所有的節點日誌都有記錄。2、你又許可權查看這些日誌(跨國協調)。3、你又能力查看這些日誌。4、你有時間查看這些日誌。
看到點贊挺多的那些答案,感覺有些理想化了。
有幾個答案說的不錯,得到真實ip和物理位置是兩個概念。事實上得到真實ip之後也很難得到物理坐標,尤其是反追蹤反偵查做的好一點基本無解。
不管是在追溯真實ip還是追溯物理坐標當中有很多東西是不可逆的。只要利用好這一點想查你的水表還是很難的。
比如物理銷毀整個環節中的某一個硬體設備。
很多設備也是沒有日誌記錄的,除非你一直保持連接狀態。另外,事實上警察出警尤其是異地跨省跨過追蹤的標準相當高。除了造反,出了人命,社會影響很大的事件,他想給你續命等極端情況,正常的小打小鬧,涉案金額不過百萬的警察叔叔懶得鳥你。
我來說說黑客匿名的一些路數吧,當然不僅僅可以用作黑客行為。
先說結論,無論多少跳板只是增加了警察的調查追蹤(朔源)的難度,運營商查真實IP也是同樣的道理。
初級跳板:主機---跳板機 運營商不費吹灰之力可以查到真實IP
中級跳板:主機--跳板1日本東京--跳板2新加坡 運營商不太容易查到,除非有新加坡方或者東京一方配合,或者運營商入侵了跳板機其中之一併拿到記錄。高級跳板:主機--跳板1東京--跳板2韓國--跳板3新加坡 。。。。。。 跳板N 這樣調查情況難度非常大,需要有多國配合(或者運營商入侵多個跳板機並拿到記錄)才能朔源查真實操縱者IP。使用四層以上跳板,調查難度非常之大。關於網路延遲,作為體驗過的人,使用G口帶寬線路,延遲還能接受。如果想匿名的話:你不僅僅需要跳板,要注意自己的操作習慣更正,命名習慣,密碼習慣,瀏覽器指紋,等等。假設一種我認為被抓住的可能性最低的情況:
通過暗網黑市(如絲綢之路)購買假護照,並前往不同國家部署一系列的私人主機,私人主機應配備高速光纖和IDS入侵檢測系統,和威力足以廢掉主機的小型雷管。
黑客通過主機A(配備高速光纖),以點對點加密連接黑客在美國某地區預先部署的主機B(高速光纖+IDS入侵檢測系統),以同樣方式連接黑客在英國某地區布置的另一台預先部署的主機C(同樣高速光纖+IDS入侵檢測系統),之後連接高性能肉雞D(作案後永久拋棄不再使用)或連接TOR網路(tor可能會因為出口節點被控制導致安全性降低,用於不需要過高安全級別時)。
在此過程中(A-B-C-D/TOR)全程點對點加密,並且在B,C兩台主機內部布置小型雷管(威力恰好能夠完全廢掉主機),允許通過網路發送爆炸命令,一旦黑客在IDS中發現追蹤即可引爆雷管(或者先進行低級格式化,然後強制硬碟斷電,讓硬碟徹底報廢后再引爆),中斷追蹤,即便第一次引爆不足夠及時,也可以立刻引爆第二個。
不一定,網路運營商保存日誌是有期限的,因為大量的日誌並沒有什麼價值,而保存要花費成本,因此過了一定時間就會清除備份,黑客攻擊可以潛伏几年才發動,早過了運營商的保存期限了,連原始數據都沒有追查什麼?
看了下回答,很多討論都基於網路加密這種軟體方面,但是不管你加多少次密,你是需要通過某種硬體途徑接入互聯網的,理想情況下是可以追蹤的。相對於軟體方面,我覺得更該注意硬體方面。追蹤IP需要各級運營商配合,如果加了跳板或者影子網路,最主要的困難是多國配合追查。所以與其討論軟體加密方面不如去注意上網渠道。例如匿名上網卡和電話,各基站漫遊,加上多級跳板,經常換mac,或者像美國網路特種部隊那個w一樣,入侵衛星,用衛星和地面通訊,這樣增加了很大的追查難度。地面網線或光纖等接入,就涉及到追查寬頻註冊者的情況,可以變換物理接入點(例如移動位置來更換公共基站),每接入網路換Mac,連接時間很短,再多級跳板國外走一圈,追查難道比較大我覺著
推薦閱讀: