入侵者必读 互联网没有天网恢恢疏而不漏(1)

入侵者必读 互联网没有天网恢恢疏而不漏(1)

这篇文章很早就写了，本来是投到黑防的。编辑说稿子很好，回信给我让我修改稿子把路线偏向“防”，可是思来想去，从纯技术的角度来说。目前国内网络结构是无法“防御”的。所以婉言谢绝了黑防编辑修改文章的事情。发出来大家学习吧。

俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上，这句话在Internet上是很软弱的。读完我这篇文，就可以知道。在网络上触犯现行法律，即便于公安部门立案调查，未必就“落入法网” 注:本文仅做技术研讨，并非讨论如何在犯罪后逃脱法律的惩罚。

首先来认识一下:“网监”也就是公安部门分管网络的部门。他们负责网络监管，如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反政府的内容。都属于网监处理。

我们来假设一个案例:163.com主站被入侵，服务器硬盘全部多次格式化，并且重复读写垃圾数据，导致硬盘数据无法进行恢复，损失惨重。于是在召集专家紧急修复服务器数据的同时，163.COM公司迅速向广州网监报案。广州网监介入调查，追踪此次入侵者!

如果你是入侵者，你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时，都不太懂得如何保护自己。如果你们不注意隐藏自己，用不了一天，网监部门就可以锁定你家祖宗十八代-_-!!!，如果隐藏的好，等这个案子过了法律追究期限，也是个无头案。而这，在Internet上来说，是易如反掌!

首先，我们来了解下`网监部门如何追踪入侵者，锁定他在何处作案。大家一般都知道，当你黑掉一个网站的时候，你在WEB的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站，被记录下IP地址一点也不奇怪。就算一般浏览网站，也会被记录下IP，当你在浏览网站执行一个操作的时候，IIS服务器就会进行一次记录，比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录，这是绝对会留下的。

当你侵入一台服务器呢?在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。

公安部门在锁定做案者的时候，首先就是要找到做案者，如何找到?最重要的就是追踪IP了。

我们来了解下一些ADSL宽带接入常识。

众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP是特性一般是带宽在4M以上。而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如:2008年8月8日8时8分8秒，btm4545455(宽带帐号),拨入IP:58.53.1.5，操作系统: Windowsxp，拨号电话:07284544562。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在!而且更详细，我这里只是简单列举了他记录的一些主要数据!

另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP!

现在大家知道了ISP服务商通过什么方式记录你的行踪了吧?

我们再谈谈公安部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓?而要获取到作案者地理位置和真实身份的唯一手段，就是“IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道，其实你使用的IP，只能说是互联网的“身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到XX服务器。同样，这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机，才能继续追查他的使用者。

好的，我们现在回到前面，我们前面说了，假设163.COM公司报案后，公安部门通过分析，在WEB服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的IP地址:211.1.1.1，这个时候公安部门调查发现，这个IP是来自日本的。这就是说`入侵者是日本人?这其实只是一个假象。

当查找一个入侵者的时候，很重要的一个环节就是查路由日志，大家都知道，当你的IP访问一台服务器的时候，就会经过非常多的路由器，也就是说不只一台路由记录了你曾经到访过的IP，这也是可以追查到的。同样，即使你使用国外肉鸡来连接入侵163.COM，公安叔叔同样会追查到你。那他们是如何做到的?

答案很简单，公安部门是有权利要求电信部门配合，提供路由日志，具体提供到有那些IP曾经路由到211.1.1.1这个IP上面，这样。就可以抓住你了。当你被抓的时候，别想`为什么我明明用了代理，还是被抓?其实很简单，因为单单是一层，那是很容易被破解的，尤其是代理!代理协议都是很简单的。被破译一点也不难。

大家都知道，公安网络监管部门有一个国家防火墙“金盾”，大家知道这个防火墙是做什么的?就是用来屏蔽一些被认为网站内容涉嫌反动、色情活动的站点和网络资源。不信，大家试试随便找个普通的国外有效代理访问类似www.wujie.net，你就会发现你和代理的连接中断，为什么中断?因为金盾检测到你涉嫌访问反动、色情内容`并且已经被屏蔽的站点。然后ISP的系统，就会强行中断你和那个国外代理的连接。这样，在一定的时间里，你就会以为代理死掉了。更简单的测试方法比如:你在google.com里搜索:“邪恶”，你就会发现自己和GOOGLE的连接已经中断，其实这就是ISP强行掐断了你们的访问。你在大概几分钟类就无法访问GOOGLE。因为你的内容没有进行任何加密措施，就类似代理、就很容易被识别出来。

所以大家不要随便相信代理这种基本没有任何安全性可言的东西。而怎么样才能逃避追踪呢?方法很简单。