[转载+补充]高科技查水表取证的方法

发布于 2023-11-01  808 次阅读


看到一篇很有意思的网络安全科普文,遂转载并补充评论(文章最后)一下

原文

https://m.guokr.com/post/565846/

我们来假设一个案例,在一个月黑风高的晚上,小明在某论坛大肆批评政府,第二天小明刚一睡醒就听见咚咚咚,开门查水表,于是乎小明神秘消失了。

好了,再以网监的角度来看看:一天,网监局的小红看到了一个网民在网上发了个大肆批判政府的帖子,心想,这哥们胆子挺大啊?于是联系了那个网络公司,要求调取发帖人IP地址,IP调取结果为122.224.54.112,IPWHOIS登记的所有人为中国电信,好了,网监局小红联系了中国电信,要求查在2014-01-21 03:30分使用122.224.54.112的人,之后中国电信乖乖的配合网监局,交出了小明的家庭地址,浙江省绍兴市XXXXXX ,然后水表就没了。

再切换会小明的角度:小明心想,老子明明用的是ADSL,动态IP,发完贴就断开了,怎么还tm被查到了,WTF?

老衲的解释:在各级ISP的日志服务器上都有留存日志,日志留存时间大概是6个月左右,在AAA服务器上留有你登录认证的用户名,时间,分配的IP地址。依靠这个就能找到谁在哪个时间段使用过哪个IP地址。


被拘留15天后的小明终于出来了,他心想,老子就要跟你们这群网监局的人干到底,小明就在网上找到了个代理VPN,继续上网发帖,继续在另一个网站上批评政府,这是个小网站啊,日志留存期内肯定查不到了,而且还挂了个VPN,第二天,小明又被查水表了。

以网监局的小红的角度再看看:诶呀?根据“與情控制系统”的报告,有人在某个小型网站发了个反政府的文章,小红又火速要求网站提供发帖人IP地址,结果小红一看 175.45.176.11 这是尼玛是我大朝鲜IP啊,难不成是金三胖子发的帖子么?小红想了想,金三胖子不会说中文啊,于是,小红上报了此次事件,上级表示一定要查到,然后小红就去各大出口运营商调取路由日志了,于是小明发现,在2014年2月8日,122.224.250.38链接到了175.45.176.11的某个端口,于是乎小红查了查122.224.250.38在那个时间段是属于谁的?一查,又是小明干的。

小红第二天火速赶往小明家,把正在看电视的小明抓捕归案。小明又被小红胖揍一顿。

小明心想:老子明明挂了VPN了啊,又在小型网站上发帖,怎么又尼玛被抓了

。老衲的解释:各级公安系统均配备了與情控制系统,能采集几乎所有的国内网站的发帖信息,检测到关键字就被单独列出。而且单层VPN很不保险,查路由日志就查到了。


又是蹲了15天拘留, 小明肯定心里很不爽啊,于是苦修黑阔技术。同时中国电信也拒绝继续向小明提供服务,他换成了广电网络(二级ISP,出口IP都一样,几千人共用一个IP)之后又学会了一招,双层VPN/变换出口IP的VPN(就比如链接用175.45.176.11,但是访问网站的时候出口IP就变成了175.45.179.244,这样就没法靠路由日志查了),于是乎小明又继续批评政府。

网监局的小红看到后,这怎么又有人发帖了,查吧。一看,IP是175.45.179.244,这尼玛又是我大朝鲜的IP,是不是小明干的啊?但是没证据啊,于是又查了查路由日志,这回什么都没有,小红心想,这小明技术提高了啊。于是乎小红要求国内各大网络公司提供175.45.179.244这个IP的访问记录,于是某企鹅公司说了,这个IP登录过我们公司的服务,号码是12345668,小红又要求某企鹅公司提供这个号码的历史登录记录,于是乎小红看到了,看IP是二级ISP的,几千人共用一个ip啊,怎么办呢?小红又要求企鹅公司提供登录端口号,然后又同时根据二级ISP内网审计设备查到了登录该qq的内网IP,于是根据内网记录,查到了网络开户人就是小明。小红火速赶到了小明的家,又把小明抓走了。这是小明的三进宫了,小红也表示很无奈,渐渐的,单身的小红和小明互相就有了好感(>.<尼玛)

小明想:老子都用二级ISP了,也用双重VPN了,怎么又尼玛被抓了,wr!!

老衲的解释:首先二级ISP有更严格的内网审计功能,你要是直接登录QQ,他们的内网审计就能直接看到你登录的QQ帐号但是看不到你的聊天记录,因为加密的。某局实验室的设备可以直接看到你的聊天记录(老衲见识过这个,有QQ的解密密钥,还能解飞信,YY之类的,毕竟中国的企业必须给网警部门提供方便)。虽然是几千人共用一个IP,但是端口号是唯一的,可以通过端口号查内网路由日志。而且这种VPN甚至IPSecVPN能在某墙的干扰下变成纯明文VPN,因为windows系统中可能有bug,即使开启了必须加密也能链接成功,但是却没加密。这就是为什么有时候你开VPN上网,DNS都设置好了,还是打不开非死不可之类的网站。即使这些情况都没有,你也不能保证VPN服务商跟网警部门没有合作的。而且电脑上有很多国产软件是和网警部门有合作的,比如搜狗拼音,腾讯qq啊之类的,这些软件的特征是 开启时间长,可长时间驻留,每日必备。在你开全局VPN的时候,你的qq,搜狗拼音等也会被代理上,比如qq会断线重链,根据每个人的唯一码,很简单找到你


又是15天的拘留,小明很不爽啊,出来后苦苦学习黑阔技术,之后又学会了一招:

小明用了个Linux LiveCD,把电脑网卡MAC都改了,然后破解了邻居的一个WiFi,然后用I2P作为前置代理链接上了TOR网络,然后继续发帖。第二天,咚咚咚,小明又被小红带走了。

网监局小红:还是有人发帖批评政府啊,于是小红查了下发帖IP,是个欧洲的TOR出口,小红心想,这怎么办呢,TOR网络,不可能继续追查下去了。小红看了看发帖的用户名:laozishixiaoming,这个用户名。。。然后百度谷歌搜索了下这个用户名,发现这个用户名注册过很多网站,于是乎联系这些网站要求提供IP,拿到IP后查AAA服务器记录,一看,是小明。于是小红气呼呼的奔向了小明家................

小明心想:又尼玛栽了。

小红说:想见我不要用这种方法吧?

老衲的解释:这是社会工程学的一种手段,小明犯的致命错误就是用了自己的常用用户名发帖。


总结

首先要做到匿名发帖就要保证自己的电脑没有“后门”,这里的“后门”指不经自己授权就随意发送接受自己不想被发送或接收的数据。在这个条件下,腾讯qq,搜狗拼音,暴风影音,迅雷等就是“后门”。其次要应用的安全,比如VPN总不能被干扰成明文了你还在网上狂吧? IP藏匿手段要好,最好用I2P+TOR代理。最重要的也是要保证社会工程学的防御,据老衲的了解,很多发帖人就栽在这上面了。

补充评论

文章从宏观上形象谈到了常见的网络溯源手段,我这里还想具体的补充一下我们现在的网络互联方式安全存在的问题

首先,网络传输是个极其复杂环节十分之多的一个系统,每个环节都可能暴露你的行踪,你的手机系统,甚至是你的路由器系统,都可能暴露你的行踪。

其次,你在使用支付宝,微信,银行卡等方式付款时,你的信息也会被暴露。其次,有很多很多的误导信息可能会使你更加自信和偏执,从而丧失警惕感

比如说很多人上了Telegram就以为一切都无监管了,实际上并不是这样,+86注册的手机号就很容易被揪出来,而且还有很多其他的方面可以渗透这就不详细讲了

最后,机场这这东西就是用来过墙的,除此以外并不要幻想他能够在除此以外的方面有任何的功效,现在的GFW能够准确的识别、阻断甚至解密Shadowsocks等等缺乏前向安全的传输协议,当你使用此类协议承载数据时,你的数据会被一览无余(如果对方愿意的话)所以我并不建议使用这类裸协议(即使是在有专线中转的情况下,因为在专线入口之前的运营商ISP能够能够记录并处理你的数据)

再从宏观上说,不同于VPN等强加密协议,所有翻墙的私有协议设计的目的和理念就是为了将流量隐藏于普通正常的流量中(即看起来更加普通以隐性,而不是“全副武装”来彰显自己的加密之厚),这就注定了许多专有协议在设计时安全并不是最先被考量的(但Xray-core在Anti censorship方面做的不错,这就是我为什么喜欢Reality的原因,至少可以保证我的流量不被解密,并且在目前看来,GFW也不能精准识别Reality流量)

届ける言葉を今は育ててる
最后更新于 2023-11-01