如何追查到黑客的真实源ip?
得到真实IP没有想象中难,举个小例子。
前几天看到一个问题,是个小朋友问,考试的时候,用猿辅导搜题的答案,老师会不会通过ip来抓到他。
其实还真的可以。
第一步,猿辅导那里有你的访问日志,可以看到你的用户名,以及当时做这个操作时使用的公网ip
第二步,通过这个公网ip,可以查到,是哪个运营商给你提供的网络,电信还是联通还是移动。
第三步,运营商可以通过这个ip,查到你的公网路由器是哪台。当然,这里的公网路由器,不是你家里那个,而是电信那里的,他们一个路由器带了很多个家庭网络。
第四步,在公网路由器中,看nat日志,也就是网络地址转换日志,前提是必须有日志服务器留下这些记录。
第五步,通过nat日志,找到家用路由器的地址。
第六步,查找公网路由器的dhcp记录,查看家用路由器对应的mac地址。
第七步,挨家挨户敲门查水表,看谁的路由器是这个mac地址,查获。
但是,老师肯定不会真的抓,毕竟整个过程略麻烦,而且涉及用户隐私,运营商不会说查就查的。
而黑客干坏事就不一样了,公安机关在侦破案件的时候,运营商一定会配合工作。
黑客不是小朋友,必然会有些反侦察意识,隐藏身份是最基本的。
这里会用到代理,肉鸡等。
代理就是我在访问你的时候,不直接访问,找个第三方来传话。
这样你就不知道我的存在,我对你发起攻击,你还以为是第三方发起攻击。
通过前面说的手段,一路摸爬过去,发现只是一个无辜的云主机。
那接下来,守株待兔,当黑客再干坏事的时候,在这台云主机上,通过tcp/ip连接,找到真实黑客的ip,然后再去抓他。
发现是一个国外的ip,这样排查起来,就需要国外运营商的支持,而国外运营商经常不认国内的公安文件,得联系当地警方或国际刑警,这样需要很长的周期。
如果只是个小黑客,人家好多大案还没办完,是没有精力配合的,所以到这个时候就不了了之了。
如果是个大黑客,国际警察也会重视,国外运营商也会参与,但是大黑客又有更高的手段,他会采用很多个肉鸡一起发动对目标的攻击。
肉鸡,就是一台一台的普通电脑,被黑客植入了木马,这台普通电脑在不知情的情况下帮黑客做事情。
通过传统技术手段,能找到的就是大量肉鸡,这些肉鸡用户也是无辜的,可能自己也觉得玩游戏时候怎么有点卡。
此时如果肉鸡只是发动纯ddos攻击,而不是盗取数据发给黑客,那么很难继续溯源,只能采取社会学的方法
被攻击的对象往往是个公司,那么这个公司的竞争对手有哪些,有没有得罪过什么人,和侦破普通案件一样,来筛选可能雇黑客的买家。
另外一方面,采用钓鱼的方式,就是准备一批豪无防护的电脑,引诱黑客来植入木马,来抓现行。
以及严密观察已植入木马的肉鸡,看黑客什么时候来更新木马,因为木马也是种app,要实现新的功能,发动新的攻击,也是要更新的,来抓现行。
总之,需要大量的人力、物力、经济成本,最好的还是做好防护,该装防火墙装防火墙,该装waf装waf,规则一定要精细放行,不要图省事permit all,防患于未然才是关键。
如果看到了这里,记得关注我哦,顺手点个赞就更好啦~
