黑客逃避追踪,为什么要用虚拟机 + TOR + VPN 呢?
[ 转载自网络 ] date:2014-08-25
为啥要使用虚拟机
使用虚拟机主要有俩原因。
第一个是为了好收拾,清理痕迹什么的。
特别是MAC地址,系统指纹信息等等.
这些一旦被收集到都可以作为呈堂证供。
用虚拟机,干了坏事把快照恢复一下就好,省的清理cookie什么乱七八糟的,
如果是干了特别坏的事那就把虚拟机删了,干净清透没问题~
第二个原因是为了做网络隔离。
直接连接网络很有可能会暴露你的公网ip地址。
很显然在你的主机电脑上装了很多软件。。这些软件不说到底有没有后门,但是记录你的操作记录,或者某些隐私信息妥妥的,有些甚至可以直接绕过代理访问自己的服务器,一旦追查起来,都是很容易取证的。
所以套一层虚拟机,搭一个干净的环境可以保护隐私不外泄。
还有种双层虚拟机的,虚拟机A用作攻击机,虚拟机B用作网关,B必须是双网卡,一个host-only,一个NAT,然后A的所有信息先通过B中转到host再到公网。
好吧,个人感觉这种设定真的是非常的蛋疼疼疼。。裹着棉大衣的赶脚,不过确实比单虚拟机更加安全。
再说tor
这个具体干嘛的找谷歌吧,总的来说是一款专门设计用于隐匿上网身份的工具。为什么说它可以用来隐匿呢?咱们来看图
Paste_Image.png
tor在全世界有很多的中继节点,就是图中的2部分。
当你启动tor用来上网的时候,首先经过1进入中继节点,
TOR 客户端会随机挑选三个节点用于中转,并且每过几分钟会重新选择。
中继节点分入口节点,中间节点,出口节点,然后再经过3到服务器。
在这三步中,1和2都是经过加密的,只有在出口节点能看到你的真实访问信息。
如果你访问的是https协议的网站,那就相对安全,因为https是加密的。
如果访问的是http协议的网站,那么风险就比较大,因为出口节点说不定是蜜罐,在嗅探你的出口明文信息。但是由于1,2部分中间也都是加密传输,即便出口节点知道有人访问了某网站干了点啥,它也无法定位到来源的ip,除非所有三个节点都是蜜罐,或者有传说中NSA那样牛逼的破解密钥的能力一路追上来锁定你。
还有vpn
所以为啥还要用vpn啊?用tor感觉已经很安全了啊,即便是侧漏了好像也找不到自己耶?
感谢国家。。感谢那个墙。。tor这种看上去一点都不像是五好青年用的东西必须肯定是分分钟在墙的黑名单上啊。。。
当你很嗨皮的启动tor想要体验一把“偷偷的上网,打枪地不要”时候,你会发现拓麻一个中继节点都连接不上啊~所以先整个VPN把自己翻出墙吧,然后才能勾搭上tor~
然后你会发现打开网页的速度简直不能忍。。。
最后
警察蜀黍说,莫伸手,伸手必被抓。
这世上没有绝对的安全,丝绸之路创始人用tor用的如此high,还不是进去了 =。=
【知乎用户的回答】:
别说黑客了,我去看我EX微博空间,登录她小号QQ,我都知道要用虚拟机和VPN,不管怎么也要装的不留痕迹,不让她发现是我在作贱!
【徐酿泉的回答】:
不懂,不过等大牛来之前说一下,有错指出。
真机会暴露 MAC 地址,而且 cookies 之类的小细节很多,虚拟机方便,而且还可以销毁痕迹。
Tor作为匿名网络还是很安全的,因为如果用 Tor,IP 地址这个线索可能算是断了。
之所以这样说,因为除了在暗网开网站会被端以外,用 Tor 的那些犯罪者,儿童色情犯罪者,那么多人依然逍遥法外,没有因为 Tor 自身缺陷被逮捕的例子。
当然不排除FBI手里有长长的名单在下一盘很大的棋。
但是如果怀疑范围不大的话,可以得知谁在用 Tor 的,之前有个大学生就是因为被检测到用 Tor 而被怀疑最后被抓了(他是因为用学校内网连 Tor),所以先套一层 VPN ,有的人还会挂好几层不同国家的代理。
大概是这样,我不懂。
【知乎用户的回答】:
补充下1楼 @Ario的答案,她回答很完整,我只是刚刚作为一个业余人士又想到了一些。总体来说就是原则性避免信息泄露。
使用虚拟机,甚至是双层虚拟机(比如2台虚拟机,其中一台设置为HOST-ONLY一台是NAT),可以避免本机机软件绕过代理设置暴露真实IP等,另外虚拟机直接快照恢复也是一个毁尸灭迹的好办法
VPN的好处从是保证从本机到某地点的数据传输的安全性。
举个例子,如果直接连接Tor网络,在ISP那里理论上是能查到的,
如果你直接连接tor网络,即使不知道你做了什么,如果你在某些名单上的话那也会带来不同的后果。
VPN保证了你电脑发送出去的数据包经过了ISP等多个服务器之后仍然安全的抵达VPN出口
参考例子:
这个苦逼哈弗学生为了延期考试登陆Tor网络发了封匿名邮件说有炸弹,
但是学校查到了收到邮件几个小时前他使用学校WIFI连接到了Tor...
Harvard student tried to dodge exam with bomb hoax, FBI says
Tor的原理 @Ario说的很清楚了,
我只是想说除了Tor还有I2P
盗用编程随想的图
I2P数据链经过了更多节点,或许有更大的安全性与生存能力,至于速度,那就另说了
最后的补充
如果直接裸奔上网,那么目标网站,目标网站服务器托管商,ISP,都可以直接查询到你的IP
如果单层VPN,那么还可以通过查询你的VPN的IP继而查询VPN的日志来查询你的IP
而使用VPN加TOR则保证了数据从电脑发出到进入Tor网络再依托Tor网络的匿名能力从Tor网络发出去这个过程的安全性。
但换句话说,信息安全不仅仅与技术手段相关,如果再使用了这一串儿技术措施之后,最终登陆了FB/微薄/QQ,傻子都知道谁在使用匿名网络了。
【蒋涛的夜航船的回答】:
反向思维一下,如果要追踪黑客可以从哪些地方入手呢?
我觉得最重要的是IP,其次是一些Cookie(包括浏览器Cookie、Flash Cookie等),最后是使用习惯。
如果知道了你的IP,即使是动态IP,那到电信部门查一下某个时刻该IP是分配给谁的(ADSL的账号、光纤的MAC地址、局域网的内部IP等),很容易找到使用者。
所以黑客的IP必需隐藏起来。
但因为TCP/IP的机制,在传输时,必需要在源与目标之前建立一个虚拟通道,也就是在数据传输的那一刻,一定有一个链条是在被黑电脑到黑客之间存在的,
追踪者可以沿着这个链条从被黑电脑顺藤摸瓜找到黑客。
因此黑客最重要的是在完事后把这个链条打断,
方法包括Tor、VPN,还包括匿名代理、肉鸡等其它方法,
目的就是当黑完后,这个链条就会立即消散在风中(注意,尽管如此,在黑的时候,仍然有一个链条连着双方的)。
这些方法各有各的优点和缺点,所以使用时要根据情况选择,也无需同时都要用。
至于虚拟机什么的,就是防范后两个追踪的。
【知乎用户的回答】:
FreeBuf公开课:
潜伏鹰:隐蔽通信(FQ)和侦查取证那些事儿(已结束)|FreeBuf公开课
【知乎用户的回答】:
忘记曾经在那里看到的了,
就是如果出事了,警察追踪,发现IP是在HK,
然后跑去HK去查,
然后发现是国外的IP申请的代理访问,
然后就跑去国外,
国外还不一定让中国警察查,
所以就隐藏了自己
【知乎用户的回答】:
VPN+TOR :
无非是想尽一切办法隐匿自己真实的IP,
然后操作起来又方便一点;
然后还不想通讯的数据被别人察觉(毕竟你黑客做任何事情,数据上,还是有规律的)
虚拟机:
清理起来比较方便,直接删除就所有操作系统保留的痕迹都没有了。
【知乎用户的回答】:
…为了逃避追踪…
【知乎用户的回答】:
跳板多点总是好的
【FredZhou的回答】:
国内上网基本都要实名,所以先收集一个合法的身份信息然后买个3g上网卡,实名认证后开始
【KongBen的回答】:
丝路站长被抓那是FBI盯他很久了,
那货一次买凶杀人用了真实邮箱给杀手发邮件,
然后杀手貌似是FBI的卧底,
然后一路追踪到源头。
天朝公安应该不具备这种网络追踪能力,
至少跨国网络追踪是大大不及欧美
【赵丰年的回答】:
使用虚拟机是为了更方便的清除痕迹,
多层代理是为了反向追查,
假设
top1、
要获取某一个站点的用户信息,每次http访问都会有log存在,
前几年.用bt3随便破几个wifi来搞,或购买匿名3g上网卡,
再跳到境外VPN,连第三国家ssh。
数据获取完毕,需要完全清除境外设备。
top2,
更简单的,用以上后手段获取到了重要漏洞,
用python或者其他,写个脚本,放在u盘,
飞到HK,随便买个epc之类的设备。
买个匿名3g卡,或找个免费wifi。
跑一下脚本,把数据down回加密u盘。
电脑直接仍海里。。。
