這篇文章很早就寫了，本來是投到黑防的。編輯說稿子很好，回信給我讓我修改稿子把路線偏向“防”，可是思來想去，從純技術的角度來說。目前國內網絡結構是無法“防御”的。所以婉言謝絕了黑防編輯修改文章的事情。發出來大家學習吧。

俗語有云：天網恢恢、疏而不漏！這句話是真的么？現實社會中我不知道。但是在互聯網上，這句話在Internet上是很軟弱的。讀完我這篇文，就可以知道。在網絡上觸犯現行法律，即便于公安部門立案調查，未必就“落入法網” 注：本文僅做技術研討，并非討論如何在犯罪后逃脫法律的懲罰。

首先來認識一下：“網監”也就是公安部門分管網絡的部門。他們負責網絡監管，如網站和服務器被黑、游戲帳號裝備被盜、網絡上的各種糾紛、色情`反現政府的內容。都屬于網監處理。

我們來假設一個案例：163.com主站被入侵，服務器硬盤全部多次格式化，并且重復讀寫垃圾數據，導致硬盤數據無法進行恢復，損失慘重。于是在召集專家緊急修復服務器數據的同時，163.COM公司迅速向廣州網監報案。廣州網監介入調查，追蹤此次入侵者！

如果你是入侵者，你面對這樣的情況。你會怎么辦？其實很多同行在侵入別人網站、服務器、內部網絡的同時，都不太懂得如何保護自己。如果你們不注意隱藏自己，用不了一天，網監部門就可以鎖定你家祖宗十八代-_-!!!，如果隱藏的好，等這個案子過了法律追究期限，也是個無頭案。而這，在Internet上來說，是易如反掌！

首先，我們來了解下`網監部門如何追蹤入侵者，鎖定他在何處作案。大家一般都知道，當你黑掉一個網站的時候，你在WEB的操作。都會或多或少的被記錄在對方WEB服務器日志上。IIS和Apache都是會記錄一些IIS日志。如果你入侵一家網站，被記錄下IP地址一點也不奇怪。就算一般瀏覽網站，也會被記錄下IP，當你在瀏覽網站執行一個操作的時候，IIS服務器就會進行一次記錄，比如說發生一次連接錯誤。這就更不談你侵入他人網站會不會留下IP記錄，這是絕對會留下的。

當你侵入一臺服務器呢？在你進入服務器的時候，首先WINDOWS系統就會對你的連接IP進行記錄，其次在網關服務器上。也會記錄連接進入服務器的IP。所以即便于你能夠把服務器上的記錄給刪除，而網關上的記錄，你永遠也碰不到。

公安部門在鎖定做案者的時候，首先就是要找到做案者，如何找到？最重要的就是追蹤IP了。

我們來了解下一些ADSL寬帶接入常識。

眾所周知，現在大家一般都是使用的ADSL電信或者網通的寬帶接入網絡。絕大部分是使用的動態IP，少部分是使用的固定IP。固定IP是特性一般是帶寬在4M以上。而一般人用不了。當你啟動計算機，通過ISP提供給你的寬帶ADSL帳號撥進互聯網的時候。ISP服務商的系統就會隨機分配給你一個動態IP，并且記錄如下事件，例如：2008年8月8日8時8分8秒，btm4545455（寬帶帳號）,撥入IP：58.53.1.5，操作系統： Windowsxp，撥號電話：07284544562。各省的電信記錄方式可能不同，但是這些數據絕對會被ISP記錄下來，有的人可能不相信ISP會記錄這么詳細的內容。不過我進入電信網絡中查看過這種系統，確實存在！而且更詳細，我這里只是簡單列舉了他記錄的一些主要數據！

另外一點，當你成功撥號進入互聯網后，你的IP在訪問互聯網的時候，會經過不少路由器，幾乎每個路由器都會記錄下你的IP！

現在大家知道了ISP服務商通過什么方式記錄你的行蹤了吧？

我們再談談公安部門如何抓捕做案者。大家都知道，要抓一個人，首先就要知道他是誰、他在那里。如果這都不知道，怎么抓？而要獲取到作案者地理位置和真實身份的唯一手段，就是“IP”，IP就是ISP分配給大家用來上網的東東。大家都知道，當你的計算機和一臺Internet上的服務器建立連接的時候，雙方就會互相傳輸數據給對方。而這個IP就等于是傳輸的通道，其實你使用的IP，只能說是互聯網的“身份證”，真正訪問互聯網資源的其實是ISP，你的IP只是負責接受和傳輸數據到XX服務器。同樣，這個IP就是確認某臺計算機在某年某月某日某時某分某秒連接進入某個網絡的證明。同樣只有找到這臺作案的計算機，才能繼續追查他的使用者。

好的，我們現在回到前面，我們前面說了，假設163.COM公司報案后，公安部門通過分析，在WEB服務器系統上以及網關上面（無法擦去）均找到了連接并入侵系統的IP地址：211.1.1.1，這個時候公安部門調查發現，這個IP是來自日本的。這就是說`入侵者是日本人？這其實只是一個假象。

當查找一個入侵者的時候，很重要的一個環節就是查路由日志，大家都知道，當你的IP訪問一臺服務器的時候，就會經過非常多的路由器，也就是說不只一臺路由記錄了你曾經到訪過的IP，這也是可以追查到的。同樣，即使你使用國外肉雞來連接入侵163.COM，公安叔叔同樣會追查到你。那他們是如何做到的？

答案很簡單，公安部門是有權利要求電信部門配合，提供路由日志，具體提供到有那些IP曾經路由到211.1.1.1這個IP上面，這樣。就可以抓住你了。當你被抓的時候，別想`為什么勞資明明用了代理，還是被抓？其實很簡單，因為單單是一層，那是很容易被破解的，尤其是代理！代理協議都是很簡單的。被破譯一點也不難。

大家都知道，公安網絡監管部門有一個國家防火墻“金盾”，大家知道這個防火墻是做什么的？就是用來屏蔽一些被認為網站內容涉嫌反動、色情活動的站點和網絡資源。不信，大家試試隨便找個普通的國外有效代理訪問類似www.wujie.net，你就會發現你和代理的連接中斷，為什么中斷？因為金盾檢測到你涉嫌訪問反動、色情內容`并且已經被屏蔽的站點。然后ISP的系統，就會強行中斷你和那個國外代理的連接。這樣，在一定的時間里，你就會以為代理死掉了。更簡單的測試方法比如：你在google.com里搜索：“邪惡”，你就會發現自己和GOOGLE的連接已經中斷，其實這就是ISP強行掐斷了你們的訪問。你在大概幾分鐘類就無法訪問GOOGLE。因為你的內容沒有進行任何加密措施，就類似代理、就很容易被識別出來。

所以大家不要隨便相信代理這種基本沒有任何安全性可言的東西。。而怎么樣，才能逃避追蹤呢？方法很簡單。

公安部門追蹤入侵者，只能從IP下手，我們逃避掉IP，只要自己拉風。基本就沒有危險了。如何逃避？我說下，我一般“檢測”站點服務器所用的方法。準備工具`根據威脅性質`我一般對很危險的網絡使用“E級防護”直接侵入服務器的是：北京某高速IDC服務器A、它的后面還有：湖南IDC服務器：B、山東IDC服務器：C、韓國服務器：D、臺灣服務器：E、本人電腦：F。

注意，防護程度根據個人能力而定，一般我這種級別的入侵防護要求被控制的服務器質量很高，首要是速度非常快，PING值如果國外的兩臺高于：150，那就不用考慮了。一般國外的要求PING在120左右。國內的PING在70以內。否則會造成操作速度非常緩慢，因為本身這樣做以后，操作速度就會變慢不少，原因是：（這里的各地服務器我用A、B、C、D、E、F代替，剛才已經寫清楚了），首先，我們連接的是E，然后在E號服務器里使用3389終端連接韓國D號，然后D號再3389連接進入山東服務器C號，然后C號3389再連接進入湖南B號。湖南B號繼續3389連接進入“A號”。這樣，在操作過程中。你的一切操作都會記錄在A號上面。被入侵的服務器一切記錄都在北京A號上。連A號上的日志都不用擦，就是要留給公安叔叔追蹤！

我前面已經說過了，公安叔叔的網絡抓捕終極武器就是查路由了。而當我連接到臺灣E號的時候，就會記錄我路由到了E，然后呢？你在3389上的操作，僅僅只會留在對方的服務器上，而你只是看到傳輸回來的圖象。并且是經過高強度加密，我試過根本無法被識別，依照現在的技術，是根本無法還原你到底進行了什么操作。并且這是絕對不可能的事情。因為終端連接的協議是非常嚴謹的。就現在來說，是無法破解的。看完你就知道為什么了！

當我連接到E號臺灣的時候，我的一切操作就是E完整的，我僅僅是得到傳輸回來的圖形界面（也就是截圖差不多的），所以一切操作就是E完成的。這個時候E路由到了D號韓國，所以E號的路由就不是我們的了，就是由臺灣ISP服務商路由了~大家明白原理了吧？公安叔叔只有權利查國內電信部門的路由日志，他們可以查到一個IP路由到了國外，但是絕對不可能查到一個真正的國外計算機傀儡到底他背后是誰`為什么呢？

因為當E號臺灣操作D號韓國的時候，他的一切操作就是由臺灣ISP記錄了。這個時候韓國D號連接國內C號的時候，才有可能被查到。為什么呢？因為前面的A、B、C都在國內，只要在國內，都有可能被追蹤到！例如：

繼續回到案例假設中：這個時候公安叔叔查到IP：211.1.1.1`假設他是北京A號，好的，連夜中公安叔叔趕到北京電信`通過電信的配合`查知是某IDC托管商處的服務器，開啟了這臺傀儡服務器，通過分析記錄日志，得到我們的B號傀儡服務器，好的，連夜趕往湖南電信`在湖南電信的配合下`查到又是一臺IDC托管服務器，素聞湖南人熱情好客`果然不錯。在IDC的盛情款待和大力配合下和公安叔叔們奮勇拼搏、不為個人、大力犧牲的情況下。查到了我們的山東C號服務器。這個時候，勞累的公安叔叔在休息了一晚后，繼續趕往山東，在當地電信的配合下。查到這個IP又是屬于某IDC機房的。于是在分析完日志后。

我們的公安叔叔知道`曾經在吻合的時間和背景下連接到這臺C號的IP是：203.1.1.1`而這個IP來自韓國，怎么辦？

其實公安這樣要求國內ISP服務商配合調查，開啟路由提供日志的幾率是很低的。如果要跨國辦案，只有一個可能。就是前往韓國`好的，既然是假設，我們就要假設完。在拿到去韓國的機票后，公安叔叔來到了韓國，在當地警方的大力配合和盛情款待后。通過萬分之一的機會查到了這臺可能已經被我不負任何責任格式掉的服務器IP地址所在機房。在萬分之一的幾率下，又通過韓ISP的配合，居然查到還沒被刪除的路由日志。于是查到路由到這臺韓D號的IP來自臺灣22.1.1.1、八恥八榮的號召下，公安叔叔奮力拼搏，拿到了去臺灣的機票，終于終于獲得了臺灣警方的配合。在異國，同胞們還是這么熱情，終于在萬分之一的幾率下查到了這臺曾經被不負責的格式掉的服務器。。。

終于，在萬萬分之一的幾率下取得源入侵IP23.1.1.1來自中國湖北某地，于是公安叔叔殺紅了眼前往湖北，終于在當地ISP的配合下。通過系統記錄的撥號記錄，終于查找到這位仁兄`可是公安叔叔們發現。已經過了：刑事追究期限。。。。不過這已經是有了中500億美金的運氣了。說實話，比爾大蓋子把他500億的財產送給你的幾率，都比查到源IP的幾率高！

剛才是我的假設，劇情是順利的。可是現實中，是絕對不可能的，首先：路由日志，不是誰想查就能查的。查路由會導致ISP整體網絡速度下降非常高。而且不一定有幾率，最關鍵的是這種路由日志一般都會定期刪除。所以他的保存期很短。并且電信部門對一般的小地市的網監，不強勢的部門都不怎么鳥。所以說，就算要找到我們的C號山東服務器都是很困難的。公安叔叔一般情況下，能查到B號的，你就該送人家：優秀人民公安錦旗了。。

再說說國外的D號和E號，當查到C的時候，也不知道是什么年代了。去查一臺多次格式化，并且讀寫的服務器的入侵日志，無疑是。。。怎么說都不可能，除非有路由和網關日志，那東西。能在幾個月后查到的幾率是0，按國內公安辦案速度，一般等個一年兩年，才有可能去韓國。那個時候，估計人家服務器換沒換。我就不知道了，這個時候能幸運的查到臺灣E號，幾率確實比微軟老總送你500億美刀的幾率高。，而在幾年后，能在E上找到你的源IP。確實可以當聯合國總統了吧？哦對了，好象沒這職。

按道理說，找到你的時候，你的電腦在長時間的使用中 也已經更新換代了~這個年代，兩年換代，不希奇吧？勞資2005年1月配的新機花了8200，現在2006年買不到6000配的牛B多鳥！能把你入罪，并且還在法律追究期內的情況，確實能媲美哈雷彗星撞地球了。別的不說，只要把硬盤多讀寫幾次、格幾次。這幾年后，不格不讀寫，硬盤也都被重復寫過多次了吧？而當年入侵的時候是操作在臺灣機器上的，除非有一個可能。

ISP在這幾年里一直在路由器上攔截你的一切網絡訪問數據，并且解密開。并且就算解密開，得到的只是你連接對方服務器的數據。這種級別的享受，我想只有特級間諜才享受吧。ISP可花不起這個錢和設備來監視一個普通人幾年。并且還保存幾年數據，要知道，如果一個省的ISP監視一個省的上網數據，一天的數據就夠裝幾萬G了。。。不知道得用什么東西裝，這是不可能的事情。更別提解密了。就算找到你，也沒證據證明是誰入侵格式了163.COM的硬盤！

歸根結底，只要你能夠利用國外網絡躲避開國內路由，根本沒有可能查到你，上面的假設中的A、B、C、D、E我都是自己親身使用過的。并非胡亂吹噓。這里我來說下，我一般檢測站點服務器的隱藏自己的具體方式`

首先準備肉雞3-5臺`2臺國外肉雞`兩臺國內，國外肉雞最低兩臺。這樣才能足夠逃避追蹤。國內肉雞可以減少到1臺。根據你找到的肉雞網速決定。要求肉雞的網絡延遲非常高`國外地區的肉雞`網絡延遲要求你本機連接上的PING值不高于130。國內肉雞不高于70的延遲。這樣才能很好的使用肉雞。方式是使用WINDOWS自帶的3389遠程連接，在肉雞里再連接肉雞，這樣反復套襪子式的連接。

我一般是使用5臺`3臺國內肉雞，2臺國外肉雞。我采用的連接方式是，完全暴露的國內A號`B號國內，C號國外`D號國內。E號國內，F號本機。我連接E號，然后連接D、C、B、A。注意`E號建議是采用開代理的方式連接。比如把E號開啟SOCKS5代理服務方式，然后你在本機連接IP127.0.1，就可以成功連接E號。這樣我在E號留的WINDOWS日志記錄IP`全部就變成了127.0.1。這樣就無法證明我曾經干了什么。即便于當檢查我的計算機的時候，也只能看到我連接了127.0.1。而路由只能證明我訪問了、和對方服務器建立了連接。

以上隱藏方式，為親身使用過。并非胡亂猜想。如果你這樣都能被逮，只能說你是神人也！天神下凡。。。。

注意：這篇文章僅做純技術研討學習。請不要嘗試越過法律！請各位嘗試入侵的網友記住！當你在沒有任何防護的情況下進行hacking，你時時刻刻都面臨著危險。你是否落入那張“網”，就看別人是否要你進“網”。猶如案板上的→“魚” BY：朽木/ BLOG：www.kaonima.com