百科问答小站 logo   百科问答小站
问题

不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?

回答
说到底,网络运营商确实是解开 IP 地址谜团的最终钥匙,但这个过程远非一帆风顺,而是充满技术挑战和法律障碍。

想象一下,一个黑客通过互联网发起攻击,就像一个间谍在城市中穿梭。他不会直接暴露自己的藏身之处,而是会利用一系列的“跳板”,也就是被感染的计算机或者专门设置的服务器,一层一层地隐藏自己。每一次连接,都是一次“跳跃”,每一次跳跃,都让追踪者离他更远。

从技术层面来说,当你的设备连接到网络时,你的互联网服务提供商(ISP)会为你分配一个临时的 IP 地址。这个 IP 地址就像你家庭地址一样,是你在网络上身份的标识。黑客利用跳板,实际上是利用了别人的 IP 地址来掩盖自己的真实 IP。当攻击发生时,我们看到的是跳板的 IP 地址,而不是黑客的。

要找出黑客的真实 IP,就好像要找到那个躲在层层伪装背后的人。安全专家会分析攻击数据包,寻找线索。这些数据包里包含了源 IP 地址、目标 IP 地址、时间戳等等信息。如果攻击是经过了多重跳板,那么这些数据包的源 IP 会指向第一个跳板,而这个跳板的源 IP 又会指向下一个跳板,如此循环往复,直到追溯到最开始发起的连接。

这就好比在森林里追踪一只动物。我们找到它的脚印,然后顺着脚印找到下一个脚印,再下一个,最终可能找到它的巢穴。在网络追踪中,每一个 IP 地址就是一个“脚印”,通过分析这些“脚印”的链条,我们可以一层一层地剥离伪装。

然而,问题在于,每一次“跳跃”都可能丢失一些关键信息,或者信息被篡改。跳板可能只是一个临时的、易失的节点,一旦连接中断,追踪就变得异常困难。而且,一些高级的黑客会使用加密技术,进一步混淆数据包中的信息,让分析工作更加复杂。

更重要的是,要跨越不同网络运营商的边界进行追踪,往往需要法律授权。比如,如果黑客利用了国外某个服务器作为跳板,那么就需要与该国家/地区的法律机构合作,才能获取该服务器运营商的日志信息。这涉及到跨国司法协助、隐私保护法规等等,整个过程可能非常漫长且复杂。

即便如此,网络运营商仍然掌握着最关键的原始数据。他们记录着用户连接的 IP 地址、连接时间、使用的端口等信息。当执法部门获得合法授权后,可以要求运营商提供这些日志。通过比对不同时间段的连接记录,运营商就能识别出哪个 IP 地址在某个特定时间点连接到了哪个更早的 IP 地址,从而逐步还原出攻击的真实来源。

所以,答案是肯定的,技术上是可能找出最终的真实 IP 的,但现实中,这需要海量的数据分析、先进的技术手段、耐心的追踪,以及至关重要的法律支持。这就像是一场猫鼠游戏,猫(追踪者)需要不断学习老鼠(黑客)的新伎俩,而老鼠也总在寻找新的藏身之处。网络运营商,作为这场游戏中掌握着“地图”的关键角色,在合法授权下,他们的信息是破案的基石。

网友意见

user avatar

是的,本质上这是一个成本和代价的问题:

1、如果追查者拥有很大的权力,例如国际刑警组织或者是国际CERT组织,可以协调全球各运营商,通过官方渠道一级一级追踪回去,只要时间足够,是可以追查到最后一级的真实接入的,凯文米特尼克就是这么被下村勉抓到的。

2、如果追查者拥有很高的黑客技术,一级一级反向破解回去,入侵跳板机器并且监听链接,也是可以追查到最后一级的真实接入。

3、有些跳板/VPN/代理/肉机等等本身就是陷阱,用了的话等于自我暴露。有些加密通道已经不再安全,例如SSL和tor,过于信任这种技术也会导致轻易暴露。

4、大数据分析和行为模式分析有可能可以定位到具体的人,哪怕并不清楚这么多层的链接究竟是怎么构建的。
user avatar

更新

真的是什么水平的都敢上了说两句,一个个都觉得互联网是网吧或者你们宿舍的规模是不是?接入的地方抓个包DPI一下就以为互联网能抓包了?也懒得挨个都怼了,统一回复一下。

  • 前提写清楚:运营商!运营商!运营商!别没事就把国家暴力机关扯进来。
  • 以现状来说,运营商最多也就是能在接入层,汇聚层这个层面搞这个事情,能解码的也仅限于一些用的多的明文协议,比如HTTP
  • 互联网 不等于 HTTP,不要以为人家能解码个HTTP就能把所有流量都解码。
  • 跳板 不等于 肉鸡。位置不见得就在接入层,大企业的核心交换机/路由器不见得就是坚不可摧。(咱们是不是还没说大企业内内鬼的问题?),也就是说退一步讲,黑客到第一跳有记录,从第一跳到第二跳恐怕就没记录了。
  • 即使运营商自己的范围内,也不是所有流量都是透明的。比如运营商分16个IP给企业A,比如101.101.101.0/28吧,那101.101.101.2和101.101.101.3通信运营商就看不见也没办法抓。
  • 同理,企业内部的网络对运营商更是黑箱了。因为严格意义上来说他们并不是运营商网络的一部分。黑客从一个口进去从另一个口出来运营商就抓瞎了。
  • 你说我所有出口都盯梢!谁跟你说黑客攻击全过程要挂在跳板上?第一天从一个口进去设个定时,第二天才从另外一个口出去攻击,就算你有所有包都抓下来时间你也对不上。
  • 你说企业内部也有日志啊。我真呵呵。且不说这些日志是不是就安全(有没有被篡改过),是不是全面(有应用层面的日志就不错了),我们现在谈的不是运营商吗?运营商能查企业内部日志了?
  • 互联网上的IP包不可追踪,除非你把每个交换机的的所有流量都抓下来。因为包的原地址是可以随便写的,强调一下:是外!网!IP!可!以!随!便!伪!造!不是什么私有IP哦。是不是三观都动摇了?这叫IP Spoof。很多人IP Spoof和私有地址都分不清我也是醉了。
  • 当然,所有人都能这么做就翻天了。运用商们原则上要确保接入自己的用户不乱来,也就是uRPF机制。原理是接入层面的路由器保证自己发出去的包原地址自己都能处理。但也只能是“原则上”和“自己的用户”而已。当然实施IP Spoof确实需要一些资源,但你怎么知道黑客没有这个资源。要不每年那么多DDOS反射攻击都是哪来的?
  • 再多说一句反射攻击吧,攻击者伪装成目标的IP给大量主机发包。这些主机就会给目标IP回包,从而形成DDOS。而整个过程攻击者相当于完全隐身了。
  • 原地址可以伪造,目标地址照样可以伪造,虽然难度很大:只要在这个包的必经之路上把这个包拦下来就是了,比如目标地址所在的网段的路由器上。
  • 原地址瞎写,收不到回信啊?这还不简单,有效地址写在包里面就行了顺便加密一下就行了。而正常加密的内容都是无法解密的。
  • 所以,就算运营商开挂了,所有设备所有的包全抓,那也没卵用。上面写的这些随便应用一下,再把攻击流量时间错开(定个时什么的),你说要怎样溯源?
  • 最后一切的前提,我已经默认帮运营商开一个大挂了:假设黑客跳板被攻击方都在一个运营商内。而实际情况是多跳板的话,必然会从其他AS那边绕一圈再回来的。

所以不要简单的给我回什么为啥我觉得运营商那边有记录呢,那玩意是用来管理一般用户的不是用来对付黑客的。

其他的欢迎交流。

评论里有幸遇到一些实际在运营商里做流量控制系统的人,虽然我对国内运营商的所作所为颇有微词,但能把这套系统实际做出来我还是很佩服的。

下面是原答案

不能。

首先,跟大家想的不一样的是:运营商那里是没有通信记录的。因为流量实在太大了,是真的记录不起。一定要记录的话大概相当于要求邮局把所有过往明信片都复印一遍然后存档。

其次,对于过往的数据包,运营商并不知道其内容,也不想知道。人家就是一个送个快递的公司,你网购什么的东西人家真的无所谓。

最后,运营商并没有权力看跳板内的东西,就像快递公司不能随便抄家一样。

假设主机H被跳板X攻击了,要追查的话,运营商的最好成绩也就是能知道在发生攻击的时间前后,有ABCDEFG等IP跟X有过通信。ABCDEFG中有没有跳板,哪个是跳板,光靠运营商自己的力量是无从知晓的。

补充一些技术细节吧,用简单的语言写虽然照顾了照顾了新手,但确实在说服力上欠佳,有人觉得你信口开河也没办法。

运营商不会去抓包,不是说不能,而是实在成本太高了。

能抓100G口的设备大概长这个样,2U服务器X5

这样的一套设备的容量大概是50TB。就算流量50Gbps,50TB大概能撑2个小时。。。

你把EMC最牛B的存储设备装上,大概2PB吧,我记得。能抓1周也就烧高香了。

更坑爹的是这种抓包装置的接入方式。有两种,一种叫in-line,一种叫by-pass

in-line顾名思义,就是串在光纤上抓过往的数据。如果这么接先不说万一这玩意抽风整个运营商的网络跟着抽风,光是凭空多出一步光-电-光的转换就够让延迟爆表了。(低延迟是运营商核心竞争力之一)

by-pass则是在交换机上设置一个专门的SPAN口,所有数据均转发到这个口上,把抓包装置接在这个口上自然可以,这没有增加延迟的问题,也不怕抓包设备抽风。但你总不能指望一个100G的SPAN口监视2个100G的口吧?流量大一点就会丢包(2个100G口的流量合计>100G的时候),想不丢包只能给每个100G口配个100G的SPAN口。真这么干运营商成本立刻翻倍(这种骨干网的成本估算一般都是按平均一个口多少钱这么算的)

而且这折腾了这么久才能抓1个口,所有口都抓谁也烧不起。

所以你觉得运营商是有多闲才会没事蹲坑抓你的包?

倒不是说运用商完全不抓包,而是成本太高,只有明确的范围,时间和目的才会去抓。比如知道黑客以及他10个跳板的IP,然后今晚8~10点进行攻击,才能去抓。

IPS,IDS,DPI什么也同理,因为成本和延迟问题运营商也不回去装。而且这些也只能对已知的包有点作用。经过伪装的包这玩意也都不认识。就连是国家级IPS也是一样。

那运营商就完全没有收集过往数据包信息的动机和欲望吗?或者说运营商查一件过去发生过的攻击真的什么都查不到吗?

那倒也不是。只不过包的内容对于运营商来说真没啥卵用,倒是如果能有办法统计包头,原地址目标地址还有协议什么的,对运营商的traffic engineering确实很有帮助,所以有可能的话运营商也还是很想要这个数据的。

netflow这种技术就是为了满足这种要求而生的。具体实现方式就是由交换机把过往数据包的信息(原地址目标地址端口协议什么的)发往后台服务器。

但如果对每个包都统计,对于运营商这种流量大户来说也是很不现实的一件事。所以运营商的netflow一般都会做取样统计,取样率大概几百~几千分之一(4000,8000相对常见),也就是过往的包中几千个抽1个,统计信息。

所以如果运营商有netflow,还是能查到一些东西的。

下面说结论,不是去运营商那里查就能查出源头的(如果有跳板在其他运营商范围内就更麻烦了),运营商能做的事情真的很有限。

对于运营商能做的要么是对已知的攻击流量进行蹲点,比如有人操作管理大型的僵尸网络。而对于过去攻击的溯源最多也就能告诉你攻击前后跟跳板通信的IP有哪些,还得压上4000分之一的运气。

至于分辨这些IP中哪个是黑客哪个是下一跳哪个是正常用户,那真的是臣妾做不到啊。

当然,也不是说你用了多重跳板就抓不到你了,如果真要查的话,人家也完全联系跳板的真正主人要求配合,甚至可以直接攻破你的跳板(比如境外跳板)然后查日志或者守株待兔。

或者干脆通过走访的方式筛选出下一跳。

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有

服务条款
联系我们
关于我们
隐私政策
友情链接
知乎
百度问答
搜狐
新浪