问:本人对网络安全比较感兴趣,看过一些关于IP追踪技术的文章,我觉的有一些道理,但也不全对。
举个例子:比如说“王总”使用了一个美国VPN代理,VPN的地址为122.1.1.1,入侵了某网站。如果想要追查他的真实IP地址,首先可以直接到VPN供应商那里,通过查看服务器日志等方式找出此人真实IP地址,但如果VPN供应商和验证服务器都在美国,恐怕用这个方法不太现实。那么有人可能会说,还可以通过国内的ISP运营商查找路由器记录日志,直接找122.1.1.1相关记录。
那么这里小弟有几个问题请教下:
1、如果通过国内ISP运营路由找记录,首先应该确定大体方位,比如确定为某省某市,然后再到这个省市找下级ISP路由器记录,总不能直接到ISP去查全国的数据库吧?那么请问单凭一个美国VPN地址,有何技术手段能确认大体的方位和省份?
2、如果确实是重要案件的话,一定要动用ISP全国性数据库,海量的数据库,可能有很多国内用友在当天同样登陆过这个VPN代理122.1.1.1,所以在路由器上会产生很多跟122.1.1.1不相关的记录,那么怎么能揪出“王总”? (貌似在路由器上能看到的有很多有局限性,比如“王总”通过这个美国VPN入侵的某网站,在这个过程中,一些重要的数据和日志记录,都是通过美国VPN服务器中转的,日志都存储在美国VPN服务器上,路由器貌似也捕获不到什么重要信息。)
3、即使“王总”用的不是美国VPN代理,是国内一些不正规供应商的国内代理,同样在无法到VPN供应商查服务器日志的情况下,并且这些代理和王总不是一个省份的,通过ISP路由,有什么技术手段确定王总真实的省份?
答:下面谈谈我的一点看法,在多级代理情况下,A节点韩国-B节点美国-C节点广东,很难确定使用代理者真实省份。在小区网本地连接不用宽带帐号的,并且不通过电话线的,最多只能确定到小区,难确定具体地址,以上是小弟一点拙见,还请大家指教下。
当然还可以用追物的方法查。比如通过MAC知道厂商,然后查这批网卡买到什么地方,是哪批次的电脑,下一个,就定位了。就我的理解,现在很多高级设备都支持基于应用层采取策略(例如网页内容过滤),只需要在连接国外的几个出口做上这些策略,你的VPN如果没有经过加密,照样可以揪出来。
MAC应用在TCP/IP模型中的第二层,到了第三层,也就是经过了路由器后,MAC会更改。其实MAC本身在源主机上就是可以人为修改的,包括很多网络产品本身支持设置虚拟MAC地址来替换原有的物理MAC地址。简单的说,MAC地址,在第二层、交换机内、同一个vlan内,是唯一的,IP地址,在第三层,路由器内,是唯一的。但就像之前说过的,MAC地址和IP地址都可以人为修改。方法就是修改数据帧或数据报的header部分。
