月入百万的注意啦，查水表取证的方法

浪子阿Q

转载的
我们来假设一个案例，在一个月黑风高的晚上，小明在某论坛大肆批评政府，第二天小明刚一睡醒就听见咚咚咚，开门查水表，于是乎小明神秘消失了。

好了，再以网监的角度来看看：

一天，网监局的小红看到了一个网民在网上发了个大肆批判ZF的帖子，心想，这哥们胆子挺大啊？于是联系了那个网络公司，要求调取发帖人IP地址，IP调取结果为122.224.54.112，IPWHOIS登记的所有人为中国电信，好了，网监局小红联系了中国电信，要求查在2014-01-21 03:30分使用122.224.54.112的人，之后中国电信乖乖的配合网监局，交出了小明的家庭地址，浙江省绍兴市XXXXXX ，然后水表就没了。
再切换会小明的角度：小明心想，老子明明用的是ADSL，动态IP，发完贴就断开了，怎么还tm被查到了，WTF？
老衲的解释：在各级ISP的日志服务器上都有留存日志，日志留存时间大概是6个月左右，在AAA服务器上留有你登录认证的用户名，时间，分配的IP地址。依靠这个就能找到谁在哪个时间段使用过哪个IP地址。

被拘留15天后的小明终于出来了，他心想，老子就要跟你们这群网监局的人干到底，小明就在网上找到了个代理扶墙，继续上网发帖，继续在另一个网站上批评政府，这是个小网站啊，日志留存期内肯定查不到了，而且还挂了个扶墙，第二天，小明又被查水表了。
以网监局的小红的角度再看看：诶呀？根据“與情控制系统”的报告，有人在某个小型网站发了个反ZF的文章，小红又火速要求网站提供发帖人IP地址，结果小红一看 175.45.176.11 这是尼玛是我大朝鲜IP啊，难不成是金三胖子发的帖子么？小红想了想，金三胖子不会说中文啊，于是，小红上报了此次事件，上级表示一定要查到，然后小红就去各大出口运营商调取路由日志了，于是小明发现，在2014年2月8日，122.224.250.38链接到了175.45.176.11的某个端口，于是乎小红查了查122.224.250.38在那个时间段是属于谁的？一查，又是小明干的。
小红第二天火速赶往小明家，把正在看电视的小明抓捕归案。小明又被小红胖揍一顿。
小明心想：老子明明挂了扶墙了啊，又在小型网站上发帖，怎么又尼玛被抓了。

老衲的解释：各级公安系统均配备了與情控制系统，能采集几乎所有的国内网站的发帖信息，检测到关键字就被单独列出。而且单层扶墙很不保险，查路由日志就查到了。

又是蹲了15天拘留。
小明肯定心里很不爽啊，于是苦修黑阔技术。同时中国电信也拒绝继续向小明提供服务，他换成了广电网络（二级ISP，出口IP都一样，几千人共用一个IP）之后又学会了一招，双层扶墙/变换出口IP的扶墙(就比如链接用175.45.176.11，但是访问网站的时候出口IP就变成了175.45.179.244，这样就没法靠路由日志查了)，于是乎小明又继续批评ZF
网监局的小红看到后，这怎么又有人发帖了，查吧。一看，IP是175.45.179.244,这尼玛又是我大朝鲜的IP，是不是小明干的啊？但是没证据啊，于是又查了查路由日志，这回什么都没有，小红心想，这小明技术提高了啊。于是乎小红要求国内各大网络公司提供175.45.179.244这个IP的访问记录，于是某企鹅公司说了，这个IP登录过我们公司的服务，号码是12345668，小红又要求某企鹅公司提供这个号码的历史登录记录，于是乎小红看到了，看IP是二级ISP的，几千人共用一个ip啊，怎么办呢？小红又要求企鹅公司提供登录端口号，然后又同时根据二级ISP内网审计设备查到了登录该qq的内网IP，于是根据内网记录，查到了网络开户人就是小明。
小红火速赶到了小明的家，又把小明抓走了。这是小明的三进宫了，小红也表示很无奈，渐渐的，单身的小红和小明互相就有了好感（>.< 尼玛） 小明想：老子都用二级ISP了，也用双重扶墙了，怎么又尼玛被抓了，wr！！ 老衲的解释：首先二级ISP有更严格的内网审计功能，你要是直接登录QQ，他们的内网审计就能直接看到你登录的QQ帐号但是看不到你的聊天记录，因为加密的。某局实验室的设备可以直接看到你的聊天记录（老衲见识过这个，有QQ的解密密钥，还能解飞信，YY之类的，毕竟中国的企业必须给WJ部门提供方便）。虽然是几千人共用一个IP，但是端口号是唯一的，可以通过端口号查内网路由日志。而且这种扶墙甚至IPSec扶墙能在某墙的干扰下变成纯明文扶墙，因为windows系统中可能有bug，即使开启了必须加密也能链接成功，但是却没加密。这就是为什么有时候你开扶墙上网，DNS都设置好了，还是打不开非死不可之类的网站。即使这些情况都没有，你也不能保证扶墙服务商跟WJ部门没有合作的。而且电脑上有很多国产软件是和WJ部门有合作的，比如搜狗拼音，腾讯qq啊之类的，这些软件的特征是 开启时间长，可长时间驻留，每日必备。在你开全局扶墙的时候，你的qq，搜狗拼音等也会被代理上，比如qq会断线重链，根据每个人的唯一码，很简单找到你。 又是15天的拘留，小明很不爽啊，出来后苦苦学习黑阔技术，之后又学会了一招 小明用了个Linux LiveCD，把电脑网卡MAC都改了，然后破解了邻居的一个WiFi，然后用I2P作为前置代理链接上了TOR网络，然后继续发帖。第二天，咚咚咚，小明又被小红带走了。 网监局小红：还是有人发帖批评ZF啊，于是小红查了下发帖IP，是个欧洲的TOR出口，小红心想，这怎么办呢，TOR网络，不可能继续追查下去了。小红看了看发帖的用户名：laozishixiaoming，这个用户名。。。 然后百度谷歌搜索了下这个用户名，发现这个用户名注册过很多网站，于是乎联系这些网站要求提供IP，拿到IP后查AAA服务器记录，一看，是小明。于是小红气呼呼的奔向了小明家................ 小明心想：又尼玛栽了。 小红说：想见我不要用这种方法吧？ 老衲的解释：这是社会工程学的一种手段，小明犯的致命错误就是用了自己的常用用户名发帖。 总结： 首先要做到匿名发帖就要保证自己的电脑没有“后门”，这里的“后门”指不经自己授权就随意发送接受自己不想被发送或接收的数据。在这个条件下，腾讯qq，搜狗拼音，暴风影音，迅雷等就是“后门” 其次要应用的安全，比如扶墙总不能被干扰成明文了你还在网上狂吧？ IP藏匿手段要好，最好用I2P+TOR代理。 最重要的也是要保证社会工程学的防御，据老衲的了解，很多发帖人就栽在这上面了。。

myou663

国外3389+客户端扶墙，齐活。千万不要用国内线路访问网站后台。。。。

malong101

小明 可以出国 用新手机 蹭 肯德基 WIFI   发完帖子再滚回来

活着就是折腾

为什么不去个不要身份证的网吧。。。

ericls

上次看了下 tor 感觉确实不错

i2p 是神马

月の天使

装个虚拟机，虚拟的MAC，然后虚拟机登录扶墙，套2层扶墙即可。

开水瓶

作为资深的上网农民（不是码农，真的农民），作为查过一次水表和喝过多次绿茶的同学，来给大家讲解一下经验教训。

1、从loc开始讲起吧！loc现在用的是海外服务器，都一点都不影响，衙门查水表，discuz有一个用户中心，那个就是专门为查水表作准备的，基本上的discuz的数据库，都被衙门所掌握，至于方法非常的简单，api管理接口，超级用户权限，故意设置的后门，方法不要太多了。至于，有的同学发贴的时候，设置一个权限，只能阻挡一下搜索引擎，对于衙门来说，根本不是问题。

2、从电脑用户端来说，你装的360，QQ，某些国产的软件，简直就是衙门可以随操控的肉鸡，对于重点监控用户来说，简直就是硬盘对拷了。别说你发表文章了，你没发表就已经被泄露了。

3、为什么很多人干了坏事没有被抓？这需要从经济学的角落来分析，条子干活，那是需要司法成本的，花10万的司法成本，去办一个1万块的案子？这种亏本生意肯定是不会做的，除非是影响力非常大的，总而言之一句话，没油水的案子，条子是没动力去办的。再说了，现在满大街的案子，简直疲于奔命，上次有个同学说500万才立案就是这个道理，因为人家1000万的还在排队，你又不姓赵，能拖就拖。

4、至于如何的被查水表，基本是楼主的那些套路，而对于，重点监控的人群，会采用实时的监控，手机，短信，微信，IP地址，网卡号，电子邮箱，QQ号，到直接入侵事主电脑。衙门有大数据的系统，配合数据分析师的社会工程学，一般的用户根本不是他们的对手。


总结就是：还是移民吧！

GoTop

开水瓶 发表于 2016-2-9 09:05
作为资深的上网农民（不是码农，真的农民），作为查过一次水表和喝过多次绿茶的同学，来给大家讲解一下经验 ...

你发这个贴，不会被查吧

funders

好智障的案例啊。。话说入黑第一件事不就是跳板嘛