注册会员   登录
代理IP知识问答
如何抓到入侵网站的黑客?
提问时间:2016/8/5 19:27:42    楼主:未知网友   阅读量:5469
黑客被抓一般因为什么原因?在技术上能提供哪些方法辅助抓捕一名黑客?目前黑客犯罪猖獗而执法者相对弱势的原因是什么?国内与国外有何区别?
1楼(站大爷用户)

简单来说,抓到的可能性微乎其微。

五角大楼被侵入还常常找不到人,何况民间公司,黑客往往多层跳板,你追查发现在攻击ip在一反华的国家,还怎么继续下去?

当我们手机钱包丢了的时候,报案做个笔录又如何,认栽就得了,否则就是真的想多了。

一句话,安全这东西,自己的意识最重要。
2楼(未知网友)

蜜罐(honey pot),类似于钓鱼吧,暴露一大堆漏洞在他面前等着上钩。
不过黑客一般都会用代理或者vps来搞人,要想抓必须得有网监来配合。蜜罐里的东西只能作为证据
3楼(站大爷用户)

有些时候就算你知道是谁,你也不敢搞他。
不信你试试~

(啊,多么痛的领悟~)
4楼(未知网友)

我一直有个想法,推进难:
比如安全宝,加速乐,网站卫士等背后的日志联合提供接口去联合分析某黑客行为,在大数据层面,最可怕的就是关联分析。

关联分析的思想是:
对看似零散的线索在多维空间上描绘出一个原型,通过推理可以得到更多信息,进而更完整描绘出这个原型。

比如,我们各家的日志里记录了黑客访问的一些行为,不一定是攻击的,也可能是攻击的(一个黑客历史上的行为都被各家储备下来了),通过这些来溯源,描绘,更多的不多说了。

这个想法可以扩展,比如更多日志源的加入,社工库的加入等。

不过直接合作的可能性很低,间接的可能会有。

常在河边走哪有不湿鞋?关联分析总会发现最后的原型(黑客)。

说下执法者弱的原因,我和相关朋友有过交流,比如:
1. 精力问题;
2. 职权范围有限;
3. 合作耗时久,成本高;

黑客猖獗很多时候是利益远大于各种,还有经常砖法律空子,砖执法者弱的空子。
5楼(未知网友)

我也来回答下这个问题吧..如何针对来查找入侵windows系统的黑客.有机会再讲linux
刺总也只是说了针对入侵网站的黑客.我来将将如何找到入侵来的黑客
既然黑客是通过网站入侵.那就比较简单了.第一点.要知道该黑客.是通过什么途径什么漏洞.来入侵到网站.是否提权到服务器.是否串改服务器网站内容.说直接点.就是还原黑客入侵后所有操作的现场.这样既然知道他来的目的.就也比较好针对有目的性的黑客来开展反查.入侵的手段.无非就是 代理.VPN或者服务器.扫描该web漏洞.或者有针对性的漏洞.拿到网站权限是肯定要留后门的..或者是提权到服务器.在服务器在留后门.所有黑.都不会让自己手里的羔羊只是一瞬间存在的,既然这样.我们就有了把柄.分析web日志.分析windows日志.可以发现大量的内容..有些聪明的黑客会删除掉这些内容.但是总会留下一些痕迹.也可以说.入侵.后.操作不干净.也是属于黑客的漏洞吧,第二点.开始分析内容.知己知彼百战百胜.要知道黑客为什么会入侵.入侵的目的.串改数据.删除帖子.都是有针对性,来针对黑客的操作尝试开始反查.了解从哪里入侵进来.通过什么漏洞.在去看黑客的ip总是会有. 无论国内国外.扫描还是什么总会留下大量的ip.也许是国内.也许是国外.也许是真实.针对IP在去进行分析.查找ip是否代理.是否VPN.是否家用宽带.如果查找到该黑客的确使用VPN或代理.这就要加大一点查找力度了.比如该黑客利用美国IP来入侵web..可以针对相关的入侵时间.去找某部门.查看国际出口.也是一点.如果没有这么大的能力的话.那就去查找黑客所留下来的web后门.和服务器后门. 查找web后门..可以查看访问记录..既然黑客留了后门.这个后门第一个访问的.也肯定是他.可以长期监控次后门..也可以发现该黑客.总计..第二.服务器后门..针对.服务器有很多种.这里我例举几两点.1.服务器成为该黑客肉鸡. 2服务器建立隐藏账号密码. 第一点服务器肉鸡可以针对服务器tcp链接.来查找黑客所控制ip..和木马.来进行分析. 第二查看注册表.建立的隐藏账号.来看黑客是用什么账号.如果1 1 这种的就算了.也不排除是黑客常用的账号.对该账号来进行社工也是一种...也可以对webshell来进行分析.总会有一些新的内容. 根据黑客入侵的时间轴.来去查找.相关时间轴左右的所有痕迹.一步步进行.总会有一些痕迹留下.而且黑客为了长期保留后门.也会经常来访问后门是否存在.这也是弱点之一.总结几部就是根据黑客.入侵的时间轴.来分析时间轴.左右黑客留下的所有痕迹.windows web 没一点.每一步.会留下大量的痕迹.只要.有落地到IP.就有针对性的.去查找到黑客的真实身份,补充一点.黑客既然有针对性的入侵.无非是利益.或者炫耀..利益方面.可以通过资金链.来查找到黑客真实身份,
6楼(未知网友)

如果你们关注的是如何抓住普通的小骇客(无纪律、无意识),我可能没那个耐心回答,但如果你们想知道关于职业骇客(高意识、严格纪律、资源丰富)的看法,我还是可以给出一些论点的。

一、安全对抗
了解你的敌人(Know Your Enemy)
每个职业骇客通过常年的攻击行为、经验,累积了关于各种体系的知识,然后组合出各种攻击模式,而每种攻击模式都少不了流程化、自动化。


你都不知道骇客想干嘛,在干嘛,防御你妹呀?

现在大多数公司内部系统管理员与安全人员,他们因为没有来自行业与内部的竞争压力,为企业做的安全防御选择的都是“常规模式”,外加生搬硬套国外的标准做安全管理,日久天长就会变得工作效率低下、不负责任。

如果技术人员都不知道什么叫0day,都不知如何处理rootkit,你叫他们怎么会有意识在各种骇客的关键路径设立传感器捕捉日志、保护日志?

一名优秀的骇客同时也是一名优秀的网络管理员、系统管理员
骇客知道哪里会留下自己的操作记录、各类日志,他们会去篡改,甚至模拟出和真正管理员一模一样的行为。


所以想要抓住骇客,就要时刻知道那些日渐趋变的攻击模式,找到攻击者的攻击路径,再去有目的的防御,Keep It Simple, Stupid,KISS原则。


有纪律的骇客,一般都会用最少的操作行为、最少的系统功能,来达成自己的目的;

面对海量的攻击日志,是很难确定攻击者到底在哪里的;
在一个没有录像监控系统的网吧,拨了三层VPN+TOR的职业级宅男骇客(常年不出门),要抓到他?你们他妈的别做梦了!(这一句是对那些一天到晚不切实际谈论安全的专家们的吐槽)
二、80%的隐患来自内部

待补充

题外话:

to @Wabbor ,对于你的回答内容:现在已经没有骇客会在服务器上留后门、添加账号了,他们直接通过各种手法,窃取到管理员的真实密码,甚至直接入侵系统管理员的工作机(把管理员记录所有服务器信息的密码表、网络拓扑表拿到手)。
7楼(未知网友)

简单说下自己的看法:
1:你能抓到什么样的黑客,取决于你的技术能力和认知和能调动的公共权力。
上面有回答提到的王x军在重庆的事迹,这就属于后者,能调动的公共权力巨大,还有shotgun提到的公安部督办的案子。这种一般咱也碰不到。

2: 为什么说取决于你的技术能力和认知?
很简单,网络对抗,是同一个层级之间的斗争,只有同一个层级,才存在对抗,比如侦查反侦察,攻击反攻击,如果技术和认知水平不是一个层次,那不叫对抗,叫单向碾压。
一种攻击方式,在你不了解不认识之前,对你来说,这就是空气,你不可能提前了解你不了解的东西。

3:若2的假设成立,所以结论就是你自己对渗透/反渗透的认知程度决定了你能对付什么样的入侵事件。

4:简单说几个自己经历和了解的事情,顺便正面回答一下题主的问题

黑客被抓一般因为什么原因?
被抓是无非是因为屁屁没擦干净,渗透本来就是一个很耗时耗精力的事情,而且很可能很长期,从踩点到真正的入侵成功需要花费的时间往往很长,即便是再谨慎的黑客,也会偶尔露出马脚。
而且黑客往往会高估自己采用的隐藏方式的可靠性。举个例子,Blake Benthall,暗网丝绸之路的作者被抓,FBI并未透露是如何绕过Tor的保护,对此tor组织虽然否认觉得FBI并没有攻破tor服务,但事实上说明政府部门也没想象中那么渣,在你被抓之前,你也永远不知道自己为何被抓。


 这些暗网络网站使用了Tor匿名软件,因此司法部门如何定位这些网站仍是一个迷。例如,在针对班索尔的刑事诉讼中,FBI探员文森特·达格斯蒂尼(Vincent D'Agostini)仅仅表示,2014年5月,FBI“确定了位于美国国外的一个服务器,当时这一服务器被认为是承载丝绸之路2网站的主机”。他并未透露,FBI是如何绕开了Tor的匿名性保护。由于许多基于Tor技术的网站在此次行动中遭到了打击,因此外界猜测,政府部门可能已经找到了应对Tor匿名性的新工具。

  关于Operation Onymous行动定位网站的方式,Europol的奥尔汀选择了保密。他表示:“我们希望对此保密。我们无法与全球所有人分享我们行动的方式,因为我们希望继续这样做。”

  负责Tor开发和维护的非营利组织Tor项目表示,该组织并不清楚Operation Onymous行动中使用的技术。不过,该组织仍为Tor的安全性辩护。该组织的安德鲁·勒曼(Andrew Lewman)表示:“这听起来就像是老式的警察行动仍在继续发挥作用。司法部门有可能是瞄准了运营这些机密服务的普通人或组织,或是主机公司,而不是攻破了这一机密服务。”
8楼(未知网友)

抓入侵黑客基本上要满足三个条件
1、隐藏不完美,有痕迹可循
2、没后台
3、得罪了不该得罪的势力

先说1、目前稍微有一定技术实力的黑客,都知道销毁活隐藏入侵和嗅探的痕迹,来掩盖自己,但入侵痕迹容易隐藏,利益链却很难隐藏,很少有入侵行为是不带利益诉求的,所以一般通过追踪获益途径往往能找到目标人物。(挂马,盗号,攻击竞争对手是最常见的几种)

2、这个不能多说,最近频繁被知乎管理员锁帖,闭门分享会讲过这方面案例,公开的就不讲了。

3、其实目前中国在抓捕网络黑客方面还是抓了不少人的,但是实际上曝光的不多,简单说就是一个词,家丑不可外扬,巨头们抓黑客谁也不愿意声张出去,所以给人的假象是黑客是抓不到的,实则不然。
但是小公司,创业团队往往会有无力感。

所以,这是第三个要点,黑客被抓,往往是得罪了不该得罪的势力,千万不要小看中国的网警,他们认真起来,破案是很快的,六省断网那例子多明显。
当然,如果有人问,那次根域名解析全线崩溃咋没破案呢,咳咳,都是屏蔽词啊,不说了,知乎管理员手下留情吧。
9楼(未知网友)

利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。

======

按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。

先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的,冲突口角、获取利益、炫耀出名等等,发生计算机犯罪案件后,侦破过程中往往最先要分析的是动机:被拒绝服务攻击,那么会不会是竞争对手?或者之前发生口角争执的用户?非正常离职的员工?等等,通过列出有动机人的嫌疑名单,可以有效缩小进一步侦破的范围。

实际发生过一个案子:有人拒绝服务攻击游戏公司,然后上门推销“拒绝服务防御”设备,攻击者对自己的技术很有信心,也确实没有留下什么痕迹,可是动机分析很容易就锁定了嫌疑犯,一次突击搜查就直接拿到了证据。

其次看方法,分析犯罪手法可以得出很多的结论,有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析,比如不久前发生的12306拖库事件,通过对公布出来的库进行比对分析,就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论,这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具(例如木马)的分析,可以得出犯罪嫌疑人的开发平台、使用的语言,如果是第三方下载的,那么也就知道了常去的网站,这些都可以是破案的线索。(美国几次公布中国黑客攻击的证据,其中就有大量对工具语言版本的分析作为支撑)

如果攻击者一点痕迹都没留下,其实也相当于留下了痕迹,我们可以判定此人是经验丰富的高手,业内能符合这个特征的人并不多,可以大大缩短怀疑的名单。

最后则是后果,犯罪嫌疑人进行计算机犯罪总是有其目的的,无非是名和利,为名者常常喜欢炫耀,而为利者则避免不了异常的收入和开支,这些都会形成破绽,结合之前的动机和方法,往往能锁定对象。

如果出现高智商反社会罪犯,纯粹出于兴趣进行随机犯罪,这才是最头疼的。

=======

技术力量在计算机犯罪侦破中所能起到的作用是巨大的,除了之前说的“痕迹分析”外,还可能通过攻击路径溯源分析直接定位攻击者。此外,在锁定嫌疑人进行了搜查之后,技术支持往往还要进行证据分析,如果犯罪嫌疑人已经销毁了证据,还可能要进行证据恢复等等。

实际发生计算机犯罪案件时,会根据影响不同而调动不同级别的资源,因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复,公安部副部长亲自督办,大半夜电信运营商分区拉闸判断攻击位置,定位到攻击城市后,我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测,天还没亮执法人员就堵住了嫌疑犯大门……

=======

中美在打击计算机犯罪上究竟有哪些不同?

首先,美国更重视针对计算机犯罪的执法队伍的培养,美国的执法人员薪水待遇和社会地位都较高,制度也灵活,因此比较容易招募到水平较高的技术人员,或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上,美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。

与之相对应的是,国内目前执法力量对比黑色产业资源明显不足,公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大,受害者的自我保护意识严重不足(例如完全不知道要保护现场,常常出了问题就直接格式化重装了),这些都是造成计算机犯罪破案率偏低的原因。

此外很重要的一点,美国司法机构强调“毒树之果”原则,如果司法程序有瑕疵,即使抓到罪犯,起诉也会失败,而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎,对技术依赖更高,反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。

而美国计算机犯罪相关的黑色产业链也远没有中国发达,从待处理案件的数量上,美国要远低于中国,但是高智商反社会人格犯罪比例却更高,因此挑战也很大。

=======

补充两点:
1.美国的黑色/灰色产业链远没有中国发达,这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多,主要是美国的社会保障比较好、普通人安全感强,所以为了赚钱去做黑产的很少,倒是为了兴趣搞破解黑客的多;此外,美国的信用体系也比较完备,破坏法律的成本很高。

2.为什么锁定高手就能缩小清单,是因为在国内,具备最顶尖能力的黑客(无论白帽黑帽)大多都是在国家清单上的,即使暂时不在,也会和业内其他的高手有交往或合作,毕竟一次复杂的攻击需要的技能和支持太多,远不是一个独行侠靠一己之力能掌握的,大家看侦探小说,有的案子发生后侦探只需要去当地的帮会询问,往往就能得到明确的线索,信息安全界也是如此,总是有千丝万缕的联系。

3.国外来源的攻击并非没有办法追查,通过逆向攻击溯源是一种方法,通过类似CERT的机构要求国外配合协查也是一种办法。
友情链接 (合作QQ207309712):  每日免费代理IP  代理IP知识问答  网站地图


©CopyRight 2012-2017    辽ICP备17012256号-2   
 
客服QQ:207309712   投诉建议:2219765152    站大爷代理IP交流群:417568497    爬虫开发者交流群:343030927

警告:本站资源仅限用来计算机技术学习参考及大数据爬虫应用等合法行为,用户所有操作行为均有日志记录存档并保留2个月,用户若擅自利用本站资源从事任何违反本国(地区)法律法规的活动,由此引起的一切后果与本站无关。