你能告诉我该怎么做吗？谢谢你。

老话说:天网恢恢，疏而不漏！这句话是真的吗？我不知道在现实世界中。但是在网上，这句话在网上很弱。看了我的文章，你就知道了。在互联网上违反现行法律，即使公安部门立案侦查，也未必“落入法网”。注:本文仅作技术探讨，不讨论犯罪后如何逃脱法律的惩罚。

首先我们来了解一下:“网监”也是公安部门主管网络的部门。他们负责网络监管，如网站和服务器的黑客攻击，游戏账号设备的盗窃，网络上的各种纠纷，付正的色情内容。都属于网络主管。

我们假设一个案例:163.com主站被入侵，服务器所有硬盘被多次格式化，垃圾数据被反复读写，导致硬盘数据无法恢复，损失惨重。于是一边呼叫专家紧急修复服务器数据，163。COM公司迅速向广州网监报案。广州网监介入调查，追踪入侵者！

如果你是入侵者，你就面临这样的情况。你会怎么做？其实很多同事在入侵别人的网站、服务器、内网的时候都不知道如何保护自己。如果你不注意把自己藏起来，不到一天，网监部门就能把你祖宗锁18代-_-！！！如果隐藏得好，这个案子过了法律追究期限就是无头案了。而这，在网上，就是小菜一碟！

首先，我们来了解一下网监部门是如何追踪入侵者，锁定其作案地点的。众所周知，当你黑了一个网站，你就是在WEB上操作。将或多或少地记录在另一个WEB服务器的日志中。IIS和Apache都会记录一些IIS日志。如果你入侵了一个网站，IP地址被记录下来并不奇怪。即使浏览网站，IP也会被记录。当你浏览网站执行操作时，IIS服务器会记录一次，比如连接错误。这还不是说你入侵别人网站会不会留下IP记录，肯定会留下。

那你黑进一个服务器呢？当你进入服务器，首先WINDOWS系统会记录你的连接IP，其次是在网关服务器上。它还记录到服务器的连接的IP。所以即使你能删除服务器上的记录，你也永远碰不到网关上的记录。

公安部门锁定肇事者，第一件事就是找到肇事者。怎么找？最重要的是追踪IP。

下面我们来学习一些关于ADSL宽带接入的常识。

众所周知，现在人们普遍使用ADSL电信或者网通的宽带接入网。大部分是动态IP，少数是固定IP。固定IP的特点是带宽超过4M。而且一般人用不了。当你启动电脑，通过ISP提供的宽带ADSL账号拨入互联网。ISP服务商的系统会随机给你分配一个动态IP，并记录以下事件，例如:2008年8月8日8: 08: 08，btm4545455(宽带账号)，拨入IP: 58.53.1.5，操作系统:Windowsxp，拨入电话:0728 454562。各省的电信记录可能不一样，但这些数据肯定会被ISP记录，可能有人不相信ISP会记录这么详细的内容。不过我在电信网查过这个系统，确实存在！而更详细的，我只是简单的列举了他在这里记录的一些主要数据！

另一方面，当你成功拨号上网时，你的IP在上网时会经过很多路由器，几乎每个路由器都会记录你的IP！

现在你知道ISP是怎么记录你的行踪的了吧？

先说说公安部门是怎么抓到肇事者的。众所周知，要抓一个人，首先要知道他是谁，在哪里。如果连这个都不知道，怎么抓？唯一能得到作案人地理位置和真实身份的就是“IP”，也就是ISP分发给大家用来上网的东西。众所周知，当你的电脑与互联网上的服务器建立连接时，双方会互相传输数据。而这个IP等于传输通道。其实你用的IP只能说是互联网的“身份证”。真正接入互联网资源的其实是ISP，你的IP只负责接收和传输数据到XX服务器。同样，这个IP是确认某年某月某日某时某分某秒某台电脑联网的证明。同样，只有找到作案的电脑，才能继续追查他的用户。

好了，我们现在回到前面。我们之前说过，假设公司163之后。COM报案，公安部门在WEB服务器系统和网关上发现连接入侵系统的IP地址(无法擦除):211.1.1。这是否意味着侵略者是日本人？这其实只是一种错觉。

寻找入侵者时，检查路由日志非常重要。众所周知，当你的IP访问一个服务器时，会经过很多路由器，也就是说不止一个路由器记录了你访问过的IP，这也是可以追踪的。同样的，就算你用国外的肉鸡来连接163的入侵。COM，公安叔叔还是会追查你的。那么他们是怎么做到的呢？

答案很简单。公安部门有权要求电信部门配合，提供路由日志，具体到已经路由到211.1.1.1的IP，以此类推。我能抓住你。当你被抓的时候，不要想‘为什么用人单位用了代理，或者你被抓了？其实很简单，因为只有一层，很容易被破解，尤其是代理！代理协议非常简单。被破译并不难。

众所周知，公安网监部门有国家防火墙“金盾”。你知道这个防火墙是干什么的吗？它用于阻止一些被认为涉嫌董藩和色情活动的网站和网络资源。如果你不相信我，试着找一个普通的外国有效代理人访问www.wujie.net，你会发现你与代理人的联系中断了。为什么会中断？因为金盾已经检测到你涉嫌访问董藩，并且已经屏蔽了色情内容。那么ISP系统将强制断开您与该外地代理的连接。这样，在某一段时间内，你会认为代理人死了。一个更简单的测试方法，例如，如果你在google.com搜索“邪恶”，你会发现你与谷歌的连接已经断开。其实这就意味着ISP强行切断了对你的访问。大约几分钟后就无法访问谷歌了。因为你的内容没有加密，类似于代理，所以很容易被识别。

所以不要只相信代理，这个代理基本上一点安全感都没有。。还有怎么才能不被跟踪呢？方法简单。

公安部门只能从IP追查入侵者，我们只要自己拉风就能逃离IP。基本没有危险。怎么逃？我来说说我平时用来“检测”站点服务器的方法。根据威胁的性质，我一般使用“E级防护”直接入侵服务器:北京某高速IDC服务器，依次是:湖南IDC服务器:B，山东IDC服务器:C，韩国服务器:D，台湾省服务器:E，我的电脑:f

注意，保障程度取决于个人能力。一般我的入侵防护等级要求受控服务器质量高，首要的就是速度很快。如果两台国外服务器的PING值高于:150，则不必考虑。一般来说，国外的PING在120左右。中国的PING在70以内。否则操作速度会很慢，因为这样做之后，操作速度会慢很多。原因如下:(我这里用A，B，C，D，E，F来代替服务器，刚才已经写的很清楚了)，首先我们连接E，然后用E服务器中的3389终端连接韩文D，然后D通过3389连接山东服务器C，再由C连接山东服务器C，湖南B继续3389连接，输入“A”。这样，在操作过程中。你做的一切都会被记录在A号上，被黑服务器的所有记录都在北京A号上，你连A号上的日志都不用擦，交给公安叔叔跟踪就行了！

前面说过，公安叔叔的收网终极武器就是查路线。而当我连接到台湾省E时，会记录我被路由到E，然后呢？你在3389上的操作只会停留在对方的服务器上，你只会看到传输过来的图像。而且是高强度加密的。我试过了，完全认不出来。按照现在的技术，你做的事情是不可能恢复的。而这是绝对不可能的。因为终端连接的协议非常严格。目前来看，还无法破解。看完你就知道为什么了！

当我连接台湾省E的时候，我所有的操作都是E完成的，我只是得到了传回来的图形界面(就是截图差不多)，所以所有的操作都是E完成的，这个时候E被路由到No。d韩国，所以没有的路线。e本来不是我们的，是台湾省ISP服务商路由的~你懂原理吗？公安大叔只有查看国内电信部门路由日志的权利，可以查出一个IP路由到了国外，但是绝对不可能查出一个真正的国外电脑傀儡背后是谁，为什么？

因为E台湾省运营D韩国的时候，他的所有操作都被台湾省ISP记录了。这时候韩国的D连上国内的C，就有可能被发现。为什么？因为前面的A，B，C都在中国，只要在中国就有可能被跟踪！例如:

我们回到案例假设:此时公安大叔找到了IP: 211.1 '假设他是京A，ok，他连夜赶到北京电信，发现是某IDC托管人的服务器，打开了傀儡服务器，通过分析记录了日志。在IDC的热情款待和大力配合下，我们与公安叔叔们英勇奋战，没有个人牺牲。找到了我们山东的C服务器。这时，疲惫的公安大叔在当地电信的配合下，休息一夜后继续赶往山东。发现这个IP属于一个IDC机房。所以在分析了日志之后。

我们公安大爷知道，这个C号同时后台连接的IP是:203.1.1.1 '而且这个IP来自韩国。我该怎么办？

其实公安要求国内ISP服务商配合调查，开通路由提供日志的概率很低。如果要国际办案，只有一种可能。是去韩国’好吧，既然是假设，我们就要完成假设。拿到去韩国的机票后，警察叔叔来到了韩国，在当地警方的大力配合和热情接待下。我是通过万分之一的几率发现这台服务器的IP地址可能被我毫无责任的格式化了的机房。在韩国ISP的配合下，我找到了没有被删除的路由日志。于是我查到路由到这个韩D的IP来自台湾省22.1.1，八耻八荣，警察叔叔努力拿到了去台湾省的机票，最终得到了台湾省警方的配合。在异国他乡，同胞们还是那么热情，终于以万分之一的几率找到了这个曾经被不负责任的格式删除的服务器。。。

最后来源入侵IP23.1.1.1来自中国湖北一个地方，于是警察叔叔杀了眼去了湖北，最后在当地ISP的配合下，通过系统记录的拨号记录，终于找到了这个家伙，但是警察叔叔们发现了。已经过了:刑事侦查的期限。。。。不过，这已经是中了500亿美元的运气了。讲真，比尔大帽把他的500亿财产给你的概率比找到源头IP的概率还高！

那是我的假设，剧情很顺利。但在现实中，这是绝对不可能的。首先，路由日志不是谁想查就能查的。查路由会导致ISP整体网速下降非常快。而且不一定有机会。最重要的是，这样的路由日志一般都会定时删除。所以他的保质期很短。而且电信部门一般不太关心小城市的网络监管，不强的部门也不是。所以很难找到我们C山东的服务器。一般情况下，如果能找到B这个数字，就送给别人:优秀人民公安锦旗。。

再说国外的D和E，C被发现的时候，不知道是什么年代。要查看一个多次格式化读写的服务器的入侵日志，无疑是。。。什么都不可能说，除非有路由和网关日志，那个东西。几个月后找到的概率为零。按照国内治安案件的速度，一般等个一两年就可以去韩国了。到时候估计人家服务器都换了。我不知道。这个时候，你有幸找到台湾E省的几率确实比微软CEO给你500亿美元的几率要高。而且过几年你就能在e上找到你的源IP，你真的能当联合国主席吗？哦，对了，好像没有这个职位。

按道理，我找到你的时候，你的电脑经过长时间的使用已经更新换代了~这个时代，每两年更换一次不奇怪吧？劳资2005年6月5438+10月花了8200元买新机，现在2006年买不到6000头牛和鸟！能给你定罪，还在法律调查中的情况，确实堪比哈雷彗星撞地球。别的不说，就读写硬盘几次。几年下来，硬盘已经写了很多遍了吧？而且入侵台湾省的时候是在机器上操作的，除非有可能。

ISP几年来一直在路由器上拦截你所有的网络访问数据并解密。而且就算解密了，你得到的也只是你连接到另一台服务器的数据。这种程度的享受，我想只有超级间谍才能享受到。ISP没有钱和设备去监视一个普通人几年。而且还要保留几年的数据，要知道，如果一个省的ISP监控一个省的上网数据，一天的数据就足以容纳几万g。。我不知道该放什么进去。不可能的。更不用说解密了它。就算找到你，也没有证据证明是谁黑进了163的硬盘。COM！

归根结底，只要你能利用国外的网络避开开通国内航线，就不可能找到你。以上假设我自己都用过A，B，C，D，E。不仅仅是吹牛。这里我来说说我一般检测站点服务器隐藏的具体方式。

首先准备3-5只肉鸡，2只国外肉鸡，2只国产肉鸡，2只国外肉鸡。这足以避免追踪。国内肉鸡可以降到1。根据你找到的肉鸡的速度。肉鸡的网络延迟很高。外地肉鸡的网络延迟要求你本地连接上的PING值不能高于130。国产肉鸡延迟不高于70。只有这样，才能利用好肉鸡。方式是使用WINDOWS自带的3389远程连接，然后连接肉鸡中的肉鸡，这样就可以反复连接袜子了。

我一般用5 ` 3只国产肉鸡，2只国外肉鸡。我用的连接方式，完全暴露:国内A，国内B和国外C，国内D. E国内，F本地。我连接e号，然后连接d、c、b、a，注意建议‘e’是代理连接。比如将E号转为SOCKS5代理服务模式，然后在这台机器上连接IP127.0.1就可以成功连接E号。这样，我在E中留下的所有WINDOWS日志记录都变成了127.0.1。所以我无法证明我做了什么。甚至当我检查我的电脑时，我只能看到我连接到127.0.1。路由只能证明我访问并建立了与对方服务器的连接。

以上隐藏方法个人都用过。不是瞎猜。如果你能这样被抓，只能说你是神人！众神降临人间。。。。

注:本文仅供纯技术讨论和学习。请不要试图违法！请记住试图入侵的网友们！当你在没有任何保护的情况下进行黑客攻击时，你总是处于危险之中。你是否掉进那个“网”，取决于别人是否希望你进入。就像案板上的“鱼”