Отгадайте ребус.

Фильм Untracable. Суть такова чувак где-то в городе отлавливает людей и убивает их в живом эфире. В этом же городе фбр или нса пытаются определить этого чувака. Но, трафик конечно шифрованный и идет через взломанные сервера в России. Т.е. если спецслужбы рубят один ип, следом возникает следущий и видео продолжается. Задача такая, как поймать этого чувака?

 

НСА пускай позвонит в КГБ, и обменяются данными. У какого провайдера
в это же время шёл соответствующий поток данных, из России.

 

Хорошая попытка, ребус на знание протоколов на самом деле. Но не очень годная, так как из города где орудует маньяк, шифрованный траффик не идет непосдедственно в Россию, как это часто и бывает, а проходит промежуточные роутеры, поэтому Провы из России смогут определить сервер, но не смогут определить откуда идет траффик, он может идти например от роутера находящегося в швеции или германии, тот в свою очередь от роутера в Дании и т.п. Причем схема трафика может меняться.

 

Есть два варианта поймать, по крайней мере которы я обнаружил. Кстати это как раз вопрос о доменах и ип.

 

А как злой хацкир запрашивает ДНС?

 

Он использует http, https, DNS, и DHSP протоколы.
Вся мутотень идёт по первым двум.

 

По айпи хакеров только в фильмах вычисляют. В реальности всегда фигурируют деньги и отслеживают именно их движение.

 

Только до первого хопа.

 

Я бился всю ночь и наконец разгадал этот ребус. Слово - "НАРКОМАН"

 

Рмн, в данном случае денежных транзакций не проводилось,
а злыдень гуляет на свободе.

Ол.
Так что у него с ДНС?
После первого хопа, всё идёт по http, если я не туплю.
По tcp каналу. И соединение устанавливают и данные
передают. Вроде ничего больше не нужно?

 

в принципе, насколько я понял, забанить его элементарно, нужно просто проследить все ип и этот домен связанные с dns серверами. Но задача так не стоит, забанить можно, хотя они там показали, что бедненькие ничего не могут сделать. Они банят один ип, а он появляется на другом. Но другой то берется из таблиц dns серверов! И еще было сказано, маньяк каким-то образом умудрился, чтобы его видели только на территории сша, то есть сервак в россии настроен так, что дает трафф только юзерам с ип из сша. Задача нетривиальная надо сказать.
Можно было бы сдалеть так, примерно определить ип в городе у кого начинается шифрованный траффик за пределы США. Затем запросить у России переправлять часть шифрованного трафика, который приходит на сервер. Затем сравнить его с подозреваемыми ип исходящие из города. Но проблема в том, что маньяк в принципе может использовать на своем компе два или три сетевухи с разными открытыми ип и делить шифрованный траффик на эти три интерфейса. Более того можно настроить промежуточные сервера, чтобы они шифровали трафик дополнительно, тогда сравнение ничего не покажет.

 

Я бы сделал так: Взял и поделил подозрительные ип из США на 2. Затем бы искусственно замедлил(совсем немного) трафик подозрительных ип. Совсем бы не рубил. Затем посмотрел бы статистику как видео доходит до конечного потребителя. Если доходит хорошо, то замедлил бы другую половину, таким образом видео начало бы лагать. Ага, значит подозреваемый во второй группе ип. Тогда эту вторую группу снова бы поделил на 2 и снова замедлил. Таким образом этим бинарным способом можно было бы определить негодяйский ип.

 

совсем нетривиально, было бы если они не знали в каком городе орудует маньяк.
Вообще я думаю, что эти ограничения что типа в течении 2 минут нельзя определить номер и другая шняга в фильмах, разработана ФБР, чтобы преступник велся на такую дезинформацию и попадался.

 

Не обязательно, видео может идти по udp, и через прокси, как тор
Маньяк. может не запрашивать днс, ип серваков взломанных в России у него могут быть жестко прошиты. Вернее известны на прокси. Маньяк не может показать эти ип в своем трафике как конечный, так как его сразу же спалят.

 

Что-то ты намудрил. Они просто берут логи, провайдера и серверов,
и сличают их. Ненадо ничего замедлять и перенаправлять трафик.

 

Там и задним числом всё видно, кто, куда, на какой
прокси сервер, в какое время, и что посылал.

 

Ну как ты логи серверов прокси возьмешь, если они не на территории сша или россии, а скажем в швеции, которая вообще запрещает кому-то лезть в
чужую инфу. поэтому то викиликс и находится часть серверов в швеции. Закон Швеции запрещает лезть. Итого, прокси на территории швеции, затем, запрос переходит
на следущий прокси сервер тоже в швеции, затем выходит скажем в данию. Из США виден только прокси швеции(при условии, что ты знаешь какой шифрованный выходит из США, но это как раз и неизвестно пока), а котой выходной можно только догадываться и то если
возьмешь под контроль сервера роутеры в Дании. Вообще я конечно не сомневаюсь в способности НСА но все же это официально по крайней мере невозможно.

 

Хитро хакир придумал. Значит он прекрывается законами кучи
разных стран. И перекидывает трафик между ними.
Ну тогда должен быть входящий и исходящий адрес.
Начальный клиент и конечный сервер.
Нужно найти синхронность между ними. Между отправкой
и приёмом пакетов.

 

Арестовать сервер в России, и непрерывно зеркалировать
логи в Америку, и по ним искать сразу клиента.

 

Minzdrav,
Да-да, фсб и фбр просто без задней мысли кинули линк между своими датацентрами, обменялись инфой и поймали всех хеккеров. Проблема решена