Интересный копипаст А что до "исследовании статистики трафика" - я офигел с примера, как менты не получив данные с анонимайзера, не зная с какого провайдера требовать логи, просто на основе статистических данных магистральных провайдеров вычислили вымогателя. Статистические данные, как известно, отличаются тем что сам трафик не перехватывается. хранятся только IP адреса, время соединения, размер переданной информации в байтах и используемые протоколы. Судя по всему магистральные провайдеры хранят только статистику, а провайдер "последней мили" уже хранит и статистику и тексты и персонализацию (мак адрес, и если IP динамические, то время кто когда каким IP пользовался). Пример Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «[email protected]». Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя (подробнее об анонимайзерах – ниже, в параграфе «Анонимные ремейлеры»). Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа. (значит был запрос, но их послали) Для вычисления отправителя можно воспользоваться статистикой трафика. Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение на этот анонимайзер непосредственно, а не через другой анонимайзер. При таких условиях можно попытаться вычислить отправителя.IPадрес анонимайзера «[email protected]» – 206.132.3.41. Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IPадрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools». Итак, для начала, проверим, на какие IP адреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная команда берёт хранящуюся на сервере статистику (flowcat), отфильтровывает из нее протокол TCP (flowfilter r6), отфильтровывает трафик, направленный на порт 25 (flowfilter P 25), и агрегирует данные по IPадресу назначения (flowstat f8). В списке DSTадресов (адресов назначения) мы видим интересующий нас адрес 206.132.3.41, причем на него зафиксировано 2 обращения (flow), всего 38 пакетов, 27995 байт. Такое небольшое количество пакетов за целые сутки неудивительно. Анонимайзерами пользуются нечасто, поскольку это хоть и относительно безопасно, но не слишком удобно.Выше мы запрашивали статистику за сутки. Поскольку статистика собирается с интервалом в 15 минут, поинтересуемся, в какой именно интервал времени в течение суток были зафиксированы эти обращения. Поищем их в каждом из четвертьчасовых файлов. То есть произведем поиск, аналогичный предыдущему, но не для всей суточной статистики, а для каждого из 15минутных интервалов (команда «for fin … do»). Упоминание искомого IP адреса нашлось в 2 из 96 файлов. Оказалось, что обращения происходили в интервале 9:309:45 и 14:3014:45, причем во втором случае было передано лишь 2 пакета, а этого недостаточно для полноценной SMTPсессии. Таким образом, все данные следует искать в файле, содержащем статистику за 9:309:45 .Выберем из полной статистики за указанный интервал те пакеты, которые относятся к интересующему нас анонимайзеру. Для этого вместо упорядочивания данных по IPадресу назначения, как в предyыдущих случаях (flowstat f8), запросим полную статистику (flowprint) и выделим из нее утилитой «grep» те потоки, которые относятся к адресу анонимайзера 206.132.3.41. Мы видим, что у всех относящихся к делу пакетов один и тот же source адрес – 81.16.118.238. Это, скорее всего, и есть IP адрес отправителя. Переданный объем информации, 27899 байт, примерно соответствует (с учетом служебных заголовков и шифровyания) длине сообщения, полученного потерпевшим, что косвенно подтверждает правильность нашего вывода.
тем не менее улика все таки косвенная и наказать исходя только из нее не могут другой момент, что легавые будут брать в оборот того самого злоумышленника и искать реальные доказательства. или тупо могут взять на испуг. в общем вывод тут простой: юзать элементарную анонимность даже при работе с анонимайзерами=)
то, что в описанном примере легавые поймали пацана из-за того, что он со своего ip отправлял письмо через анонимайзер. если бы он позаботился о сокрытии реального ip, то на него уже так легко бы не вышли
Ну да странный пацан о анонимайзере знает, а о дедике или других средствах не знает. Хотя статейка познавательная
как минимум использовать double vpn для повседневной жизни и мы уже избегаем метод вычисления, описанный в статье, во всяком случае получаем небольшое преимущество во времени.
открою Тайну, большенство а почти 95% анонимайзеров держит отдел "К" для фильтрации входящего трафига на правонарушения. и все анонимайзеры не ведомственные что бы себя не подставлять, когда видят что происходит не благоприятный пакет трафика для них же регистрируют данные откуда исходит данные. и не забывайте что те же анонимайзеры висят на хостах, хосты покупают у провайдера трафик, а провайдер отслеживает все и вся и данные предоставляют в ведомтсво. поэтому что бы им , как сказал выше , себя не подставлять идет регистрация таких сервисов и контроль пакета трафика) поэтому при запросе Мвд по всем большим провайдером, у которых покупают малые, они выдают даныне как то так)
Сложная процедура и не думаю что этим будут заниматься при небольших суммах. Здесь или банк грабаннуть или принцип. Если с другой страны, то вероятность еще меньше. Тот самый впн поможет ( 100% анонимности не даст, но еще одна преграда будет) И тема не совсем соответствует материалы. впн и анонимазеры похожие но разные вещи.
