不管黑客用了多少跳板，最终是不是可以通过网络运营商找出真实 IP？ 第1页

是的，本质上这是一个成本和代价的问题：

1、如果追查者拥有很大的权力，例如国际刑警组织或者是国际CERT组织，可以协调全球各运营商，通过官方渠道一级一级追踪回去，只要时间足够，是可以追查到最后一级的真实接入的，凯文米特尼克就是这么被下村勉抓到的。

2、如果追查者拥有很高的黑客技术，一级一级反向破解回去，入侵跳板机器并且监听链接，也是可以追查到最后一级的真实接入。

3、有些跳板/VPN/代理/肉机等等本身就是陷阱，用了的话等于自我暴露。有些加密通道已经不再安全，例如SSL和tor，过于信任这种技术也会导致轻易暴露。

4、大数据分析和行为模式分析有可能可以定位到具体的人，哪怕并不清楚这么多层的链接究竟是怎么构建的。

更新

真的是什么水平的都敢上了说两句，一个个都觉得互联网是网吧或者你们宿舍的规模是不是？接入的地方抓个包DPI一下就以为互联网能抓包了？也懒得挨个都怼了，统一回复一下。

• 前提写清楚：运营商！运营商！运营商！别没事就把国家暴力机关扯进来。
• 以现状来说，运营商最多也就是能在接入层，汇聚层这个层面搞这个事情，能解码的也仅限于一些用的多的明文协议，比如HTTP
• 互联网 不等于 HTTP，不要以为人家能解码个HTTP就能把所有流量都解码。
• 跳板 不等于 肉鸡。位置不见得就在接入层，大企业的核心交换机/路由器不见得就是坚不可摧。（咱们是不是还没说大企业内内鬼的问题？），也就是说退一步讲，黑客到第一跳有记录，从第一跳到第二跳恐怕就没记录了。
• 即使运营商自己的范围内，也不是所有流量都是透明的。比如运营商分16个IP给企业A，比如101.101.101.0/28吧，那101.101.101.2和101.101.101.3通信运营商就看不见也没办法抓。
• 同理，企业内部的网络对运营商更是黑箱了。因为严格意义上来说他们并不是运营商网络的一部分。黑客从一个口进去从另一个口出来运营商就抓瞎了。
• 你说我所有出口都盯梢！谁跟你说黑客攻击全过程要挂在跳板上？第一天从一个口进去设个定时，第二天才从另外一个口出去攻击，就算你有所有包都抓下来时间你也对不上。
• 你说企业内部也有日志啊。我真呵呵。且不说这些日志是不是就安全（有没有被篡改过），是不是全面（有应用层面的日志就不错了），我们现在谈的不是运营商吗？运营商能查企业内部日志了？
• 互联网上的IP包不可追踪，除非你把每个交换机的的所有流量都抓下来。因为包的原地址是可以随便写的，强调一下：是外！网！IP！可！以！随！便！伪！造！不是什么私有IP哦。是不是三观都动摇了？这叫IP Spoof。很多人IP Spoof和私有地址都分不清我也是醉了。
• 当然，所有人都能这么做就翻天了。运用商们原则上要确保接入自己的用户不乱来，也就是uRPF机制。原理是接入层面的路由器保证自己发出去的包原地址自己都能处理。但也只能是“原则上”和“自己的用户”而已。当然实施IP Spoof确实需要一些资源，但你怎么知道黑客没有这个资源。要不每年那么多DDOS反射攻击都是哪来的？
• 再多说一句反射攻击吧，攻击者伪装成目标的IP给大量主机发包。这些主机就会给目标IP回包，从而形成DDOS。而整个过程攻击者相当于完全隐身了。
• 原地址可以伪造，目标地址照样可以伪造，虽然难度很大：只要在这个包的必经之路上把这个包拦下来就是了，比如目标地址所在的网段的路由器上。
• 原地址瞎写，收不到回信啊？这还不简单，有效地址写在包里面就行了顺便加密一下就行了。而正常加密的内容都是无法解密的。
• 所以，就算运营商开挂了，所有设备所有的包全抓，那也没卵用。上面写的这些随便应用一下，再把攻击流量时间错开（定个时什么的），你说要怎样溯源？
• 最后一切的前提，我已经默认帮运营商开一个大挂了：假设黑客跳板被攻击方都在一个运营商内。而实际情况是多跳板的话，必然会从其他AS那边绕一圈再回来的。

所以不要简单的给我回什么为啥我觉得运营商那边有记录呢，那玩意是用来管理一般用户的不是用来对付黑客的。

其他的欢迎交流。

评论里有幸遇到一些实际在运营商里做流量控制系统的人，虽然我对国内运营商的所作所为颇有微词，但能把这套系统实际做出来我还是很佩服的。

下面是原答案

不能。

首先，跟大家想的不一样的是：运营商那里是没有通信记录的。因为流量实在太大了，是真的记录不起。一定要记录的话大概相当于要求邮局把所有过往明信片都复印一遍然后存档。

其次，对于过往的数据包，运营商并不知道其内容，也不想知道。人家就是一个送个快递的公司，你网购什么的东西人家真的无所谓。

最后，运营商并没有权力看跳板内的东西，就像快递公司不能随便抄家一样。

假设主机H被跳板X攻击了，要追查的话，运营商的最好成绩也就是能知道在发生攻击的时间前后，有ABCDEFG等IP跟X有过通信。ABCDEFG中有没有跳板，哪个是跳板，光靠运营商自己的力量是无从知晓的。

补充一些技术细节吧，用简单的语言写虽然照顾了照顾了新手，但确实在说服力上欠佳，有人觉得你信口开河也没办法。

运营商不会去抓包，不是说不能，而是实在成本太高了。

能抓100G口的设备大概长这个样，2U服务器X5

这样的一套设备的容量大概是50TB。就算流量50Gbps，50TB大概能撑2个小时。。。

你把EMC最牛B的存储设备装上，大概2PB吧，我记得。能抓1周也就烧高香了。

更坑爹的是这种抓包装置的接入方式。有两种，一种叫in-line，一种叫by-pass

in-line顾名思义，就是串在光纤上抓过往的数据。如果这么接先不说万一这玩意抽风整个运营商的网络跟着抽风，光是凭空多出一步光-电-光的转换就够让延迟爆表了。（低延迟是运营商核心竞争力之一）

by-pass则是在交换机上设置一个专门的SPAN口，所有数据均转发到这个口上，把抓包装置接在这个口上自然可以，这没有增加延迟的问题，也不怕抓包设备抽风。但你总不能指望一个100G的SPAN口监视2个100G的口吧？流量大一点就会丢包（2个100G口的流量合计>100G的时候），想不丢包只能给每个100G口配个100G的SPAN口。真这么干运营商成本立刻翻倍（这种骨干网的成本估算一般都是按平均一个口多少钱这么算的）

而且这折腾了这么久才能抓1个口，所有口都抓谁也烧不起。

所以你觉得运营商是有多闲才会没事蹲坑抓你的包？

倒不是说运用商完全不抓包，而是成本太高，只有明确的范围，时间和目的才会去抓。比如知道黑客以及他10个跳板的IP，然后今晚8～10点进行攻击，才能去抓。

IPS，IDS，DPI什么也同理，因为成本和延迟问题运营商也不回去装。而且这些也只能对已知的包有点作用。经过伪装的包这玩意也都不认识。就连是国家级IPS也是一样。

那运营商就完全没有收集过往数据包信息的动机和欲望吗？或者说运营商查一件过去发生过的攻击真的什么都查不到吗？

那倒也不是。只不过包的内容对于运营商来说真没啥卵用，倒是如果能有办法统计包头，原地址目标地址还有协议什么的，对运营商的traffic engineering确实很有帮助，所以有可能的话运营商也还是很想要这个数据的。

netflow这种技术就是为了满足这种要求而生的。具体实现方式就是由交换机把过往数据包的信息（原地址目标地址端口协议什么的）发往后台服务器。

但如果对每个包都统计，对于运营商这种流量大户来说也是很不现实的一件事。所以运营商的netflow一般都会做取样统计，取样率大概几百～几千分之一（4000，8000相对常见），也就是过往的包中几千个抽1个，统计信息。

所以如果运营商有netflow，还是能查到一些东西的。

下面说结论，不是去运营商那里查就能查出源头的（如果有跳板在其他运营商范围内就更麻烦了），运营商能做的事情真的很有限。

对于运营商能做的要么是对已知的攻击流量进行蹲点，比如有人操作管理大型的僵尸网络。而对于过去攻击的溯源最多也就能告诉你攻击前后跟跳板通信的IP有哪些，还得压上4000分之一的运气。

至于分辨这些IP中哪个是黑客哪个是下一跳哪个是正常用户，那真的是臣妾做不到啊。

当然，也不是说你用了多重跳板就抓不到你了，如果真要查的话，人家也完全联系跳板的真正主人要求配合，甚至可以直接攻破你的跳板（比如境外跳板）然后查日志或者守株待兔。

或者干脆通过走访的方式筛选出下一跳。