我们来假设一个案例：163.com主站被入侵，服务器硬盘全部多次格式化，并且重复读写垃圾数据，导致硬盘数据无法进行恢复，损失惨重。于是在召集专家紧急修复服务器数据的同时，163.COM公司迅速向广州网监报案。广州网监介入调查，追踪此次入侵者！
如果你是入侵者，你面对这样的情况。你会怎么办？其实很多同行在侵入别人网站、服务器、内部网络的同时，都不太懂得如何保护自己。如果你们不注意隐藏自己，用不了一天，网监部门就可以锁定你！，如果隐藏的好，等这个案子过了法律追究期限，就是个无头案。
在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上，也会记录进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。
公安部门在锁定做案者的时候，首先就是要找到做案者，如何找到？最重要的就是追踪IP了。
我们来了解下一些ADSL宽带接入常识。众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP一般带宽在4M以上，而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候，ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如：2008年8月8日8时8分8秒，btm4545455（宽带帐号），拨入IP：58.53.1.5，操作系统：Windowsxp，拨号电话：07284544562。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在！而且更详细，我这里只是简单列举了他记录的一些主要数据！
另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP！
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧？

我们再谈谈公安部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓？而要获取到作案者地理位置和真实身份的唯一手段，就是“IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道。其实你使用的IP，只能说是互联网的“身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到ISP服务器。同样，这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机，才能继续追查他的使用者。
好的，我们现在回到前面，我们前面说了，假设163.COM公司报案后，公安部门通过分析，在WEB服务器系统上以及网关上面（无法擦去）均找到了连接并入侵系统的IP地址：211.1.1.1，这个时候公安部门调查发现，这个IP是来自日本的。这就是说`入侵者是日本人？这其实只是一个假象。
当查找一个入侵者的时候，很重要的一个环节就是查路由日志，大家都知道，当你的IP访问一台服务器的时候，就会经过非常多的路由器，也就是说不只一台路由记录了你曾经到访过的IP，这也是可以追查到的。同样，即使你使用国外肉鸡来连接入侵163.COM，公安同样会追查到你。那他们是如何做到的？答案很简单，公安部门是有权利要求电信部门配合，提供路由日志，具体提供到有那些IP曾经路由到211.1.1.1这个IP上面，这样就可以抓住你了。当你被抓的时候，别想为什么明明用了代理，还是被抓？其实很简单，因为单单是一层，那是很容易被破解的，尤其是代理！代理协议都是很简单的，被破译一点也不难。
所以大家不要随便相信代理这种基本没有任何安全性可言的东西。而怎么样才能逃避追踪呢？公安部门追踪入侵者，只能从IP下手，我们逃避掉IP，基本就没有危险了。如何逃避？我说下，我一般“检测”站点服务器所用的方法。根据威胁性质一般对很危险的网络使用“E级防护”：直接侵入服务器的是北京某高速IDC服务器A，它的后面还有：湖南IDC服务器B、山东IDC服务器C、韩国服务器D、台湾安服务器E、本人电脑F。这里的各地服务器我用A、B、C、D、E、F代替，刚才已经写清楚了，首先，我们连接的是E，然后在E号服务器里使用3389终端连接韩国D号，然后D号再3389连接进入山东服务器C号，然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样，在操作过程中，被入侵的服务器一切记录都指向北京A上。
当连接到台湾E号的时候，我的一切操作就是E完成的，我仅仅是得到传输回来的图形界面（也就是截图差不多的），所以一切操作就是E完成的。这个时候E路由到了D号韩国，所以E号的路由就不是我们的了，就是台湾ISP服务商的路由了，大家明白原理了吧？公安只有权利查国内电信部门的路由日志，他们可以查到一个IP路由到了国外，但是绝对不可能查到一个真正的国外计算机傀儡背后是谁？为什么呢？因为当E号台湾操作D号韩国的时候，他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候，才有可能被查到。为什么呢？因为前面的A、B、C都在国内，只要在国内，都有可能被追踪到！例如：继续回到案例假设中，这个时候公安查到IP：211.1.1.1，假设他是北京A号，好的，连夜中公安赶到北京电信，通过电信的配合查知是某IDC托管商处的服务器，分析完这台傀儡服务器，通过分析记录日志，得到我们的B号傀儡服务器，好的，连夜赶往湖南电信，在湖南电信的配合下查到又是一台IDC托管服务器，素闻湖南人热情好客，果然不错，在IDC的盛情款待和大力配合下和公安们奋勇拼搏、大力牺牲的情况下，查到了我们的山东C号服务器。这个时候，劳累的公安在休息了一晚后，继续赶往山东，在当地电信的配合下，查到这个IP又是属于某IDC机房的。于是在分析完日志后，公安知道曾经在吻合的时间和背景下连接到这台C号的IP是：203.1.1.1，而这个IP来自韩国，怎么办？其实公安这样要求国内ISP服务商配合调查，开启路由提供日志的几率是很低的。如果要跨国办案，只有一个可能，就是前往韩国，好的，既然是假设，我们就要假设完。在拿到去韩国的机票后，公安来到了韩国，在当地警方的大力配合和盛情款待后，通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器的IP地址所在机房。在万分之一的几率下，又通过韩ISP的配合，居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾22.1.1.1，公安奋力拼搏，拿到了去台湾的机票，终于终于获得了台湾警方的配合。终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。终于，在万万分之一的几率下取得源入侵IP23.1.1.1来自中国湖北某地，于是公安杀红了眼前往湖北，终于在当地ISP的配合下，通过系统记录的拨号记录，终于查找到这位仁兄。可是公安们发现已经过了刑事追究期限，不过这已经是有了中500亿美金的运气了。说实话，比尔盖茨把他500亿的财产送给你的几率，都比查到源IP的几率高！
再说说国外的D号和E号，当查到C的时候，也不知道是什么年代了。去查一台多次格式化，并且读写很多次的服务器的入侵日志，怎么说都不可能，除非有路由和网关日志。那东西能在几个月后查到的几率是0，按国内公安办案速度，一般等个一年两年，才有可能去韩国。那个时候，人家服务器换没换。我就不知道了，这个时候能幸运的查到台湾E号，几率确实比微软老总送你500亿的几率高。而在几年后，ISP可花不起这个钱和设备来监视一个普通人几年，并且还保存几年数据，要知道，如果一个省的ISP监视一个省的上网数据，一天的数据就够装几万G了。不知道得用什么东西装，更别提解密了。就算找到你，也没证据证明是谁入侵格式了163.COM的硬盘！
我一般是使用5台，3台国内肉鸡，2台国外肉鸡。我采用的连接方式是，完全暴露的A号国内，B号国内，C号国外，D号国内，E号国内，F号本机。我连接E号，然后连接D、C、B、A。注意E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式，然后你在本机连接IP127.0.1，就可以成功连接E号。这样我在E号留的WINDOWS日志记录IP全部就变成了127.0.0.1，这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候，也只能看到我连接了127.0.0.1。而路由只能证明我和对方服务器建立了连接。
以上隐藏方式，为亲身使用过，并非胡乱猜想。(本文转载网友博客，稍有改动)

软文

不会，太复杂了。但现实中说几句真话也被公安跨省抓捕，也确实叫人心寒。社会进步到连良知都沦陷的时代，不知是喜还是忧？难道最安全的做法就只有全民保持沉默，回归三岁的童年！