如果你的每一條搜索記錄，每一次軟件的操作都被人監(jiān)視，記錄在案，并且加以分析，還寫成分析報(bào)告。一個(gè)真實(shí)的你就如同顯影液中的照片一般逐漸清晰，那么你很可能是一個(gè)被“重點(diǎn)關(guān)照”的犯罪嫌疑人。

性別為男性； （曾搜索關(guān)鍵詞“街頭絲襪美女”、“關(guān)于楊冪黃色的照片”查看圖片，并且 向某貼作者支付論壇金幣索取美女圖片，建議有關(guān)部門向論壇索取數(shù)據(jù)進(jìn)行追查。）

年齡范圍猜測(cè)：15~20；

使用自由門翻墻； （曾經(jīng)下載該軟件。）

喜歡玩“摩爾莊園”游戲，玩PSP游戲機(jī)； （曾搜索關(guān)鍵詞“摩爾莊園大鯉魚什么”，曾訪問網(wǎng)址下載PSP游戲。）

使用Windows XP操作系統(tǒng)；

可能喜歡玩YY等語音平臺(tái)， 使用QQ旋風(fēng)作為默認(rèn)下載軟件；（曾下載YY視頻錄制插件，且默認(rèn)彈出的下載工具為QQ旋風(fēng)。 ）

可能是明星“鐘漢良”的粉絲；（曾查看明星“鐘漢良”的照片，請(qǐng)求來源為百度圖片，搜索關(guān)鍵字為：“鐘漢良”。）

此人可能有近期出行計(jì)劃。（曾在百度搜索“旅行小背包”查看圖片。）

以上內(nèi)容就節(jié)選自這樣一份分析報(bào)告，報(bào)告中這個(gè)“可憐人”的興趣愛好和所作所為一覽無余。但這個(gè)人并不是一個(gè)普通人，他是一個(gè)黑客，同時(shí)也是一個(gè)犯罪嫌疑人。知道創(chuàng)宇團(tuán)隊(duì)正在奉命向公安機(jī)關(guān)提供一份有關(guān)他的溯源報(bào)告（由于保密需要，已隱去大量敏感信息），這里呈現(xiàn)的僅僅是初步信息，通過持續(xù)偵察，還有可能獲得他的真實(shí)IP地址和地理位置。然而， 目前這名黑客很可能還絲毫沒有察覺，對(duì)于他的包圍圈正在越來越小。。。

知道創(chuàng)宇產(chǎn)品部總監(jiān) 金皓

這位黑客“指紋”的采集者，就是知道創(chuàng)宇的產(chǎn)品部總監(jiān)——金皓。作為知道創(chuàng)宇主要產(chǎn)品“創(chuàng)宇盾”的負(fù)責(zé)人，他的團(tuán)隊(duì)剛剛打退了黑客們?cè)诜捶ㄎ魉辜o(jì)念日期間對(duì)某些“敏感網(wǎng)站”的攻擊行為。

黑客如何留下指紋？

我們的指紋庫中有8000萬個(gè)惡意IP，這其中有大約33萬個(gè)活躍的 IP，在這些 IP 背后，就是那些活生生的黑客。無論黑客攻擊是使用真實(shí) IP 還是 VPN 代理 IP，都會(huì)進(jìn)入指紋庫，而黑客的攻擊行為和攻擊路線，也都會(huì)被同時(shí)記錄。

金皓隨手打開一家重量級(jí)網(wǎng)站的安全后臺(tái)，數(shù)據(jù)顯示這個(gè)網(wǎng)站正在承受流量約為7G的CC攻擊。而在凌晨，攻擊流量一度達(dá)到了20-30G。

后臺(tái)顯示某網(wǎng)站被攻擊的實(shí)時(shí)動(dòng)態(tài)和歷史數(shù)據(jù)

在黑客指紋庫里，每一個(gè)IP都會(huì)關(guān)聯(lián)它的歷次攻擊行為，進(jìn)而根據(jù)利用漏洞的能力和攻擊威脅、頻率等參數(shù)被分級(jí)。每個(gè)攻擊者都會(huì)被標(biāo)識(shí)上危險(xiǎn)等級(jí)，滿分為五顆星。金皓告訴雷鋒網(wǎng)：

如果一個(gè)黑客成功利用了一個(gè)0Day漏洞進(jìn)行入侵，那么他就有可能被標(biāo)為五顆星；如果一個(gè)黑客運(yùn)用了罕見的軍用級(jí)別的漏洞掃描器進(jìn)行探測(cè)，也會(huì)被定為四顆星或者五顆星。

除此之外，黑客們還會(huì)被加上各種描述標(biāo)簽。

某黑客的指紋信息

上圖所示，就是一個(gè)黑客的指紋信息。對(duì)于圖中的亮點(diǎn)，金皓解釋說，由于該黑客經(jīng)常搜索各種同性戀“專用詞匯”，所以果斷被貼上了“同性戀”這一標(biāo)簽。。。（關(guān)鍵詞請(qǐng)自行腦補(bǔ)。）

那么問題來了，這些大神們?nèi)绾蔚玫胶诳偷乃阉饔涗浤兀?/p>

其實(shí)邏輯并不難。根據(jù)知道創(chuàng)宇提供的數(shù)據(jù)，“加速樂”、“創(chuàng)宇盾”等產(chǎn)品約保護(hù)了中國大約四分之一的域名。雖然最主流的百度、新浪微博等網(wǎng)站沒有與知道創(chuàng)宇合作，但是這些在”創(chuàng)宇生態(tài)圈“之中的網(wǎng)站仍然提供了大量的“破案線索”。如果一個(gè)危險(xiǎn)IP訪問了知道創(chuàng)宇保護(hù)的網(wǎng)站，它的相關(guān)行為就被記錄了下來。

而瀏覽器的特性決定了在點(diǎn)擊可監(jiān)控網(wǎng)站的前一跳同樣是可以追溯的。也就是說，黑客是通過搜索哪一關(guān)鍵詞，或者通過哪一網(wǎng)頁進(jìn)入監(jiān)控的視野，是一覽無余的。這樣就大大增加了指紋監(jiān)控的范圍，于是在文首提到的黑客，他曾經(jīng)搜索了哪些關(guān)鍵詞，就可以被記錄在案了。

誰是真正的對(duì)手？

過去的黑客可能大多是針對(duì)特定的網(wǎng)站，采取針對(duì)性的方式進(jìn)行攻擊，就像拿魚叉“叉魚”一樣。而現(xiàn)在的黑客，大部分都進(jìn)化成了“撒網(wǎng)捕魚”的“漁民”。

金皓回憶，以往可能兩年才會(huì)曝出一個(gè)國際的通用漏洞，但是現(xiàn)在這種“重量級(jí)”漏洞被爆出來的速度越來越快，幾乎一年就會(huì)出現(xiàn)兩三個(gè)。黑客們利用這種通用漏洞，可以一次性黑掉上千甚至上萬個(gè)網(wǎng)站。所以，在黑客的世界中，那種一條條叉魚的“田園詩”般的生活一去不復(fù)返了，取而代之的是有人專職織網(wǎng)（挖漏洞），有人撒網(wǎng)捕魚（大批量黑網(wǎng)站拖數(shù)據(jù)），有人分銷魚肉（把盜取的信息分類變現(xiàn)）這樣的工業(yè)化流水線作業(yè)。

這樣的轉(zhuǎn)變對(duì)于安全從業(yè)者來說其實(shí)是更簡(jiǎn)單了。因?yàn)樗麄儾挥冕槍?duì)特定的攻擊制定應(yīng)對(duì)計(jì)劃，而是集中精力研究一個(gè)被曝光的通用漏洞，然后批量修復(fù)就好了。事實(shí)證明，在指紋庫中活躍度黑客，大多數(shù)應(yīng)用的都是已經(jīng)曝出的通用漏洞，在33萬活躍的黑客 IP 中，可能有32萬 IP 都在利用已經(jīng)有完整應(yīng)對(duì)策略的漏洞，而真正的高手，正是那不到一萬人的神秘魅影。這些人，才是知道創(chuàng)宇真正的對(duì)手。

“指紋庫中底層的黑客會(huì)不斷變換，而你會(huì)發(fā)現(xiàn)，真正的高手永遠(yuǎn)在榜首。你看不到他們，但他們真實(shí)地存在著。”說到這些對(duì)手，金皓臉上露出了笑容。研究這些四星、五星黑客進(jìn)攻路線的時(shí)候，知道創(chuàng)宇的技術(shù)團(tuán)隊(duì)會(huì)進(jìn)行一些技術(shù)反推，有時(shí)甚至?xí)l(fā)現(xiàn)黑客使用的一些非常有價(jià)值的0Day漏洞。金皓說：“有時(shí)團(tuán)隊(duì)通過追蹤黑客的指紋發(fā)現(xiàn)的重大漏洞，甚至比自主研究得到的漏洞還多。”

收集黑客指紋的內(nèi)部系統(tǒng)界面

白帽子的反擊戰(zhàn)

對(duì)于金皓來說，即使黑客的攻擊指紋再豐富，犯罪證據(jù)再確鑿，他也沒有任何權(quán)利進(jìn)行反擊。原因不言自明——“打人犯法”。

不能還擊，至少可以捂臉。黑客指紋實(shí)際上對(duì)諸多IP構(gòu)建了一個(gè)信用評(píng)級(jí)體系，如果一個(gè)IP被列入了黑名單，受保護(hù)的網(wǎng)站可以選擇不接受這個(gè)黑客的一切訪問請(qǐng)求，如果一個(gè)IP的威脅級(jí)別沒有那么高，那么網(wǎng)站可以在知道創(chuàng)宇的協(xié)助下響應(yīng)一部分請(qǐng)求。

然而，這些都不過癮。我們要的，是！反！擊！

其實(shí)，包括知道創(chuàng)宇在內(nèi)的諸多安全公司手里都掌握著各式“兇器”——0Day漏洞，可以通過種種方法對(duì)黑客進(jìn)行反黑。只不過，正當(dāng)防衛(wèi)需要一把“尚方寶劍”，那就是神秘的“有關(guān)部門”。

這種反制在國內(nèi)的黑客身上比較有效。金皓為雷鋒網(wǎng)舉了一個(gè)栗子：

一名看起來經(jīng)驗(yàn)不太豐富卻膽大包天的黑客攻入了北京某大學(xué)網(wǎng)站，網(wǎng)監(jiān)部門在知道創(chuàng)宇的技術(shù)協(xié)助下，把黑客的身世翻了一個(gè)底朝天。

確定了黑客的職業(yè)——電腦維修店老板；

定位到了黑客的活動(dòng)范圍（下圖所示）；

拿到了黑客的工作流水賬本（下圖所示）；

找到了黑客本人。

對(duì)此，金皓的評(píng)價(jià)是：“沒想到修電腦比做安全賺錢多了！”

在黑客電腦里起獲的賬目流水

黑客的活動(dòng)范圍（黃線以內(nèi)）

“狡猾的狐貍”仍在和“好獵手”周旋

黑客不可能瀏覽一切網(wǎng)頁都掛代理，所以理論上只要時(shí)間夠長(zhǎng)，黑客的真實(shí)身份（IP）都會(huì)暴露。但是，面對(duì)最狡猾的狐貍，再好的獵手也顯得辦法不足。金皓說，如果有黑客足夠小心，無論做什么都用虛擬機(jī)，那么他的指紋將很難采集。這些黑客，往往會(huì)做出非常有破壞力的事情：

有些全球性的0Day漏洞在剛剛曝出的幾小時(shí)內(nèi)，一些有特殊目的的黑客就會(huì)在網(wǎng)站還沒有防護(hù)能力的時(shí)候黑進(jìn)去。埋下后門，然后潛伏不動(dòng)，有的甚至可以潛伏數(shù)年，在他認(rèn)為最合適的時(shí)候一舉進(jìn)行攻擊。對(duì)于某些后門，如果不進(jìn)行代碼級(jí)別的排查，是根本不可能發(fā)現(xiàn)的。

如果這樣的黑客進(jìn)行攻擊，是非常難防范的。于是，苦逼的知道創(chuàng)宇團(tuán)隊(duì)針對(duì)政企客戶開發(fā)了一個(gè)名為“防黑鎖”的東東，即使黑客改了網(wǎng)站首頁圖片，也并不會(huì)被普通瀏覽者看到。這算是下策。

而真正困擾金皓的，還是指紋數(shù)據(jù)的規(guī)模。目前知道創(chuàng)宇的用戶雖然不算少，但是仍然不能形成“遮天蔽日”的局面。只有黑客同知道創(chuàng)宇的用戶發(fā)生了“聯(lián)系”，其“指紋”才有可能被采集。從這個(gè)角度來看，還有非常多的黑客沒有進(jìn)入金皓的視線。對(duì)他來說，讓更多的人使用自己的產(chǎn)品，才是讓黑客無處遁形的最好途徑。