样本——包括从暗网上购买的数据库、从开源项目中提取的特征、以及从联盟自己的网络设备中采集的数据。
第二个挑战,是如何处理加密通信。现代的加密技术,使得通信内容对第三方不可见。但“幽灵”系统不需要解密通信内容,它只需要分析通信的元数据——比如数据包的尺寸、发送时间、协议头部等——就能推断出通信双方的身份和位置。这种方法,被称为“流量分析”,是一种古老但有效的技术。
第三个挑战,是如何绕过饲主网络的反追踪措施。饲主网络的技术团队,显然也非常专业。他们在通信中使用了多层代理、VPN、Tor网络等多种匿名化技术,使得追踪变得极其困难。影子不得不开发多种绕过技术——包括代理链分析、时序分析、以及水印标记等。
三、突破
在开发过程中,影子遇到了一个瓶颈——他始终无法穿透饲主网络使用的最后一道代理层。这道代理层,似乎使用了某种定制的加密协议,使得所有的流量分析技术都失效了。
影子花了整整一周时间,尝试了各种方法,但都没有成功。他开始感到沮丧,甚至怀疑自己是否能够完成这套系统。
就在他几乎要放弃的时候,一个偶然的发现给了他新的灵感。他在分析一段捕获的通信数据时,注意到一个细微的异常——某个数据包的TTL值,比其他数据包少了一。TTL值是IP协议中的一个字段,用于限制数据包的生存时间。每经过一个路由器,TTL值就会减一。如果某个数据包的TTL值比其他数据包少一,说明它经过了一个额外的路由器。
这个发现,让影子意识到,饲主网络的那道定制代理层,可能并不是真正的“最后一道防线”。在那道代理层之后,可能还存在一个隐藏的路由器。这个路由器,由于配置错误,泄露了自己的存在。
影子顺着这个线索追踪下去,最终发现了那个隐藏路由器的IP地址。那个IP地址,位于俄罗斯的一个数据中心。他进一步入侵了那个数据中心的系统,找到了那台路由器的日志。日志显示,在最近几个月里,有多个IP地址通过那台路由器与饲主网络的服务器进行通信。
那些IP地址中,有一个引起了影子的特别注意。那个IP地址,属于一家位于瑞士的私人银行。而这家银行的客户名单中,赫然出现了一个名字——赫尔曼·冯·克莱斯特。
四、系统的完成
找到了赫尔曼的银行账户信息后,影子终于完成了“幽灵”系统的开
本章未完,请点击下一页继续阅读!