※ 引述《Sodium (Sodium)》之銘言： : 大家都有接過偽造的來電顯示吧 : 明明是詐騙電話 卻顯示某銀行的號碼 : 反觀電腦網路IP : 為什麼偽造一個假的IP卻辦不到?? : 技術不是都一樣嗎 : 有沒有高手鄉民可以解一下卦? 其實電話號碼沒有被竄改，我家有個 2001 年左右買的第一代來電顯示電話， 詐騙集團打來很明顯就能在號碼前面看見有一串 009 之類的數字。 在智慧型手機不普及的年代我也接過幾次，前面都顯示 009， 但對方卻非常篤定自己是某銀行的號碼，當時我覺得對方莫名其妙， 後來才知道好像比較後期的來電顯示話機不會顯示前面那串 009。 前幾年從蘋果手機上接到這類詐騙電話，有留意到來電號碼開頭多了一個 + 號， 對方也對自己偽造的能力很有自信的樣子，我請對方撥我市話再談也不疑有它， 結果一撥來就現形了，在我的老電話上前面還是有 009 顯示出來。 其實以前也有宣導過來電號碼前面有 + 號是國際電話撥來的，只是很少人在聽。 但我更疑惑的是為什麼近年的電話和手機不會乾脆把前面 009 之類的數字顯示出來就好。 這方面就要請電信專長的板友來幫忙解惑一下了。 偽造 IP 的話當然可以辦到，早期用 UDP 封包炸人就可以任意偽造來源 IP 位址。 後來的一些 DDoS 攻擊技術也大都和 UDP 脫不了關係，因為這是可以射後不理的協定。 但是偽造 IP 就像你寫傳統書信偽造你家地址，就不能期望對方能回信到你家一樣， 不管用 TCP 協定還是 UDP 協定，你偽造來源 IP 就沒辦法跟 PTT 主機產生互動。 這是比較通俗易懂的說法，前面已經很多人解釋過了 TCP/IP 原理，這邊不再重複。 這邊要說的只有 IP 的確可以偽造，但不管你跟 PTT 主機連線採用哪種協定， 你偽造了 IP 就無法跟 PTT 主機正常通訊，也不可能登入、發文或推文。 前面有很多人提到 VPN，實際上 VPN 並不是偽造 IP 的技術。 這就好像以前大學都會開放工作站給學生用 telnet 連上， 有些住大學宿舍用宿網的學生不敢在 BBS 上顯示出自己寢室的 IP， 就會先連到學校工作站，再連上 BBS 發廢文，這樣大家就不知道他住哪間房。 只是如果惹到同校學生，其他學生登進同一台工作站的話還是有機會抓到他是誰。 立法院資訊處說的是： 「210.69.138.169之IP為本院中興大樓（立委研究大樓）2、3樓對外IP之代表號」 這代表只要是從中興大樓 2、3 樓連到外面，顯示出來就一定是那個 IP。 其實這就只是 NAT 技術而已，講白了就是很多人家都有的 IP 分享器用到的技術。 這兩層樓電腦被分配的 IP 都是 192.168.*.* 或 10.*.*.* 這類虛擬 IP， 然後連外會共用 210.69.138.169 這個 IP 而已。 我是不知道那兩層樓有多少立委辦公室， 如果有很多間立委辦公室，這 IP 就不能直接把某個特定立委定罪， 只能說有辦法走到這兩層樓附近的任何人都有嫌疑而已。 至於「根據現行通訊技術，IP 也可以遭偽冒」這句，偽冒是指偽造或冒充。 偽造前面說過了，和 PTT 主機通訊來說，偽造來源 IP 可行，但無法登入和發文推文。 冒充就是前面講的跳板類手法，只要碰得到那兩層樓電腦設備的人都辦得到。 在現代比較常見的例子就是沒密碼或容易破解的 WiFi 分享器， 這樣就算不用走到那兩個樓層去，只要人在附近一樣可以冒用那兩層樓的對外 IP。 更早期又古老的方式是拿數據機接上辦公室電話線， 用電腦當 telnet 伺服器去接聽撥進來的電話，再從第三地拿數據機撥接進去， 撥接進去以後，就可以用各種方法轉連到 PTT 上發文推文，顯示的也是那個對外 IP。 這方法老歸老，但是在現代要幹這件事甚至不需要老人們認知中的電腦和數據機， 這電腦+數據機+有線/無線網卡的設備可以做到非常小，還能靠電池供電就能運作一陣子。 不過講真的，我是覺得不會有人無聊到要大費周章搞這些有的沒的玩意。 的確 IP 是可以透過五花八門的手法達成冒充目的， 但不經意地在這兩層樓以正當手段使用該處電腦上 PTT 留下足跡的機率還是比較大。 只是光從這個 IP 的確無法鎖定是誰或哪個辦公室，只能從其它線索推敲和臆測。 目前已知是某位網友用了一些方式搜尋，發現某立委人馬似乎比較常在 PTT 活動， 所以提出了合理懷疑，認為這些人之間可能有所交集而已。 畢竟如果某西瓜田的西瓜被偷，會被懷疑的自然是曾經路過西瓜田並且被誰看到過的人。 這樣的懷疑很正常，但不代表犯人只可能會在那些人裡面。 另外那句「或論壇平台遭受入侵，竄改紀錄。」只是通用說法，沒什麼意義。 任何人都可以懷疑別人的資安沒有做好，這邊只是純粹提出了一個可能性。 就像你到路上隨便找一個人說他家可能會被闖空門，別人也無法直接舉證說不可能一樣。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.18.57 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1575723003.A.3EF.html DNS 查詢功能其實也是走 UDP 協定，只是故意把來源 IP 填成被攻擊者。 炸人的確不一定要走 UDP，Wordpress 那個 XMLRPC 也是可以偽造來源去炸人， 不過那是 TCP 而且偽造的部分在第七層，所以看 httpd 的 log 就能追蹤到來源了。 當然來源通常只是攻擊者的一個跳板，不太可能是他本人使用設備的 IP。 辦公室私設的 wifi 和數據機撥入都是直通區網，內網連 PTT 一般不會抵觸防火牆規則。 對防火牆來說那只是區網下的某個設備要連上 PTT 而已，很難做其它過濾。 ※ 編輯: tinlans (220.135.18.57 臺灣), 12/07/2019 21:14:46 大部分防火牆都是過濾 inbound 連線居多，更進一步要濾除非是 layer 7 防火牆。 但立法院會不會放這種東西我很懷疑，一般是大學要封 P2P 才會進這種設備。 那種已經是 NAT 的環境，要偷懶的話甚至會直接把 NAT 視為防火牆。 外面主動連到裡面沒設 porting forwarding 就無法連，不少人就省了真正的防火牆。 當然這不能排除 teamviewer、anydesk 這類能穿透 NAT 的遠端桌面工具造成的問題， 辦公室有人電腦 24 小時開著又不小心讓這些連線密碼被人知道的話，是有可能被冒用。 ※ 編輯: tinlans (220.135.18.57 臺灣), 12/07/2019 21:23:27 router 綁 MAC 這招是可以防止未申請授權的數據機被有心人士偷裝進立委辦公室。 不過如果是盜用已經申請過的私人 wifi 分享器就無法防， 因為常見的 wifi 分享器內部還有一層 NAT， router 那邊實際看到的 MAC 全都會是 wifi 分享器的 MAC。 但盜用 wifi 這已經算是一種入侵，和你說的也沒有什麼抵觸。 ※ 編輯: tinlans (220.135.18.57 臺灣), 12/07/2019 21:30:12