DDOS 能否 trace到攻击者？

[Hao Xu]

最近因为和朋友（傲娇妹子）打嘴仗，被妹子喊人DDOS了 server，具体应该是挂掉了我的 mysql。

请问各位这种情况可以追踪到攻击者么？

[Feng Bao]

我认为不能.    几个攻击者能发起DDOS吗?  DDOS不是得利用大量的计算机吗?

2014-09-12 13:03 GMT+08:00 Hao Xu <xuha...@gmail.com>:

最近因为和朋友（傲娇妹子）打嘴仗，被妹子喊人DDOS了 server，具体应该是挂掉了我的 mysql。

请问各位这种情况可以追踪到攻击者么？

--
-- 来自USTC LUG
请使用gmail订阅，不要灌水。
更多信息more info：http://groups.google.com/group/ustc_lug?hl=en?hl=en

---
You received this message because you are subscribed to the Google Groups "USTC_LUG" group.
To unsubscribe from this group and stop receiving emails from it, send an email to ustc_lug+u...@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

[Hao Xu]

应该是走的肉鸡。。这个的追踪可能要多级跳转吧？

在 2014年9月12日星期五UTC-4上午1时08分27秒，暴风雨写道：

[Guo, Jiahua]

……你的 mysql 有对外的端口么？

2014 年 9 月 12 日 下午 1:03于 "Hao Xu" <xuha...@gmail.com>写道：

最近因为和朋友（傲娇妹子）打嘴仗，被妹子喊人DDOS了 server，具体应该是挂掉了我的 mysql。

请问各位这种情况可以追踪到攻击者么？

--

[Zhang Cheng]

如昨天有人在qq群里提到的，现在许多攻击者是这样控制肉鸡的，攻击者不直接连接肉鸡的机器，而是所有的肉鸡都join到一个irc的房间里，然后攻击者只需要在这个房间里说话（发命令）即可，肉鸡就开始干活了。所以，控制者跟肉鸡之间没有直接的接触，因此即使你有所有肉鸡的ip地址，甚至你也能渗透到一些肉鸡的系统里，你也很难找到攻击者。攻击者也可以美进行一次攻击之后，让所有的肉鸡都换一个room，基本上就找不到踪迹了。

当然了，这事都不是绝对的，也要看对方的水平以及做事是否谨慎。另外也看你的背景了。比如之前我在qq群里提到的，如果有政府后台，可以直接去向腾讯啊以及其他企业索要你怀疑的对象的聊天记录、邮件等各种信息，以此作为证据抓住对方。

--

Cheng,

Best Regards

[Bojie Li]

是应用层的攻击还是流量攻击？

如果是流量攻击，一般是伪造 IP 地址的 UDP 流或者利用开放递归 DNS 服务器做跳板的放大攻击，这基本上追踪不到来源。不过，鉴于现在云平台都有流量清洗系统和比较大的带宽储备，这种攻击成本比较高还未必奏效。

如果是应用层攻击，那么肉鸡要跟受攻击的机器建立 TCP 连接，这就暴露了肉鸡的 IP 地址。要追踪肉鸡的控制者，就要设法知道至少一台肉鸡的网络连接情况。或者是通过运营商（比如政府或大公司受攻击了就会这么干），或者是你想办法入侵这些肉鸡中的至少一台。

肉鸡的控制方式据我所知主要有几种：

1. 主动连接特定的 IP 地址获取命令，这是最容易处理的，事实上大多数木马就是这种模式。

2. 加入一个公共 IRC channel，这就要等该 IRC channel 发出下一条攻击命令，然后再查该 IRC 命令的来源。

3. 采用 P2P 方式传播命令，这是比较难处理的。（事实上，P2P 系统本身就可能被用作 DDoS）追查 P2P 系统里攻击命令的来源，就像在比特币系统里追踪资金的来源，我不知道怎么做。据说，有实力的安全机构会在一些大型 botnet 里部署蜜罐，以获取这些网络的拓扑结构。

查到了肉鸡的控制源 IP，距离抓到肉鸡的控制者还有一段距离。这个 IP 可能是另一台肉鸡，可能是 Tor 连接到 Internet 的最后一跳。如果是另一台肉鸡需要重复上面的步骤。如果是 Tor，个人基本上没法查下去了，但安全机构事先部署的蜜罐在监视着 Tor 网络的拓扑结构，这就为进一步追查提供可能。

事实上你的朋友很可能不是自己抓的肉鸡，而是到大型 botnet 里买了肉鸡。botnet 可以大到上千万台机器，我想这么大规模的网络一定已经被追根溯源了。如果始作俑者（一般就是木马作者）没有被绳之以法，那可能是跨国法律上的问题。但抓住了人不代表 botnet 的消失，肉鸡上的木马仍然在运行，控制网络仍然存在，有可能被其他人利用。

之所以肉鸡这件事情难办，我觉得根本上还是因为 Internet 缺乏管理，运营商之间互相扯皮。一提到互联网管理和监控，崇尚网络自由的人就会跳出来。在 Internet 上，美国人想查中国的肉鸡就很麻烦，如果这些肉鸡是俄罗斯人控制的，查出始作俑者就更麻烦。不过，假如 Amazon EC2 里感染一批肉鸡，并在数据中心内部对 EC2 的客户发动攻击，我相信这个 botnet 一天内就会被消灭。因为数据中心里的虚拟机和网络都是统一控制的，大公司的安全部门也不是吃素的。

这些都是道听途说，我没有实战经验哦，不要请我喝茶~

On Fri, Sep 12, 2014 at 1:03 PM, Hao Xu <xuha...@gmail.com> wrote:

最近因为和朋友（傲娇妹子）打嘴仗，被妹子喊人DDOS了 server，具体应该是挂掉了我的 mysql。

请问各位这种情况可以追踪到攻击者么？

--

[GMail]

给赞~师兄我特别好奇的是在这个年头了，Windows 的系统防护都做得很全面了，肉鸡都是些什么样的机器呢。

我以前还真不知道肉鸡在哪买。

-- 
Hao Xu

University of Science and Technology of China

在 September 12, 2014 02:01:36, Bojie Li (boj...@gmail.com) 写到:

You received this message because you are subscribed to a topic in the Google Groups "USTC_LUG" group.
To unsubscribe from this topic, visit https://groups.google.com/d/topic/ustc_lug/zQbR10FaoHI/unsubscribe.
To unsubscribe from this group and all its topics, send an email to ustc_lug+u...@googlegroups.com.

[Feng Bao]

我以前还真不知道肉鸡在哪买。

我现在也不知道 到哪里买?   哪里有'农贸市场'? 

[Bojie Li]

我也不知道肉鸡在哪买，这种灰色或黑色产业链我不想染指。

Windows Vista+ 的机器对安全做了很多改进，使得木马的日子越来越不好过了。木马如果是个独立的进程，发起个网络连接，Windows 防火墙会立马弹出警告。但注入到浏览器或系统进程里的木马就无法被防火墙发现了，所以木马都希望找个“宿主进程”，而注入到其他进程是需要管理员权限的。Windows Vista+ 通过 UAC 加强了权限控制，使得木马不能轻易获取系统最高权限。当然，如果是浏览器漏洞，注入到浏览器自身，这就不好说了。

而且不要忘了 20% 的 XP 机器，装了各种流氓软件、破解软件和不可信软件的机器……

[Zhang Cheng]

2014-09-12 14:19 GMT+08:00 Bojie Li <boj...@gmail.com>:

我也不知道肉鸡在哪买，这种灰色或黑色产业链我不想染指。

Windows Vista+ 的机器对安全做了很多改进，使得木马的日子越来越不好过了。木马如果是个独立的进程，发起个网络连接，Windows 防火墙会立马弹出警告。但注入到浏览器或系统进程里的木马就无法被防火墙发现了，所以木马都希望找个“宿主进程”，而注入到其他进程是需要管理员权限的。Windows Vista+ 通过 UAC 加强了权限控制，使得木马不能轻易获取系统最高权限。当然，如果是浏览器漏洞，注入到浏览器自身，这就不好说了。

而且不要忘了 20% 的 XP 机器，装了各种流氓软件、破解软件和不可信软件的机器……

​说到肉鸡，我又想起大一时的一件“趣事”。​

当时我的电脑不幸中毒了，我就手动查了一下，发现这东西会定期从一个ftp下载最新的文件，而这个ftp的用户名和密码是明文写在一个配置文件里的。于是我登录了那个ftp，很happy的发现这个账号居然有写的权限！于是我就将ftp上的exe文件给替换成了一个同名的空文件。过了大概两三天吧，那个人终于发现了，给换回去了。于是我又替换了，这次对方很快就发现了，我就开始猜测对方是怎么发现的，也许是裸看文件的大小吧，于是我就替换了一个大小完全一样的文本文件，结果这次果然，过了一个星期才被发现。对方急了，在ftp里面留了一个文本文件求饶，还留了qq号。我就联系了他。跟他聊天的过程中了解到，他是一个初中辍学的学生，没有什么技术，从黑客哪里买一些木马程序（黑客也会定期给他更新），他就负责搭一个ftp，然后把这些程序想办法传播出去（他自己完全不需要写代码，其实他也完全不懂这是怎么工作的，反正黑客告诉他要一个ftp，让他管着就行）。然后呢，随着中毒的人越来越多，其实就是肉鸡的数量越来越多，他就可以反卖给黑客，几块钱一个吧，所以其实也挺赚钱的。黑客为什么不自己维护呢？我猜测为了规避风险吧，因为他不参与分发，而他肯定也不会实名与分发的人沟通，所以很难查到这些黑客是谁、在哪里。

当然了，现在的病毒肯定不会那么弱智了，不太可能把服务器账号密码明文写下来。但是我猜这种分发的形式可能还是会存在。职业的“黑客”或者“骇客”都会非常注意隐藏自己，许多事能不自己亲自做就尽量不亲自做，如果必须要亲自做的事情，肯定也会带许多层套，不会轻易暴露自己。肉鸡市场，我不知道在哪里又，但是我相信只要我想买，还是很容易找到渠道的。

除了木马以外，其实许多软件的公司都不老实，比如qq、360等软件，这些软件都可以接受公司的指令来做一些事情，而且这些都是放在明面上的功能，他们不能抵赖的（例如用企业qq，管理员可以强制在所有人的电脑上安装某个软件，360可以强制大家更新某些系统补丁等）。有这样的功能，那么事实上所有的机器都成了肉鸡，至于我们的机器是否会被他们用来做坏事，我们就无法去证明了。

我以前在水木上看到某软件说，有人DDoS他们，他们查了一下，从流量特征看基本可以确定是360（当然也无法证明了）。360（那就假装真的是360吧）攻击时很狡猾，攻击流量中基本没有来自大城市的，都是些二三线的小城市，而且360有非常完善的ip库，基本上可以确认哪些ip属于it公司的，这些客户端也不会被用来发起攻击（怎么确认？很简单啊，例如只要发现你这台机器上装了一些开发工具的，就可以直接把你忽略掉了，因为你很可能有能力发现它在干坏事，同网段的机器也基本可以当作危险客户端而排除掉）。所以大家很难取证360的行为（除了判断是否it公司、是否大城市以外，肯定还会判断别的东西，例如看你是否装了抓包工具啊之类的）。拥有大量客户端的公司都有这样的能力，我这里虽然描述时写的是360，但我相信不仅360干这样的事情，没几个公司是“好货”。

​再岔开话题说一些，我觉得像腾讯、360、迅雷这些公司，对中国骨干网拓扑的架构甚至比几大运营商都熟悉。我跟一些运营商接触过，一般市一级的运营商都接触不到全国的拓扑，只有自己市里的一小部分。ip库就更乱了，许多ip地址可能运营商自己也无法跟踪使用情况，比如有一些ip被小运营商“偷”去用了，他们也未必都能查清。但是有大量客户端的公司就不一样了，比如腾讯，他可以非常准确的判断每一个客户端的地理位置（例如监视你上的本地服务的网站都在哪里、例如看你登录同账号的移动设备在哪里（移动设备可以用gps、蜂窝网络定位，精度非常高）等等），所以腾讯其实可以将每一个ip精确的定位到街道这一层，也能识别哪些ip地址是小运营商用来做NAT的，他们手里的ip库的精度，估计电信、联通等没有一家能跟他们比。前两天也在qq群里讨论过，这些公司也对中国的骨干路由有很强的控制能力，所以，从某种程度上来说，这些大公司控制着整个中国互联网的基础设施，而不是那些运营商，这些运营商只是个傀儡而已。​

国外的公司就“守规矩”么？不见得。我记得我第一次将一个android手机带到学校的实验室，我确信当时实验室里从来没有人用android手机连接过wifi，我特意实现取出了sim卡再去实验室，然后开机连wifi，发现google map居然精确的将我定位到电三楼的西半部分，当时震惊了。后来想了想，即使我没有插sim卡，android仍然可以收到蜂窝网络的信号，能够用这个信号来定位。学校的人比较多，所以基站数也会比较多，精度就会比较高。我于是就在想，google为什么在欧洲需要开小车出去采集wifi呢？所有的android设备都可以成为这个“小车”，可以把所有途径采集到的wifi信号的经纬度全都发回去就好了。或许google还是有那么点“不作恶”吧，觉得在用户不知情的情况下采集他们的wifi和经纬度信息是不合适的（开小车出去采集也是很有争议的事情，也打过官司）。

--

Cheng,

Best Regards

[Thomas Copper]

2014-09-12 19:15 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

2014-09-12 14:19 GMT+08:00 Bojie Li <boj...@gmail.com>:

我也不知道肉鸡在哪买，这种灰色或黑色产业链我不想染指。

Windows Vista+ 的机器对安全做了很多改进，使得木马的日子越来越不好过了。木马如果是个独立的进程，发起个网络连接，Windows 防火墙会立马弹出警告。但注入到浏览器或系统进程里的木马就无法被防火墙发现了，所以木马都希望找个“宿主进程”，而注入到其他进程是需要管理员权限的。Windows Vista+ 通过 UAC 加强了权限控制，使得木马不能轻易获取系统最高权限。当然，如果是浏览器漏洞，注入到浏览器自身，这就不好说了。

而且不要忘了 20% 的 XP 机器，装了各种流氓软件、破解软件和不可信软件的机器……

​说到肉鸡，我又想起大一时的一件“趣事”。​

当时我的电脑不幸中毒了，我就手动查了一下，发现这东西会定期从一个ftp下载最新的文件，而这个ftp的用户名和密码是明文写在一个配置文件里的。于是我登录了那个ftp，很happy的发现这个账号居然有写的权限！于是我就将ftp上的exe文件给替换成了一个同名的空文件。过了大概两三天吧，那个人终于发现了，给换回去了。于是我又替换了，这次对方很快就发现了，我就开始猜测对方是怎么发现的，也许是裸看文件的大小吧，于是我就替换了一个大小完全一样的文本文件，结果这次果然，过了一个星期才被发现。对方急了，在ftp里面留了一个文本文件求饶，还留了qq号。我就联系了他。跟他聊天的过程中了解到，他是一个初中辍学的学生，没有什么技术，从黑客哪里买一些木马程序（黑客也会定期给他更新），他就负责搭一个ftp，然后把这些程序想办法传播出去（他自己完全不需要写代码，其实他也完全不懂这是怎么工作的，反正黑客告诉他要一个ftp，让他管着就行）。然后呢，随着中毒的人越来越多，其实就是肉鸡的数量越来越多，他就可以反卖给黑客，几块钱一个吧，所以其实也挺赚钱的。黑客为什么不自己维护呢？我猜测为了规避风险吧，因为他不参与分发，而他肯定也不会实名与分发的人沟通，所以很难查到这些黑客是谁、在哪里。

当然了，现在的病毒肯定不会那么弱智了，不太可能把服务器账号密码明文写下来。但是我猜这种分发的形式可能还是会存在。职业的“黑

                                                                要是这么做，那就是对自己的防御能力自信过头了……
 

客”或者“骇客”都会非常注意隐藏自己，许多事能不自己亲自做就尽量不亲自做，如果必须要亲自做的事情，肯定也会带许多层套，不会轻易暴露自己。肉鸡市场，我不知道在哪里又，但是我相信只要我想买，还是很容易找到渠道的。

除了木马以外，其实许多软件的公司都不老实，比如qq、360等软件，这些软件都可以接受公司的指令来做一些事情，而且这些都是放在明面上的功能，他们不能抵赖的（例如用企业qq，管理员可以强制在所有人的电脑上安装某个软件，360可以强制大家更新某些系统补丁等）。有这样的功能，那么事实上所有的机器都成了肉鸡，至于我们的机器是否会被他们用来做坏事，我们就无法去证明了。

我以前在水木上看到某软件说，有人DDoS他们，他们查了一下，从流量特征看基本可以确定是360（当然也无法证明了）。360（那就假装真的是360吧）攻击时很狡猾，攻击流量中基本没有来自大城市的，都是些二三线的小城市，而且360有非常完善的ip库，基本上可以确认哪些ip属于it公司的，这些客户端也不会被用来发起攻击（怎么确认？很简单啊，例如只要发现你这台机器上装了一些开发工具的，就可以直接把你忽略掉了，因为你很可能有能力发现它在干坏事，同网段的机器也基本可以当作危险客户端而排除掉）。所以大家很难取证360的行为（除了判断是否it公司、是否大城市以外，肯定还会判断别的东西，例如看你是否装了抓包工具啊之类的）。拥有大量客户端的公司都有这样的能力，我这里虽然描述时写的是360，但我相信不仅360干这样的事情，没几个公司是“好货”。

​再岔开话题说一些，我觉得像腾讯、360、迅雷这些公司，对中国骨干网拓扑的架构甚至比几大运营商都熟悉。我跟一些运营商接触过，一般市一级的运营商都接触不到全国的拓扑，只有自己市里的一小部分。ip库就更乱了，许多ip地址可能运营商自己也无法跟踪使用情况，比如

三大运营商为了方式自己的员工卖资料卖情报，对这些资料看管也是很紧的……
 

有一些ip被小运营商“偷”去用了，他们也未必都能查清。但是有大量客户端的公司就不一样了，比如腾讯，他可以非常准确的判断每一个客户端的地理位置（例如监视你上的本地服务的网站都在哪里、例如看你登录同账号的移动设备在哪里（移动设备可以用gps、蜂窝网络定位，精度非常高）等等），所以腾讯其实可以将每一个ip精确的定位到街道这一层，也能识别哪些ip地址是小运营商用来做NAT的，他们手里的ip库的精度，估计电信、联通等没有一家能跟他们比。前两天也在qq群里讨论过，这些公司也对中国的骨干路由有很强的控制能力，所以，从某种程度上来说，这些大公司控制着整个中国互联网的基础设施，而不是那些运营商，这些运营商只是个傀儡而已。​

国外的公司就“守规矩”么？不见得。我记得我第一次将一个android手机带到学校的实验室，我确信当时实验室里从来没有人用android手机连接过wifi，我特意实现取出了sim卡再去实验室，然后开机连wifi，发现google map居然精确的将我定位到电三楼的西半部分，当时震惊了。后来想了想，即使我没有插sim卡，android仍然可以收到蜂窝网络的信号，能够用这个信号来定位。学校的人比较多，所以基站数也会比较多，精度就会比较高。我于是就在想，google为什么在欧洲需要开小车出去采集wifi呢？所有的android设备都可以成为这个“小车”，可以把所有途径采集到的wifi信号的经纬度全都发回去就好了。或许google还是有那么点“不作恶”吧，觉得在用户不知情的情况下采集他们的wifi和经纬度信息是不合适的（开小车出去采集也是很有争议的事情，也打过官司）。

--

Cheng,

Best Regards

--

[Zhang Cheng]

2014-09-12 20:30 GMT+08:00 Thomas Copper <univers...@gmail.com>:

当然了，现在的病毒肯定不会那么弱智了，不太可能把服务器账号密码明文写下来。但是我猜这种分发的形式可能还是会存在。职业的“黑

                                                                要是这么做，那就是对自己的防御能力自信过头了……

​看来你是没有明白。首先为什么之前的人会用明文写账号密码？很显然，黑客只是给了一个程序，并且告诉分发者需要搭建一个ftp来分发。所以，具体ftp的服务器地址、账号都只能通过配置文件来写，在那个年代，明文是很正常的事情了。而且分发者很难改密码，因为一旦改了密码，所有现有的肉鸡都无法更新了。这些分发者都是没有技术背景的，也根本谈不上“防御能力”了。

现在的话，我觉得也不会改进太多，可能会对配置文件加个密吧，黑客只需要再给分发者一个加密配置文件用的小程序就好了。

要知道，绝大多数参与分发的人都是没有技术背景的。技术能力达到判断自己“防御能力”的人，一般都不会做这些事，因为这些人大多数都很清楚做这事的风险。​

 

​再岔开话题说一些，我觉得像腾讯、360、迅雷这些公司，对中国骨干网拓扑的架构甚至比几大运营商都熟悉。我跟一些运营商接触过，一般市一级的运营商都接触不到全国的拓扑，只有自己市里的一小部分。ip库就更乱了，许多ip地址可能运营商自己也无法跟踪使用情况，比如

三大运营商为了方式自己的员工卖资料卖情报，对这些资料看管也是很紧的……

​这些数据，本应该是公开的东西，互联网是开放的，网络拓扑本应该也是开放的。我喜欢以邪恶的方式来猜测事情。我觉得三大运营商保密这些数据，主要还是给小运营商增加难度，否则小运营商很容易选择最好的节点，给他们的用户提供更优质的带宽服务。​但是对于有大量客户端的公司来说，要绘制一份全国的拓扑图一点都不难。

--

Cheng,

Best Regards

[Bojie Li]

2014-09-12 20:40 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

​再岔开话题说一些，我觉得像腾讯、360、迅雷这些公司，对中国骨干网拓扑的架构甚至比几大运营商都熟悉。我跟一些运营商接触过，一般市一级的运营商都接触不到全国的拓扑，只有自己市里的一小部分。ip库就更乱了，许多ip地址可能运营商自己也无法跟踪使用情况，比如

三大运营商为了方式自己的员工卖资料卖情报，对这些资料看管也是很紧的……

​这些数据，本应该是公开的东西，互联网是开放的，网络拓扑本应该也是开放的。我喜欢以邪恶的方式来猜测事情。我觉得三大运营商保密这些数据，主要还是给小运营商增加难度，否则小运营商很容易选择最好的节点，给他们的用户提供更优质的带宽服务。​但是对于有大量客户端的公司来说，要绘制一份全国的拓扑图一点都不难。

我觉得互联网公司搞这么精确没必要啊，又不是用来抓人，只要有个比较准确的从 IP 到城市和运营商的数据库，比如准确度 99%，那么剩下的 1% 用户走错线路的代价很高吗？精确到城市运营商级别的 IP 数据库，网上有人公开，自己能够接触到 BGP 路由器的话也可以根据路由表生成。

[Bojie Li]

2014-09-12 19:15 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

我以前在水木上看到某软件说，有人DDoS他们，他们查了一下，从流量特征看基本可以确定是360（当然也无法证明了）。360（那就假装真的是360吧）攻击时很狡猾，攻击流量中基本没有来自大城市的，都是些二三线的小城市，而且360有非常完善的ip库，基本上可以确认哪些ip属于it公司的，这些客户端也不会被用来发起攻击（怎么确认？很简单啊，例如只要发现你这台机器上装了一些开发工具的，就可以直接把你忽略掉了，因为你很可能有能力发现它在干坏事，同网段的机器也基本可以当作危险客户端而排除掉）。所以大家很难取证360的行为（除了判断是否it公司、是否大城市以外，肯定还会判断别的东西，例如看你是否装了抓包工具啊之类的）。拥有大量客户端的公司都有这样的能力，我这里虽然描述时写的是360，但我相信不仅360干这样的事情，没几个公司是“好货”。

他根据什么流量特征判断是 360 干的？莫非 360 DDoS 的时候还要带上自己的 UA？

[lumin]

利益 ， 博弈 和 底线。

我个人观点，“搜集用户的可能涉及隐私的信息” 或者 “一些影响用户隐私和用户
信息安全的软件行为” 应该必须以明文的形式征得用户同意，并且从光明正大的角
度讲，这些软件公司想要做的事情，至少应该在用户协议中明文约定，比如：
“该软件会获取您计算机网络环境的相关情况”
“该软件会向服务器反馈XXX信息”
。。。
但实际上这个想法过于天真。在市场竞争中，所谓的正义，道德 这种 搞不好还会
饿死人 或者累死人的东西，要如何拿来跟利益权衡呢。

至于那种 “当用户是XXX” 的行为我就略了。再说协议，

我不使用windows，但我前段时间还是用虚拟机简单看了一下 windows 7 Ultimate
zh-cn simplified 的用户协议。
现在已经记不太清，读完之后我最大的感受，就是：
“微软你能不能把话说的再详细，明确一点”
“严肃的来看我非常不愿意接受这份协议”
当然法律方面的文件自然有其特点和特殊的阅读技巧，我只是外行什么都不懂。

然而再看一些常用软件，安装的时候直接把
“我同意XXX协议” 上边默认打勾，而且可以完全不看一个字的跳过这个文件。
被坑了怎么办？可我已经同意了啊？某种程度上，这是一个重视程度不够的点。

哎呀，原来。。！呵呵。

当然，反过来说，这些大公司也在推进着本国的互联网的发展，提供着一些 可以
使用的网络基础设施。就像看人一样，严格意义的 好人 和 好公司 是无法评定
的，每个人尺子不一样。

就以当前的环境来看，我认为，最重要的还是提高广大人民维护自身 合法权益，
维护自身合法知情权的意识，以大众的监督和督促力量来 强迫 这些大公司纠正自
身行为。
就因为大部分用户底线太低了，低到连协议都不看看，自己被坑了都不关心。

对于这个问题，我认为 Richard. M. Stallman 的思想中是有正确的地方的。
所以说，利益博弈 ，底线。

这是否还警示了网络世界缺乏规范化的问题呢？

[Zhang Cheng]

2014-09-12 21:01 GMT+08:00 Bojie Li <boj...@gmail.com>:

他根据什么流量特征判断是 360 干的？莫非 360 DDoS 的时候还要带上自己的 UA？

​肯定不会仅仅是从流量特征一个指标来看，一般来说，不会有人没事做对一个与自己不相关的公司发起这么大规模的攻击，所以肯定从自己的竞争对手里找，那么从攻击的体量、手段等方面就很容易确认是谁干的了。​

--

Cheng,

Best Regards

[Bojie Li]

360 和 QQ 都有这么大的用户基数，怎么他不怀疑是 QQ 干的呢？不能仅仅因为 DDoS 规模大就认为是公司行为，大型僵尸网络有上千万台主机，也相当于是个装机量不小的软件了。而且，要是真调动千万级别的肉鸡来 DDoS，这得是多大的目标，搞 BAT 吗？现在全球范围内流量型的 DDoS 攻击一般是 100 Gbps 量级（相当于一个数据中心的出口带宽），应用拒绝服务型的 DDoS 一般是 M qps（每秒百万次请求）量级，都不需要动用千万量级的肉鸡啊。

[Zhang Cheng]

2014-09-12 21:21 GMT+08:00 Bojie Li <boj...@gmail.com>:

360 和 QQ 都有这么大的用户基数，怎么他不怀疑是 QQ 干的呢？不能仅仅因为 DDoS 规模大就认为是公司行为，大型僵尸网络有上千万台主机，也相当于是个装机量不小的软件了。而且，要是真调动千万级别的肉鸡来 DDoS，这得是多大的目标，搞 BAT 吗？现在全球范围内流量型的 DDoS 攻击一般是 100 Gbps 量级（相当于一个数据中心的出口带宽），应用拒绝服务型的 DDoS 一般是 M qps（每秒百万次请求）量级，都不需要动用千万量级的肉鸡啊。

​360是当事人说的，我觉得没有必要在如何确定攻击者上纠结。对公司发起这么狠毒的攻击，肯定不是路人甲干的，一定是产品的竞争对手或者公司之间有矛盾的，这种攻击如果不知道攻击方是谁，那么某个角度也可以理解为这次攻击是失败的，这类攻击通常带有警告性质。如果真的是要通过攻击来致对方于死地，那么肯定会是不是的搞一下，而不是一次性的。

另外，体量的问题，我前面说到规模、体量，但是并没有说具体的量，因为我也不知道，但是360即使只拿出1%的客户端来攻击，它的量也要比国内绝大多数公司都大很多。量大量小取决于被攻击方的量，如果对方只有10G的体量，我为什么要用100G去打它？10G就够了。​

--

Cheng,

Best Regards

[Bojie Li]

我觉得微软的隐私条款已经很清晰了……国外的公司，比如微软、苹果、谷歌，要是被爆出利用用户隐私，不仅对公司的声誉有很大影响，而且可能面临巨额索赔。

国外和国内的隐私条款都会说明不会把隐私数据泄露给第三方。主要有两点区别（1）国外的一般会说明要收集哪些信息，国内的不会详细说明，所以当用户的硬盘被扫描上传时也没有明显违反隐私条款。（2）国外的政府部门只有走法律程序才能获取用户信息，而国内的则没有程序上的规定，“有关部门”想查就查。

[Bojie Li]

2014-09-12 21:32 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

​360是当事人说的，我觉得没有必要在如何确定攻击者上纠结。对公司发起这么狠毒的攻击，肯定不是路人甲干的，一定是产品的竞争对手或者公司之间有矛盾的，这种攻击如果不知道攻击方是谁，那么某个角度也可以理解为这次攻击是失败的，这类攻击通常带有警告性质。如果真的是要通过攻击来致对方于死地，那么肯定会是不是的搞一下，而不是一次性的。

另外，体量的问题，我前面说到规模、体量，但是并没有说具体的量，因为我也不知道，但是360即使只拿出1%的客户端来攻击，它的量也要比国内绝大多数公司都大很多。量大量小取决于被攻击方的量，如果对方只有10G的体量，我为什么要用100G去打它？10G就够了。​

竞争对手之间用 DDoS 来警告，这像是江湖作派，不像是负责任的公司啊。谁听说过市值超过百亿的 IT 巨头之间互相 DDoS，或者这些巨头 DDoS 其他小公司以示“警告”吗？倒是一些本身就不干净的公司，知道没办法走正规法律手段，只好用 DDoS 来解决争端。

[Zhang Cheng]

2014-09-12 21:42 GMT+08:00 Bojie Li <boj...@gmail.com>:

谁听说过市值超过百亿的 IT 巨头之间互相 DDoS，或者这些巨头 DDoS 其他小公司以示“警告”吗？

​你这太高看国内的某些公司了。不用DDoS用啥？渗透么？渗透那是要很深的功底和运气的，而且很容易被人抓到证据。而且渗透的话，一般都是窃取商业机密而不是搞破坏了，渗透这种事也只能永远保密，不可能捅出来（被渗透者一般也不可能说，说出来了会影响客户对企业的信任）。法律这东西就是呵呵，国内的几次腾讯、百度、360等公司之间的官司，都只是娱乐而已，刷存在感的，法律能干啥？而且，要搞竞争对手，对方正规的做事，你用什么由头去走法律程序？​

--

Cheng,

Best Regards

[Bojie Li]

2014-09-12 19:15 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

前两天也在qq群里讨论过，这些公司也对中国的骨干路由有很强的控制能力，所以，从某种程度上来说，这些大公司控制着整个中国互联网的基础设施，而不是那些运营商，这些运营商只是个傀儡而已。​

其实国外的情况可能比国内更甚。大型互联网公司，比如 Google、FB，它们的数据中心流量不亚于一个运营商（ISP），有自己的 AS 号，那就是直接影响网络拓扑了。早先运营商是中心，用户和网站都是挂在运营商下面的。大概从五年前开始，运营商和大型互联网公司可以平起平坐了，也就是美国互联网的结构变得比较扁平，运营商被 “管道化” 了。中国现在也遇到类似的情况，比如微信可以在三大运营商的蜂窝网络造成信令风暴，运营商还得求腾讯做优化。

其实从网络技术的角度看，一些互联网公司是非常没有节操的。它们只关心如何让我的用户访问更快，才不管别的公司死活。比如多线程下载，用 UDP 挤掉 TCP，都是破坏网络公平性的行为。而当年 Windows、FreeBSD 和 Linux 改进 TCP 协议的时候，考虑最多的是公平性，也就是如何保证与其他常用协议共存的时候不会把人家挤掉。如果按照互联网公司的逻辑，Windows 可以设计一个非常激进的 TCP 协议，宣称用了新版系统比旧版系统上网快，也比其他操作系统上网快。也就是说，这些没有节操的互联网公司在达到一定规模后，并没有变成负责任的平台，而是仍然在以掘金为第一要务。

[Bojie Li]

哦，我说的是国际 IT 巨头……要说肉鸡的数量，没有哪家公司敢跟微软比，但我不相信微软在查盗版的时候，会给你 DDoS 一下以示警告。Google 也可以做，在网页里嵌入个外部资源，瞬间堵死目标网站（就像 12306 的一个 js 就把 GitHub 搞挂一样）。不知道是因为这些公司太有节操，还是隐蔽技术太高超，我还没有听说过这些国际巨头利用用户的电脑搞 DDoS 的事情。

[Bojie Li]

2014-09-12 19:15 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

我以前在水木上看到某软件说，有人DDoS他们，他们查了一下，从流量特征看基本可以确定是360（当然也无法证明了）。360（那就假装真的是360吧）攻击时很狡猾，攻击流量中基本没有来自大城市的，都是些二三线的小城市，而且360有非常完善的ip库，基本上可以确认哪些ip属于it公司的，这些客户端也不会被用来发起攻击（怎么确认？很简单啊，例如只要发现你这台机器上装了一些开发工具的，就可以直接把你忽略掉了，因为你很可能有能力发现它在干坏事，同网段的机器也基本可以当作危险客户端而排除掉）。所以大家很难取证360的行为（除了判断是否it公司、是否大城市以外，肯定还会判断别的东西，例如看你是否装了抓包工具啊之类的）。拥有大量客户端的公司都有这样的能力，我这里虽然描述时写的是360，但我相信不仅360干这样的事情，没几个公司是“好货”。

嗯，求链接…… 刚搜到这么一个转载到外站的帖子 http://www.letscorp.net/archives/25811 不知道是不是你看的那个。

就上面这个链接的情况，如果属实，那就是竞争对手在搞，但我觉得性质没你说的那么恶劣啦。

（1）区区 70 个 IP，不算是 DDoS 了吧，而且是公司机房的 IP，没有使用用户的机器（使用自己的机器和用户的机器，我认为性质完全不同）。爬虫跑飞也不是什么新鲜事，我自己的爬虫就曾经跑飞了，给瀚海 BBS 带来上千 QPS 的压力，不过没有造成任何后果，最后还是我自己发现流量异常，把爬虫停掉了。所以还是得怪该网站没有做好 per-IP 访问限制或者性能不够。

（2）报毒，因为没有签名。虽然这看起来是故意的，但也无法指责。Windows SmartScreen 筛选器也会拒绝运行一些软件，即使有签名也未必能通过（比如 LUG 编译的 OpenVPN），鬼知道他们用的什么规则。

（3）有安全漏洞，漏洞虽然触发条件有点高（需要放个 dll），但也是客观存在的，安全公司不就靠找别人的漏洞存活吗。找找竞争对手的茬，算是可以忍受的商业行为吧。

（4）漏洞修复后仍然报毒，这个性质就比较恶劣了，不过国内杀毒厂商大多有收“保护费”的劣迹。曾有"备案"这么一种借口：一个复杂的软件要杀毒厂商审核后才能确认安全，而这个审核是需要花费人力成本的。当然我不认同这种借口。

[Zhang Cheng]

2014-09-13 0:00 GMT+08:00 Bojie Li <boj...@gmail.com>:

嗯，求链接…… 刚搜到这么一个转载到外站的帖子 http://www.letscorp.net/archives/25811 不知道是不是你看的那个。

就上面这个链接的情况，如果属实，那就是竞争对手在搞，但我觉得性质没你说的那么恶劣啦。

（1）区区 70 个 IP，不算是 DDoS 了吧，而且是公司机房的 IP，没有使用用户的机器（使用自己的机器和用户的机器，我认为性质完全不同）。爬虫跑飞也不是什么新鲜事，我自己的爬虫就曾经跑飞了，给瀚海 BBS 带来上千 QPS 的压力，不过没有造成任何后果，最后还是我自己发现流量异常，把爬虫停掉了。所以还是得怪该网站没有做好 per-IP 访问限制或者性能不够。

（2）报毒，因为没有签名。虽然这看起来是故意的，但也无法指责。Windows SmartScreen 筛选器也会拒绝运行一些软件，即使有签名也未必能通过（比如 LUG 编译的 OpenVPN），鬼知道他们用的什么规则。

（3）有安全漏洞，漏洞虽然触发条件有点高（需要放个 dll），但也是客观存在的，安全公司不就靠找别人的漏洞存活吗。找找竞争对手的茬，算是可以忍受的商业行为吧。

（4）漏洞修复后仍然报毒，这个性质就比较恶劣了，不过国内杀毒厂商大多有收“保护费”的劣迹。曾有"备案"这么一种借口：一个复杂的软件要杀毒厂商审核后才能确认安全，而这个审核是需要花费人力成本的。当然我不认同这种借口。

​这个链接我这里打不开。。。

不过从你的描述看，应该不是这个。我尝试在google上搜索这个帖子，没有搜到，不排除时间久了被清水清掉了。​

--

Cheng,

Best Regards

[Bojie Li]

嗯，这个链接在墙外……

--

[Zhang Cheng]

好吧，这个域名居然被污染了。。。

--

Cheng,

Best Regards

[StarBrilliant]

在 2014年9月12日星期五UTC+8下午9时32分20秒，Zhang Cheng写道：

2014-09-12 21:21 GMT+08:00 Bojie Li:

360 和 QQ 都有这么大的用户基数，怎么他不怀疑是 QQ 干的呢？不能仅仅因为 DDoS 规模大就认为是公司行为，大型僵尸网络有上千万台主机，也相当于是个装机量不小的软件了。而且，要是真调动千万级别的肉鸡来 DDoS，这得是多大的目标，搞 BAT 吗？现在全球范围内流量型的 DDoS 攻击一般是 100 Gbps 量级（相当于一个数据中心的出口带宽），应用拒绝服务型的 DDoS 一般是 M qps（每秒百万次请求）量级，都不需要动用千万量级的肉鸡啊。

​360是当事人说的，我觉得没有必要在如何确定攻击者上纠结。对公司发起这么狠毒的攻击，肯定不是路人甲干的，一定是产品的竞争对手或者公司之间有矛盾的，这种攻击如果不知道攻击方是谁，那么某个角度也可以理解为这次攻击是失败的，这类攻击通常带有警告性质。如果真的是要通过攻击来致对方于死地，那么肯定会是不是的搞一下，而不是一次性的。

另外，体量的问题，我前面说到规模、体量，但是并没有说具体的量，因为我也不知道，但是360即使只拿出1%的客户端来攻击，它的量也要比国内绝大多数公司都大很多。量大量小取决于被攻击方的量，如果对方只有10G的体量，我为什么要用100G去打它？10G就够了。​

（我这帖稍微有点跑题，不过希望有点帮助。）

说到某些互联网公司和恶意软件的关系，我不得不说我见到的一个恶意软件，运行之后的行为之一是连接 360 的服务器，作为「360 抢票王」的后端。我猜测「360 抢票王」之所以能抢到票，没有理由否认可能是利用了肉鸡的力量。不过还有一种可能是恶意文件的作者试图利用该恶意软件抢票。

此外，这个恶意软件运行后会从 360 的服务器上下载 360 安全卫士的安装包，修改 360 有关的注册表项，并且 360 （当时）不认为这个软件是恶意软件。它还会连接 QQ、百度、搜狐、37玩的服务器，下载各类软件静默安装，并提交 POST 请求（可能是向作者报告成功安装的消息吧）。没有理由否认这些公司可能和这个恶意软件有一定关系。

我把当年和 McAfee 的通信附上了，内附有 ThreatExpert 的试运行报告、文件样本、截图（主要是XX网游、XX影音、XX工具箱的安装截图）等东西。

总结一下，这个例子显示，没有理由否认某些互联网公司没有制作过恶意软件，或者没有借用自己软件的巨大装机率而做坏事。

再说，某国产 Chrome 插件（不点名了），在自己的装机率达到某个量的时候，突然发布更新，捆绑了主页篡改功能。我也是受害者之一。不过幸好 Google 授受了举报及时 ban 掉了。

所以，软件做大了，做强了，难免会变那么一点点邪恶。国外的软件即使做一些有争议的事，也会在许可协议里写明（用户看不看是另一回事）。而国内由于法律意识淡薄，甚至有软件都没有许可协议或者本身就构成侵权（XX影音我说的就是你），在用户不知情的情况下利用用户的电脑做肉鸡都是很有可能的事。

至于说的 DDoS 溯源的问题，其实要查是可以查到的。记得以前有某脚本小子使用了三层代理还是被抓了。不过 DDoS 规模大，所以溯源难度很高。在成本有限的情况下不如自认倒霉。如果你是受害者，装个硬件防火墙或者购买 CloudFlare 等公司现成的解决方案吧。今年 CloudFlare 在防御 DDoS 上可是立了大功了呀。

[Hao Xu]

肉鸡抢票？那这个不简直就是“云抢票”么。。。果然这帮子黑产做的高端大气上档次

在 2014年9月12日星期五UTC-4下午1时09分24秒，Sam Bliss写道：

[Bojie Li]

从发 POST 请求报告安装成功这点看，应该是恶意软件的作者想赚推广费，因为帮这些免费软件装机是有钱的。而且你说该软件阻止 360 自动更新，这不能自己拆自己的台啊，所以我觉得安装 360 是为了赚推广费，还得小心 360 更新之后把它干掉。

CloudFlare 今年防 popvote.hk DDoS 的事，其实反映了它的一些问题，也反映了当今 DDoS 的复合性：有流量攻击，有 DNS 攻击，有 SYN flood 攻击，有 HTTPS 加密攻击，有 HTTP 攻击，任何一种攻击防御不到位，都会导致功亏一篑。

第一个问题是，一开始 “阵地战”（一定要严防死守香港数据中心）的策略不对。遭到流量攻击后，由于带宽不足，不得不先后求助于 Amazon 和 Google，但后面两个都没帮上忙。攻击流量 300G，一个数据中心出口带宽不到 200G，不管是 Amazon 还是 Google 都没戏啊。而且全港日常流量就几百 G（参见 HKIX 网站），这么多攻击流量是否影响了港人正常上网都不知道。最后 CloudFlare 是采用了 Anycast 把网站的访问分散到了全球各地，攻击流量也就分散到了全球各地，每一地的数据中心就足以应付攻击流量了，有点“游击战”的味道。事实上，几百 G 的流量对 Google 来说还不到一个零头，Google 不会想不到 Anycast（8.8.8.8 就是 Anycast 的），可能是不想因此影响自己的服务吧。

第二个问题是，应用网关的网络处理能力没有达到线速（line-rate）。250 Mpps（百万数据包每秒）的 DNS 请求和 100Mpps 的 TCP 连接请求就把其应用网关搞死了。当然，平时没那么多访问量，也估计不到会有这么大规模的 DDoS，所以没有必要做到线速。CloudFlare 和 .hk 权威 DNS 的反应蛮迅速的，很快调整了架构，没有造成服务中断，这非常赞。不过大家别幸灾乐祸，大多数网站（包括 LUG）只要上述攻击强度的千分之一就撑不住了，所以找个靠谱的云服务商对防 DDoS 还是很重要滴～

--

[Meyo Peng]

师兄能上Gmail能用Google，却打不开墙外的一个链接⊙▽⊙是不是没开全局代理，比如proxysharp针对被墙的域名自动使用代理
看到这个帖子里的消息我真想立刻在自己的渣笔记本里装个win虚拟机专门用来运行民族品牌软件，host只运行虚拟机，但是不知道超低电压版i3会不会卡。Host是联想yoga11s，win8.1，i3，SSD，VMware10，虚拟机里运行Ubuntu很流畅，运行OS X很卡。我有空装个XP虚拟机试试。
小众的软件和天朝大公司的产品一直都是尽量不安装，杀毒软件一直用免费的小红伞。除了keygen和crack用的软件，没报过毒。比360清净，几乎没有弹窗，就喜欢小红伞这一点。

/**"""<!--早就想把QQ卸了，但是要和女朋友聊天啊(=^・・^=)视频的，不许欺负异地恋>﹏<。这一行注释掉了，你们看不到-->"""*/

[Zhang Cheng]

2014-09-13 9:29 GMT+08:00 Meyo Peng <meyo...@gmail.com>:

师兄能上Gmail能用Google，却打不开墙外的一个链接⊙▽⊙是不是没开全局代理，比如proxysharp针对被墙的域名自动使用代理

​我家里在网关上配的tunnel，所有国外的ip全都走​tunnel。域名为了加快解析速度，默认都用国内的DNS做上游，另外维护一份被污染的域名列表，这些域名用8.8.8.8解析。这个网站我以前没上过，所以不知道域名被污染了。

 

看到这个帖子里的消息我真想立刻在自己的渣笔记本里装个win虚拟机专门用来运行民族品牌软件，host只运行虚拟机，但是不知道超低电压版i3会不会卡。Host是联想yoga11s，win8.1，i3，SSD，VMware10，虚拟机里运行Ubuntu很流畅，运行OS X很卡。我有空装个XP虚拟机试试。
小众的软件和天朝大公司的产品一直都是尽量不安装，杀毒软件一直用免费的小红伞。除了keygen和crack用的软件，没报过毒。比360清净，几乎没有弹窗，就喜欢小红伞这一点。

​在学校的话，杀毒软件不妨试试NOD32，学校购买了正版的：http://ms.ustc.edu.cn​

 

/**"""<!--早就想把QQ卸了，但是要和女朋友聊天啊(=^・・^=)视频的，不许欺负异地恋>﹏<。这一行注释掉了，你们看不到-->"""*/

留着吧，不然女朋友也被<!-- -->了就不好了。​​

--

Cheng,

Best Regards

[Meyo Peng]

插一句，顾乃杰的ThinkPad小本上有360及其它一堆国产软件。

[Meyo Peng]

室友用的是NOD32，有一次把我的移动硬盘插在他的电脑上，NOD32立刻就把一个ultraISO.exe软件删了，然后才冒出弹窗//(ㄒoㄒ)//
硬盘里好多keygen，老是报毒 =.=

[Zhang Cheng]

2014-09-13 10:00 GMT+08:00 Meyo Peng <meyo...@gmail.com>:

室友用的是NOD32，有一次把我的移动硬盘插在他的电脑上，NOD32立刻就把一个ultraISO.exe软件删了，然后才冒出弹窗//(ㄒoㄒ)//
硬盘里好多keygen，老是报毒 =.=

​珍爱生命，远离keygen。​

--

Cheng,

Best Regards

[Zihao Wang]

现在的电脑跑虚拟机都无压力的，09年的普通级笔记本在Arch上面的VirtualBox里跑win7就很流畅了。
我感觉国产软件基本上没有离不开的…QQ我用iOS手机版了。。。

—
Sent from Mailbox

--

[Yuanchong Zhu]

根本原因还是自己做的不够大嘛。等它大到确实可以自己破坏掉整个行业环境的时候自然会想到制衡。冷战时候美苏的核平衡（可以简称为“核平”）就是这么弄出来的~

--

-- 来自USTC LUG
请使用gmail订阅，不要灌水。
更多信息more info：http://groups.google.com/group/ustc_lug?hl=en?hl=en

---
You received this message because you are subscribed to the Google Groups "USTC_LUG" group.
To unsubscribe from this group and stop receiving emails from it, send an email to ustc_lug+u...@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--
灿烂星空，你就是我的英雄！

[Yuanchong Zhu]

不带你这么黑老顾的吧……

灿烂星空，你就是我的英雄！

[Bojie Li]

这种事情还是得靠自觉，自作死不可活。某天我登上公司一台一年多没人用过的服务器（uptime 倒挺高），上面的软件可真丰富，新毒霸把 360 的启动项给干掉了，默认浏览器成了搜狗（它自然不会理会 server 系统的网页安全策略），几种广告弹窗竞相弹出。打开个网页要等十几秒，输入也有点慢，有没有被 keylogger 都不知道。这可是在号称受到严密监控的域里啊！可能很多人的桌面电脑就是我描述的这样，但没有意识到它的危害。所谓机器越用越慢，大多是这些流氓软件造成的。

如果必须要用 keygen 或者破解软件，建议在虚拟机里用。虚拟机和主机可以共享文件夹来放数据，但不要把整个主机的分区暴露给虚拟机。现在的 CPU 几乎都支持硬件虚拟化，除了虚拟机里显卡性能低些，应该是感觉不出明显性能差别的。

2014年9月13日 上午10:00于 "Meyo Peng" <meyo...@gmail.com>写道：

室友用的是NOD32，有一次把我的移动硬盘插在他的电脑上，NOD32立刻就把一个ultraISO.exe软件删了，然后才冒出弹窗//(ㄒoㄒ)//
硬盘里好多keygen，老是报毒 =.=

--

[Zhang Cheng]

2014-09-12 20:59 GMT+08:00 Bojie Li <boj...@gmail.com>:

我觉得互联网公司搞这么精确没必要啊，又不是用来抓人，只要有个比较准确的从 IP 到城市和运营商的数据库，比如准确度 99%，那么剩下的 1% 用户走错线路的代价很高吗？精确到城市运营商级别的 IP 数据库，网上有人公开，自己能够接触到 BGP 路由器的话也可以根据路由表生成。

​高精度的定位当然有用。举例说，贵司N多年前就开始搞的城市计算，其中一项是通过GPS跟踪人群，优化出租车的调度。同样的，如果一个公司能够掌握一天内各个时刻人群聚集的地方（许多办公楼里都是无法GPS定位的，per device用蜂窝网络信号定位的话，许多设备可能定位不到具体哪一栋楼那么准确。如果腾讯可以整合各种定位方式精确的定位到每一栋楼甚至每一层楼的人群的话，他们就能做许多这方面的研究了，例如小一点的为商店选址提供建议，大一点的为城市规划出谋划策。

往邪恶的地方说，假设某些黑帮、职业杀手能够通过某些手段获取到这么精准的数据，那么干坏事就太容易了，蹲点这种事太累了。

--

Cheng,

Best Regards

[Thomas Copper]

2014-09-13 16:08 GMT+08:00 Zhang Cheng <steph...@gmail.com>:

2014-09-12 20:59 GMT+08:00 Bojie Li <boj...@gmail.com>:

我觉得互联网公司搞这么精确没必要啊，又不是用来抓人，只要有个比较准确的从 IP 到城市和运营商的数据库，比如准确度 99%，那么剩下的 1% 用户走错线路的代价很高吗？精确到城市运营商级别的 IP 数据库，网上有人公开，自己能够接触到 BGP 路由器的话也可以根据路由表生成。

​高精度的定位当然有用。举例说，贵司N多年前就开始搞的城市计算，其中一项是通过GPS跟踪人群，优化出租车的调度。同样的，如果一个公司能够掌握一天内各个时刻人群聚集的地方（许多办公楼里都是无法GPS定位的，per device用蜂窝网络信号定位的话，许多设备可能定

理论上蜂窝网络定位到一栋楼的分辨率是可行的，要基站足够多，在咱们西区，不同的楼之间打电话接入的基站（小区代码）是不一样的，哪怕不是一个个单独的楼，至少1号楼和4号楼就不属于一个小区。

 

位不到具体哪一栋楼那么准确。如果腾讯可以整合各种定位方式精确的定位到每一栋楼甚至每一层楼的人群的话，他们就能做许多这方面的研究了，例如小一点的为商店选址提供建议，大一点的为城市规划出谋划策。

往邪恶的地方说，假设某些黑帮、职业杀手能够通过某些手段获取到这么精准的数据，那么干坏事就太容易了，蹲点这种事太累了


 

--

Cheng,

Best Regards

--

[Zhang Cheng]

2014-09-13 18:14 GMT+08:00 Thomas Copper <univers...@gmail.com>:

理论上蜂窝网络定位到一栋楼的分辨率是可行的，要基站足够多，在咱们西区，不同的楼之间打电话接入的基站（小区代码）是不一样的，哪怕不是一个个单独的楼，至少1号楼和4号楼就不属于一个小区。

​所以我说的是per-device。每个设备由于其本身信号强弱、待在屋子里不同的地方等，总是会有差别的。但是例如在写字楼里，一个50人的公司，大家的手机都连到了同一个wifi，​做数据分析时就可以认为这50个设备在同一个屋子里，那么就可以利用这50个设备的蜂窝信号全都集中起来定位了，那精度就可以非常高了，即使是那些信号不强甚至没有信号的设备，都可以定位。如果单独看一个设备的蜂窝信号，那这50个设备里，可能有一半是无法定位到这么精确的。

--

Cheng,

Best Regards