Трассировка IP-адреса

Question

Трассировка IP-адреса

Если вы хотите отследить IP-адрес, потому что этот IP-адрес был источником атак и злоупотреблений, как бы вы достигли этого? Можно ли что-нибудь сделать, чтобы определить, кто использует данный IP-адрес, и, кроме того, можно ли что-нибудь сделать, чтобы остановить его?

Обновление: пункт назначения (где находится сервер) находится в США. Источник указывает, что это также США, но, как кто-то предположил, IP-адрес, вероятно, подделан... Я все еще открыт для дальнейшего ввода / подробностей...

Спасибо,
Фрэнк

4

ip-address trace abuse

Источник

Frank V 18 июн '09 в 23:37

6 ответов

Другие вопросы по тегам ip-address trace abuse

Ben Dunlap 18 июн '09 в 23:53 2009-06-18 23:53 · Answer 1 · 2009-06-18 23:53

Если у вас есть машина не под управлением Windows, whois <ip> это ваш первый шаг. Это свяжет IP-адрес с сетью и, возможно, даже предоставит вам контакт "злоупотребления", обычно адрес электронной почты. Вы можете отправить по электронной почте сообщение о нарушении там. Вы также можете попробовать nslookup <ip> чтобы получить доменное имя, и посмотрите это на abuse.net.

Если вы работаете в Windows, начните с веб-службы ARIN. Это может привести вас к другой веб-службе Whois, если IP-адрес не находится в США.

resonator 18 июн '09 в 23:52 2009-06-18 23:52 · Answer 2 · 2009-06-18 23:52

Интернет-провайдер, которому принадлежит IP, является единственной группой, которая действительно знает личность человека, зарегистрированного на IP. Лучшая информация, на которую вы можете надеяться, это то, что вы можете получить от dnsstuff.

Если дело серьезное, и вы хотите что-то с этим сделать, то единственный вариант - сообщить об этом в полицию.

Вы можете удалить все данные с этого IP-адреса в своем брандмауэре, что может помочь на некоторое время, но есть вероятность, что если они являются достойными взломщиками, они будут прыгать через прокси-серверы и просто будут входить под другим углом.

Если они просто ищут информацию, не волнуйтесь слишком сильно. Убедитесь, что ваши приложения ОС исправлены. Если это что-то более вредоносное, например DDoS-атака, то существуют брандмауэры, которые могут их остановить, хотя я сам не знаком с ними. Если они уже вошли, выполните поиск здесь. Несколько дней назад я видел кое-что о том, как оправиться от вторжения.

Josh Brower 19 июн '09 в 00:30 2009-06-19 00:30 · Answer 3 · 2009-06-19 00:30

В зависимости от атаки (DoS, сканирование определенных портов и т. Д.), IP-адрес, скорее всего, будет подделан. И, как уже говорили другие, даже если вы получите действительный (не спуфированный) IP-адрес, скорее всего, конечный хост - это взломанная машина, которая используется в качестве трамплина / ретранслятора.

Кроме того, никогда не взламывайте. Это неэтично, скорее всего незаконно, где вы живете, и никоим образом не помогает ситуации.

Anapologetos

RainyRat 18 июн '09 в 23:50 2009-06-18 23:50 · Answer 4 · 2009-06-18 23:50

Первый шаг - используйте WHOIS, чтобы узнать, где находится нарушающий IP; это даст вам страну, интернет-провайдера / регистратора или даже служебный адрес, если вам повезет.

0

Источник

RainyRat 18 июн '09 в 23:50

Bob 19 июн '09 в 16:35 2009-06-19 16:35 · Answer 5 · 2009-06-19 16:35

Когда я отслеживаю плохие вещи и возвращаюсь к их источнику, я всегда начинаю с поиска в Whois через Интернет. Я не хочу, чтобы какие-либо запросы, которые появляются из моего блока адресов, проходили где-то рядом с атакой. Мой фаворит - поиск сетевых решений: http://www.networksolutions.com/whois/index.jsp, а затем я перебираю подходящих поставщиков, чтобы найти интернет-провайдера, которому принадлежит адрес.

Какие дальнейшие действия вы предпримете, действительно зависит от типа атак / злоупотреблений, которые вы видите. Вы можете блокировать атаки на своей границе, отключать учетную запись пользователя (если она у вас есть), вы можете отправить по электронной почте линию злоупотреблений интернет-провайдера и предоставить им данные об атаках (время, сетевые потоки и т. Д.) И позволить им отключить их., а в случаях преступной деятельности вы можете вызвать полицию.

Я думаю, что здесь стоит указать, что в тех случаях, когда вы думаете, что можете вызвать полицейских, если провайдер пересекает границы штатов, ФБР не будет действительно заинтересовано, если не будет значительных финансовых потерь. Если вы имеете дело с государством, такие случаи, как преследование или порнуха, могут быть переданы в местную полицию.

womble 18 июн '09 в 23:51 2009-06-18 23:51 · Answer 6 · 2009-06-18 23:51

Чтобы остановить атаки, просто брандмауэр IP-адрес как можно дальше "вверх по течению" в вашей сети (на вашей границе). Чтобы отследить "пользователя" IP-адреса, я обычно использую:

dig -x <IP> получить представление о том, каким может быть IP-адрес (DSL, коммутируемый доступ, динамический или статический IP-адрес, или даже поле "честное общение");
whois <IP> выяснить, кто является ответственным лицом за сетевой блок (должен содержать контактные данные, если вы хотите сообщить о нарушении и попытаться остановить его у источника)
Одна вещь, которую я никогда не делаю, это использовать nmap на IP-адресе, чтобы получить представление об операционной системе и службах, работающих на машине, чтобы узнать, смогу ли я получить к ней удаленный доступ или аварийно завершить ее, чтобы остановить злоупотребление. Это было бы непослушным.