怎么样利用IP位址或網域名稱找出入侵者位置?
怎么样利用IP位址或網域名稱找出入侵者位置?
電腦上網無緣無故就被人Hack掉,馬的,真的很想把他斃了。你有遇過這樣的情形嗎?搞不好特洛依木馬這類的程式就潛伏在你的電腦中,伺機對你的系統造成威脅或破壞。ConnecWatch 、Back Orifice Spy 、BoDetect 、The Cleaner 等就是針對這樣的Bug去設計的軟體。只要有人攻擊你的電腦,它就會作防護、記錄甚至是反擊的動作。當然入侵程式有很多種,如NetBus、Netspynew、IcqT、Back Orifice Remote、Port Scan..等等。站長沒時間一一測試,也不敢保證能做到絕對防護。不過這不是這篇文章的主題。這裡所要講的是─當你知道入侵者的IP位址時,如 何 靠 IP Address(如140.119.23.4)或 Domain Name(如www.chati.com)找出入侵者位置 ?
--------------------------------------------------------------------------------
關於IP Address與DNS請參考網路定址模式與網際網路服務介紹這兩篇文章
網路位址管理現況
IP Address的使用必須向 InterNIC(www.internic.net)登記,而 Domain Name要向當地直屬的網路管理中心登記。
在 Internet上 的網路管理中心共有三個層級 (單位性質一定為NET):
1. 國 際 等 級
國際等級只有InterNIC一個,全球各國的NIC以及洲際NIC均由其管理。
2. 洲 際 等 級
InterNIC並不直接管理整個 Internet,其下的網路資源會再做分區(歐洲、亞洲...)。例如台灣、日本、香港等亞太地區國家,由亞太洲際網路管理中心 (Asian-Pacific NIC, APNIC,位於日本)(www.apnic.net)來管理,並不直接由 InterNIC管理 。
3. 國 家 等 級
Domain Name後面不掛國碼的(如:http://www.allfile.com)不是由 InterNIC管理就是由洲際的NIC管理,但是有掛國碼的由當地國家之NIC管理,慣例是兩位國碼加上NIC就是該國NIC之名稱(www.**nic.net)。例如台灣之國碼為TW,則台灣網路管理中心為 TWNIC (www.twnic.net)。補充:目前台灣的whois系統已暫停服務,所以如果你要查必須打電話去詢問。
但美國是例外,由於InterNIC位於美國,因此美國的 Domain Name由 InterNIC直轄。有一個特別的例外是掛 .mil的美國軍方網路的資料是由nic.ddn.mil(美國軍事防衛網路)來管理,不由 InterNIC管理。
--------------------------------------------------------------------------------
Domain Name 命名的三種情況
雖然同樣是 Domain Name, 可能你會遇到三種命名的不同情況。在許多國家 *.edu.*是由 NIC以外的單位所管理(如教育部 ),而屬性也不一定是三個字 母,甚至沒有屬性。在判斷單位性質時讀者宜多加注意,以免找不到資料。
1.標準國碼 + 三碼屬性碼 (或沒有國碼 ,僅有屬性碼 )普遍使用於歐洲,美洲國家以及部份東南亞國家。如台灣常見 *.edu.tw、 *.com.tw、*.org.tw,美國的*.com、 *.edu。
2.標準國碼 + 二碼屬性碼 。以離我國最近的日本、中華人民共和國為例,公司屬性為 co,社團屬性為 or,和三碼定義的 com、 org略有不同。如 日本萬代公司之Homepage為 www.bandai.co.jp,如果讀者要使用公司名稱拼湊出完整主機名稱時,需注意日本為僅有兩碼屬性碼之地區,否則若猜測其為 www.bandai.com.jp就會發生錯誤 (註:在國際通信範例中,無論是無線電通信、國際越洋電話、乃至於網際網路等,均將台灣與中國大陸劃分為兩個不同國家)。
3. 僅有標準國碼,未有任何屬性碼。如澳洲的主機均為僅有*.au之主機名稱,未有任何其他的 com、 co 或任何單位屬性碼後面直接接上單位名稱 。
由 Domain Name查出連線單位資料在Internet上慣例由 whois服 務來查詢連線單位的登記資料,whois本來應該是用來查某人的電話或是其他資料的 (有點像是 finger或是現在很流行的尋人服務,像是 whowhere、 bigfoot、AOL之類的 ),但是在 NIC方面是用來查出連線單位的電話以及住址,技術聯絡人等 。 符合該NIC管理權限的單位資料會存放於該單位的 whois主機中,慣例是 whois+ NIC名 稱 + net。例如亞太地區網路管理中心 whois server為whois.apnic.net,台灣網路中心whois server為whois.twnic.net。當你知道某台主機的 Domain Name以後,可以依照下面順序查出連線單位的電話住址等資料。
Whois查詢系統使用概說
當您得到某個Domain Name或是 IP Address後 ,根據上個步驟使用適合的whois系統(whois.**nic.net)來查出資料,語法如下:
whois
-h < whois 伺 服 器 > < 查 詢 對 象 >
例 如 向 whois.internic.net 查 詢 hp.com, 需 輸 入 :
whois
-h whois.internic.net hp.com
whois 也 可 能 使 用 下 列 語 法 :
whois
< 查 詢 對 象 > @< whois 伺 服 器 >
例如向 whois.twnic.net 查 詢 ntu.edu.tw 需輸入 :
whois
ntu.edu.tw@whois.twnic.net
目 前 在 Slackware Linux 附 上 的 為 後 者 。
看不懂上面的參數嗎?站長用比較簡單方法解釋給你聽。
hp.com因其無國碼(tw.jp),所以不是由 InterNIC管理就是由洲際的NIC管理,那我們先到InterNIC查看看。所以在瀏覽器的URL處鍵http://whois.internic.net/,在其查詢的空白列鍵入hp.com
如果你這樣還看不懂,唉...放棄也是人生的一部份....教賣落啊
--------------------------------------------------------------------------------
實例示範
首先,先看有沒有國碼。沒有國碼的,向 whois.internic.net問;有國碼的, 向 whois.國碼 nic.net問 (ex. whois.twnic.net)。另外,如果你要查美國軍事單位的聯絡明細 (假如某天你發現有人利用美國海軍的網路來入侵你的電腦)則你需要向 nic.ddn.mil查詢,方可查到資料。例如查出美國陸軍的資料:但 FBI等調查機構屬政府單位,非軍事單位,查詢時需注意。
★Domain Name的查法
由 Domain Name查出資料您能從 nslookup查出某一 IP Address之FQDN,則可以直接向當地 NIC查出入侵者網路之資料:
1.由 美 國 入 侵 的 例 子
由 xxx.aol.com入侵由主機名稱發現未有國碼,因此直接向 InterNIC查詢 (whois.internic.net)。由此我們可以查到 America Online的技術負責人以及電話、傳真等資料,把你的系統紀錄檔準備好,發封傳真去告洋狀吧!
2.由 台 灣 入 侵 的 例 子
由 Hope Net入侵 (cded1. hope.com.tw) 有tw國碼,所以向當地的NIC查詢。但由於TWNIC目前 whois資料庫不知怎麼的不見了,故請改由http://dbms.seed.net.tw/查 出 hope.com.tw之中文名稱,再打 104查號台詢問該公司的電話 !
現在如果直接由 whois.twnic.net查 詢 會 這 樣 :
★只有 IP Address的查法
若某天您發現被由 168.95.109.222這個人入侵,假設您不知道這是 HiNet的網路,而這個 IP Address也沒有 Domain Name的話,則須先將 IP Address分等級,再向 InterNIC查詢。(IP分級說明請按這兒)
(以下作為範例之位址均為虛構,如有雷同,純屬巧合 )。
1.由 15.4.75.2入 侵 的 例 子
此 IP Address是 15開頭,為一個Class A網路,故向InterNIC查詢 15.0
查出此 IP Address為惠普公司所有
2.由 140.111.32.53入 侵 的 例 子
此 IP Address為 Class B網路, 需查詢兩次。先向 InterNIC查詢 140.111.0 查出為中華民國教育部所有。再向 whois. twnic.net查詢 140.111.32.0 很可惜的,由於 TWNIC資 料 庫不見了,因此您無法知道這是哪個學術單位。勞駕您打個電話去TWNIC問吧! 依站長經驗有可能是中山大學。
3. 由 203.66.35.1入 侵 的 例 子
這是一個 Class C IP,因此必須查詢至少二次,一般是三次。順序為國際->洲際->所屬國家。
先查 203.0 出來一大堆,怎麼辦?有的情況只好再追問 Class B。由於InterNIC將部份 Class C交給洲際管理機構來負責配給 , 因此有些 Class C的資料會在洲際管理機構,此時先向InterNIC查出所屬洲際管理機構 (用 Class B問,即鍵入203.66.0)。
問到 203.66為亞太地區洲際網路,於是向 whois.apnic.net詢問203.66.35.0 查了三次以後,終於查 到 203.66.35.0為在一堆資料中 查到 203.66.35.1, 此 一 IP Address為 Forwardness Technology Co. Ltd.所有,電話地址也一併附在上面。以上的查法,可以由任一主機名稱或 IP Address查到連線者網路單位的資料,如果您發現該網路單位下屬主機對您的網路有攻擊行為,請檢具資料告訴對方的系統管理員 (對方不一定會鳥你,站長就碰過很惡劣的系統管理員)