标题:
如何追踪入侵者(下)
[打印本页]
作者:
DoubleW
时间:
2008-6-12 18:22
标题:
如何追踪入侵者(下)
1.标准国码+叁码属性码(或没有国码,仅有属性码)
普遍使用于欧洲,美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw,美国的*.com、*.edu。
2.标准国码+二码属性码
以离我国最近的日本、中华人民共和国为例,公司属性为co,社团属性为or,和叁码定义的com、org略有不同。如日本万代公司之Homepage为
www.bandai.co.jp
,如果读者要使用公司名称拼凑出完整主机名称时,需注意日本为仅有两码属性码之地区,否则若猜测其为
www.bandai.com.jp
就会发生错误(注:在国际通信范例中,无论是无线电通信、国际越洋电话、乃至于网际网络等,均将台湾与中国大陆划分为两个不同国家。笔者在此特称中华人民共和国除突显此一特性外,并无其他涵义,读者勿需自行揣测其他意义)。
3.仅有标准国码,未有任何属性码
如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码後面直接接上单位名称。
由Domain Name查出连线单位资料
在Internet上惯例由whois服务来查询连线单位的登记资料,whois本来应该是用来查某人的电话或是其他资料的(有点像是finger或是现在很流行的寻人服务,像是whowhere、bigfoot之类的,请上
www.whowhere.com
一探究竟),但是在NIC方面是用来查出连线单位的电话以及住址,技术联络人等。符合该NIC管理权限的单位资料会存放于该单位的whois主机中,惯例是 whois+NIC名称+net。例如亚太地区网络管理中心whoisserver为whois.apnic.net,台湾网络中心 whoisserver为whois.twnic.net。
当你知道某台主机的Domain Name以後,可以依照下面顺序查出连线单位的电话住址等资料。第一步,先看有没有国码。没有国码的,向whois.internic.net问;有国码的,向whois.国码nic.net问(ex.whois.twnic.net)。
另外,如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网络来入侵你的电脑)则你需要向nic.ddn.mil查询,方可查到资料。例如查出美国陆军的资料:但FBI等调查机构属政府单位,非军事单位,查询时需注意:
由Domain Name查出资料
如您能从nslookup查出某一IPAddress之FQDN,则可以直接向当地NIC查出入侵者网络之资料:
1.由美国入侵的例子:
由xxx.aol.com入侵由主机名称发现未有国码,因此直接向Inter NIC查询。由此我们可以查到America Online的技术负责人以及电话、传真等资料,把你的系统纪录档准备好,发封传真去告洋状吧!
2.由台湾入侵的例子:
由Hope Net入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了,故请改由dbms.seed.net.tw查出 hope.com.tw之中文名称,再打104询问该公司的电话!现在如果直接由whois.twnic.net查询会这样:
只有IPAddress的查法
若某天您发现由168.95.109.222有人入侵,假设您不知道这是HiNet的网络,而这个IP Address也没有DomainName的话,则须先将IPAddress分等级,再向InterNIC查询:
(以下作为范例之位置均为虚构,如有雷同,纯属巧合)。
1.由15.4.75.2入侵的例子:
此IPAddress是15开头,为一个ClassA网络,故向InterNIC查询15.0:查出此IP Address为惠普公司所有
2.由140.111.32.53入侵的例子:
此IPAddress 为ClassB,需查询两次。先向InterNIC查询 140.111.0:查出为中华民国教育部所有。再向whois.twnic.net查询140.111.32.0:很可惜的,由于TWNIC资料库不见了,因此您无法知道这是哪个学术单位。劳驾您打个电话去TWNIC问吧!
3.由203.66.35.1入侵的例子
这是一个ClassCIP,因此必须查询至少二次,一般是叁次。顺序为国际->洲际->所属国家。先查203.0:
出来一大堆,怎么办?有的情况只好再追问Class B。由于Inter NIC将部份ClassC交给洲际管理机构来负责配给,因此有些Class
C 的资料会在洲际管理机构,此时先向Inter NIC查出所属洲际管理机构(用Class B问)。问到203.66为亚太地区洲际网络,于是向whois.apnic.net询问203.66.35.0:查了叁次以后,终于查到 203.66.35.0为:在一堆资料中查到203.66.35.1,此一IP Address为Forwardness Technology Co.Ltd.所有,电话地址也一并附在上面(这是笔者朋友开的网络公司)。
由以上的查法,可以由任一主机名称或IPAddress查到连线者网络单位的资料,如果您发现该网络单位下属主机对您的网络有攻击行为,请检具资料告诉对方的系统管理员(对方不一定接受,笔者就碰过很恶劣的系统管理员!)。
下面是Windows 95的hosts档案:当您没有DNS的时候,您可以拿这个来将Domain Name<->IPAddress的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的,这是 windows95的开发代号,看见没?(看来Microsoft出windows95时太赶,忘了修正这些小东西),不过各位读者要注意的是,原先的 hosts档案档名是hosts.sam,您要自己将档名改成hosts才能用。
-------------------------------------------------
注一:
几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话,可以发现NovellNetware伺服器也有一个 etc目录,还有hosts等档案!
注二:
长途台号码为108,转发国内长途电话用,并可要求对方付费(就像国际台一样),因为台湾早期交换机无法让用户直拨外县市电话,故需由长途台人工转接。现在有了长途直拨,除非您有需要对方付费,否则不需要用长途台了,因为人工转接还要另外支付人工转接费用。当您在打国内长途电话而有对方付费的需求时,就可以打108然後要求值机人员替您转接,然後由受话者来付电话费。这在您手边没有钱,但想使用公共电话来打长途电话时非常好用(当然受话方也可以拒绝您的对方付费要求)。国内其他的人工转接台还有103船舶台(转发船舶无线电话, NAVTEX航务情报电讯等)以及100国际台。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2