题 IP地址跟踪


如果您想跟踪IP地址,因为该IP地址是攻击和滥用的来源,您将如何实现这一目标?有没有什么可以找到谁在使用给定的IP地址,还有什么可以做到阻止它?

更新: 目的地(服务器所在地)位于美国。消息来源表明它也是美国,但有人建议,IP地址可能是欺骗性的......我仍然愿意接受进一步的输入/细节......

谢谢,
坦率


4
2018-06-18 23:37




好问题 - 提交有用的滥用报告是一件非常好的事情。通常,“攻击者”将是受恶意软件感染的PC,运行源网络的人甚至不会知道存在问题 - 直到您通过滥用报告告诉他们。 - Ben Dunlap


答案:


如果你有一台非Windows机器, whois <ip> 是你的第一步。这会将IP绑定到网络,甚至可能为您提供“滥用”联系人,通常是电子邮件地址。您可以通过电子邮件发送滥用报告。你也可以试试 nslookup <ip> 获取域名,和 看看abuse.net

如果您正在运行Windows,请先启动 ARIN的网站whois。如果IP地址不在美国,这可能会导致您进入另一个Web服务。


5
2018-06-18 23:53



是关于滥用,请确保记录您看到该特定IP地址处于活动状态的UTC时间,以便他们可以跟踪dhcp租约时间(如果可能) - Brendan


拥有IP的ISP是唯一真正了解注册到IP的人员身份的组织。您可以获得的最佳信息就是您可以获得的信息 dnsstuff

如果事情是严重的,你想要做些什么,那么你唯一的选择就是向警方报案。

您可以放弃防火墙中IP地址的所有内容,这可能会有一段时间有所帮助,但如果它们是一个不错的破解者,他们将会通过代理进行反弹,并且只会从不同的角度进入。

如果他们只是在探索信息,请不要太担心。确保您的应用程序已修补操作系统。如果它像DDoS攻击一样更恶毒,那么就有防火墙可以阻止它们,我自己并不熟悉它们。如果他们已经进入,那么在这里进行搜索。几天前我看到了一些关于如何从入侵中恢复过来的事情。


3
2018-06-18 23:52



在我做之前,我会暂时不和执法部门谈话 真 确定这是一次有针对性的攻击。网上的大量恶意活动都是自动化的,来自比尔叔叔被感染的家用电脑。 - Ben Dunlap


根据攻击(DoS,某些端口扫描等),IP地址很可能是欺骗性的。并且,正如其他人已经说过的那样,即使您确实获得了有效的(非欺骗性)IP,最终主机也很可能是一台被用作踏脚石/继电器的受损机器。

此外,永远不要“回击”这是不道德的,在你居住的地方很可能是非法的,并且至少对情况没有帮助。

Anapologetos


2
2018-06-19 00:30





第一步 - 使用WHOIS找出违规知识产权的所在地;如果你幸运的话,那将会让你成为一个国家,ISP /注册商,甚至是商业地址。


0
2018-06-18 23:50





要阻止攻击,只需将IP地址尽可能地保护到网络中的“上游”(在您的边界)。要追踪IP地址的“用户”,我通常使用:

  • dig -x <IP> 了解IP地址可能是什么(DSL,拨号,动态与静态IP,甚至是诚实的良好colo框);
  • whois <IP> 找出负责任的实体是谁用于网络块(如果你想报告滥用行为并试图让它停止在其源头,则应包含联系人详细信息)
  • 我从未做过的一件事就是使用 nmap 在IP地址上了解机器上运行的操作系统和服务,看看我是否可以远程访问它或使其崩溃以阻止滥用。那会很顽皮。

0
2018-06-18 23:51



“那会很顽皮”。是的,特别是如果“攻击者”是在某人的祖母受感染的家庭PC上运行的恶意软件 - 这很有可能。 - Ben Dunlap
这就是为什么我从来没有这样做过。 - womble♦


当跟踪坏东西回到它的源头时,我总是从基于web的whois查找开始。我不希望任何看似来自我的地址块的查询在攻击附近的任何地方。我最喜欢的是网络解决方案查找 http://www.networksolutions.com/whois/index.jsp,然后我通过提供商回过头来找到拥有该地址的ISP。

您接下来的步骤实际上取决于您所看到的攻击/滥用类型。您可以阻止边境攻击,切断用户帐户(如果他们有一个人),您可以通过电子邮件发送ISP的滥用行并向他们提供攻击数据(时间,网络流量等)并让他们切断它们,如果是犯罪活动,你可以报警。

我认为值得指出的是,如果您认为可以打电话给警察,如果ISP跨州,FBI将不会真正感兴趣,除非有重大的经济损失。如果你在一个州内进行交易,那么跟踪或小孩色情等事件可以被带到当地警方。


0
2018-06-19 16:35