Google搜查列

 

2008年7月29日 星期二

反駭客,學習追蹤IP來自那裡

你知道嗎?一般當駭客的,在入侵別人之前,要先知道對方的IP

在你深入了解IP是什麼時,而很多網站都告訴你

IP是一組沒有義意的一組數字,是在網路上的門牌,不需要特別去記他

不用像手機一樣,選一組好背的,因為已經交給DNS去處理了

你只要記得www.yahoo.com就好,不用去記209.131.36.158這一串數字

也許新手會好奇,為什麼我會知道www.yahoo.com就是209.131.36.158

這個我們可以使用ping的功能就可以得知

也許很多人都會使用ping,來測試網路通不通,但你知道基本的ping是帶有很多資訊的

我們來看看下面的圖
1.的地方是我所下的指令 ping www.yahoo.com
2.的是方是,ping的指令已經幫我去問DNS了,把www.yahoo.com的對應IP問回來,所以我知道IP

3.的地方,是PING這個指令,分別PING了4次遠端的IP,這4 次是有回應的,分別送出後回來的時間是711,750,982,970ms的時間,TTL是51(這個等等再說是什麼東西)
4.的地方是統計,分別是送4次測試封包,回來4個封包,錯誤0個0%錯誤率
5.的也是統計,使用最少的時間和最久的時間,還有平均使用時間

那個TTL,是由本機發出一個數字,跟隨在PING封包上的,以Wondows為例 當你ping時,會把封包的TTL設為128,當封包送到一台路由器,作轉送時,就會把TTL值減1 當TTL=0時,不管那一台機器都不會再幫這個封包轉送了,因為減到底於0,這已經不合乎成本了,轉太多次路徑 當你的封包送到對方的電腦上時,對方收到的PING封包的TTL顯示120,那就代表我的電腦和目標電腦中間有7~8台路由器在作封包的轉送

同樣的,對方也會回應,所以如果走同樣的路徑回應我的話,我收到的封包TTL也會是120 如果以上面為例,看到我的電腦到www.yahoo.com回來變成51,那是不是128-51=77台路由器呢 答案是錯誤的喔,因為不同的作業系統,預設隨ping封包回傳的TTL值是不同的
如果Windows系統,TTL就預設是128開始減
如果是Linux或Unix系統,TTL就是64開始減

所以看TTL的回應值在80~128之間,那大有可能是Windows的系統
如是小於64,那就有可能是Linux或Unix囉 所以這個TTL是一個很重要的資訊 有一些系統是不回應Ping的封包的,所以也就無法得知
也有一些管理員,會特別去修改這個TTL的預設值 (不要小於64都可以,因為以防止TTL=0時被)

so這些資訊看了之後,知道回報的資訊是很多了,我們再整理一下,就可以得到下面的資料
1.由網址知道ip
2.本機和目標主機之間的路由器數量
3.猜測對方的主機系統類型


練習:
你可以PING看看你的區域內的電腦,IP分享器,網路列表機等……看看 反應時間,作業系統

===============================================================
另一進階指令:
tracert
這一指令的內部也是使用ping的原理,使用TTL=0的特性,來給你整理資訊

他會show出你到目標主機之間,所經過的路由器,而且也試著反解成網址給你
而有一些星號的,代表那一台路由器不允許回應ping的封包,所以等到Time Out後,就會顯示*號,就再測下一個了

而反解的部份,如我的圖示2,你可以試著連線到http://www.tfn.net.tw,就知道你和目標主機之間,經過了那一些的電訊公司

除了這樣,你還可以根據下面網址的資料,得知全世界,那一個國家分配到那一段的IP
http://www.blackholes.us/zones/country/

當然了,說了那麼多,會問有沒有圖型介面的軟體,在WINDOWS下當然有啦
NeoTracePro

把以上兩個網路測試最常用的指令,變成圖型介面,易懂易看外,還可以標示出目標主機在地球上那一個位置(參考用,他也是用猜的~),包括中間經過的路由器,還有三種顯示方式,圖型、ICON和列表,會覺得自己是駭客一樣

這顯示方會像tracert的功能


這樣就可以學到,當防毒軟體告知你,有那一個ip攻擊你的時候,就可以查看看,對方是那個國家,那家電訊公司的啦

好工具就如同一把好菜刀,可以作出美味的食物,也可以拿來傷害人,只在於工具在使用者的心是怎麼樣的工具

Google Analytics