Frank V Asked: 2009-06-19 15:37:12 +0800 CST2009-06-19 15:37:12 +0800 CST 2009-06-19 15:37:12 +0800 CST IP 地址跟踪 772 如果您想跟踪一个 IP 地址,因为该 IP 地址是攻击和滥用的来源,您将如何实现?有什么办法可以找出谁在使用给定的 IP 地址,还有什么办法可以阻止它? 更新:目的地(服务器所在的位置)在美国。消息来源表明它也是美国,但就像有人建议的那样,IP 地址可能被欺骗了......我仍然愿意接受进一步的输入/细节...... 谢谢, 弗兰克 trace ip-address abuse 6 个回答 Voted Ben Dunlap 2009-06-19T15:53:21+08:002009-06-19T15:53:21+08:00 如果你有一台非 Windows 机器,whois <ip>这是你的第一步。这会将 IP 绑定到网络,甚至可能为您提供“滥用”联系人,通常是电子邮件地址。您可以在那里通过电子邮件发送滥用报告。您也可以尝试nslookup <ip>获取域名,然后在 abuse.net 上查找。 如果您运行的是 Windows,请从ARIN 的 web whois开始。如果 IP 地址不在美国,这可能会导致您访问另一个网络 whois 服务。 resonator 2009-06-19T15:52:55+08:002009-06-19T15:52:55+08:00 拥有 IP 的 ISP 是唯一真正知道注册到 IP 的人的身份的群体。您可以期望的最佳信息是您可以从dnsstuff获得的信息。 如果事情很严重,并且您想对此采取措施,那么您唯一的选择就是向警方报告。 您可以从防火墙中删除该 IP 地址中的所有内容,这可能会有所帮助,但如果它们是一个不错的破解者,它们很可能会通过代理反弹,并且只会从不同的角度进入。 如果他们只是在寻找信息,请不要太担心。确保您的应用程序是操作系统补丁。如果它是像 DDoS 攻击这样更恶意的东西,那么有防火墙能够阻止它们,不过我自己并不熟悉它们。如果他们已经进入,那么在这里进行搜索。几天前,我看到了有关如何从入侵中恢复的内容。 Josh Brower 2009-06-19T16:30:23+08:002009-06-19T16:30:23+08:00 根据攻击(DoS、某些端口扫描等),IP 地址很可能会被欺骗。而且,正如其他人已经说过的那样,即使您确实获得了有效的(非欺骗性)IP,终端主机也很可能是被用作垫脚石/中继的受感染机器。 此外,永远不要“回击”这是不道德的,很可能在您居住的地方是非法的,并且至少对情况没有帮助。 Anapologetos RainyRat 2009-06-19T15:50:11+08:002009-06-19T15:50:11+08:00 第一步 - 使用 WHOIS 找出违规 IP 的位置;如果幸运的话,这将为您提供一个国家/地区、ISP/注册商,甚至是一个公司地址。 womble 2009-06-19T15:51:32+08:002009-06-19T15:51:32+08:00 要阻止攻击,只需在网络中尽可能“上游”设置 IP 地址(在您的边界)。为了追踪 IP 地址的“用户”,我通常使用: dig -x <IP>了解 IP 地址可能是什么(DSL、拨号、动态 IP 与静态 IP,甚至是诚实的密码箱); whois <IP>找出谁是网络块的负责实体(如果您想报告滥用行为并尝试从源头上阻止它,则应包含联系方式) 我从不做的一件事是使用nmapIP 地址来了解机器上运行的操作系统和服务,看看我是否可以远程访问它或让它崩溃以阻止滥用。那会很淘气。 Bob 2009-06-20T08:35:26+08:002009-06-20T08:35:26+08:00 当追踪坏东西回到它的源头时,我总是从基于网络的 whois 查找开始。我不希望任何看起来来自我的地址块的查询靠近攻击。我最喜欢的是网络解决方案查找: http: //www.networksolutions.com/whois/index.jsp,然后我会根据需要通过供应商找到拥有该地址的 ISP。 您接下来要采取的步骤实际上取决于您所看到的攻击/滥用的类型。你可以在你的边界阻止攻击,切断用户的账户(如果他们有你的话),你可以通过电子邮件发送给 ISP 的滥用热线并向他们提供关于攻击的数据(时间、网络流量等)并让他们切断它们,如果发生犯罪活动,您可以报警。 我认为值得在这里指出的是,如果你认为你可能会报警,如果 ISP 跨越州界,除非有重大经济损失,否则 FBI 不会真正感兴趣。如果您在一个州内交易,则可以将跟踪或儿童色情等事件带到当地警察局。
如果你有一台非 Windows 机器,
whois <ip>这是你的第一步。这会将 IP 绑定到网络,甚至可能为您提供“滥用”联系人,通常是电子邮件地址。您可以在那里通过电子邮件发送滥用报告。您也可以尝试nslookup <ip>获取域名,然后在 abuse.net 上查找。如果您运行的是 Windows,请从ARIN 的 web whois开始。如果 IP 地址不在美国,这可能会导致您访问另一个网络 whois 服务。
拥有 IP 的 ISP 是唯一真正知道注册到 IP 的人的身份的群体。您可以期望的最佳信息是您可以从dnsstuff获得的信息。
如果事情很严重,并且您想对此采取措施,那么您唯一的选择就是向警方报告。
您可以从防火墙中删除该 IP 地址中的所有内容,这可能会有所帮助,但如果它们是一个不错的破解者,它们很可能会通过代理反弹,并且只会从不同的角度进入。
如果他们只是在寻找信息,请不要太担心。确保您的应用程序是操作系统补丁。如果它是像 DDoS 攻击这样更恶意的东西,那么有防火墙能够阻止它们,不过我自己并不熟悉它们。如果他们已经进入,那么在这里进行搜索。几天前,我看到了有关如何从入侵中恢复的内容。
根据攻击(DoS、某些端口扫描等),IP 地址很可能会被欺骗。而且,正如其他人已经说过的那样,即使您确实获得了有效的(非欺骗性)IP,终端主机也很可能是被用作垫脚石/中继的受感染机器。
此外,永远不要“回击”这是不道德的,很可能在您居住的地方是非法的,并且至少对情况没有帮助。
Anapologetos
第一步 - 使用 WHOIS 找出违规 IP 的位置;如果幸运的话,这将为您提供一个国家/地区、ISP/注册商,甚至是一个公司地址。
要阻止攻击,只需在网络中尽可能“上游”设置 IP 地址(在您的边界)。为了追踪 IP 地址的“用户”,我通常使用:
dig -x <IP>了解 IP 地址可能是什么(DSL、拨号、动态 IP 与静态 IP,甚至是诚实的密码箱);whois <IP>找出谁是网络块的负责实体(如果您想报告滥用行为并尝试从源头上阻止它,则应包含联系方式)nmapIP 地址来了解机器上运行的操作系统和服务,看看我是否可以远程访问它或让它崩溃以阻止滥用。那会很淘气。当追踪坏东西回到它的源头时,我总是从基于网络的 whois 查找开始。我不希望任何看起来来自我的地址块的查询靠近攻击。我最喜欢的是网络解决方案查找: http: //www.networksolutions.com/whois/index.jsp,然后我会根据需要通过供应商找到拥有该地址的 ISP。
您接下来要采取的步骤实际上取决于您所看到的攻击/滥用的类型。你可以在你的边界阻止攻击,切断用户的账户(如果他们有你的话),你可以通过电子邮件发送给 ISP 的滥用热线并向他们提供关于攻击的数据(时间、网络流量等)并让他们切断它们,如果发生犯罪活动,您可以报警。
我认为值得在这里指出的是,如果你认为你可能会报警,如果 ISP 跨越州界,除非有重大经济损失,否则 FBI 不会真正感兴趣。如果您在一个州内交易,则可以将跟踪或儿童色情等事件带到当地警察局。