5 trinn for å undersøke og rapportere om misbruk av IP-adresse

2017-02-16 14:24:01
Hoved~~Pos=Trunc·Teknisk Veiledning·5 trinn for å undersøke og rapportere om misbruk av IP-adresse

Hver gang en datamaskin eller enhet kobles til et internett eller lokalt nettverk, må den ha en unik IP-adresse tildelt den i det nettverket. IP-adressetildelingen utføres automatisk i bakgrunnen av enten Internett-leverandøren din hvis du kobler til Internett, eller av en intern DHCP-tjeneste aktivert på en server eller en ruter hvis du kobler til et lokalt nettverk. Den fungerer som en identifikator i et nettverk og kan spores tilbake til enheten basert på dato, klokkeslett og IP-adresse.

En tilkobling til hvilken som helst tjeneste vil eksponere IP-adressen din for målet. Hvis du for eksempel besøker et nettsted som bruker nettleseren din, vil det starte en forbindelse fra datamaskinen din til webserveren som er vert for nettstedet. IP-adressen din blir vanligvis logget av webserveren som kan brukes til analytiske trafikkrapporter eller til og med for å spore voldelig oppførsel som brute force eller DoS-angrep.

En IP-adresse er ikke bare fire sett med tall atskilt med 3 prikkede desimaler. Ved å bruke riktige verktøy og online tjenester, kan du faktisk finne mye informasjon om en IP-adresse som kan hjelpe deg med å rapportere angrepene til den rette tjenesteleverandøren for at de skal kunne gjøre de nødvendige tiltak, for eksempel midlertidig å stoppe tjenesten for å forhindre ytterligere angrep på andre mål. 1. Finn sted for IP-adresse

Den mest grunnleggende informasjonen som du enkelt kan få fra en IP-adresse, er plasseringen. Faktisk inneholder ikke en IP-adresse noen informasjon i det hele tatt, men likevel kan plasseringen avsløres ved å spørre om en stor IP-geolokasjonsdatabase som opprettholdes av forskjellige selskaper, hver med ulik grad av nøyaktighet. En av våre favoritter er den gratis online demoversjonen av MaxMinds Geo2IP City-database som inkluderer ikke bare land, men også mer detaljert informasjon som underavdelinger, by, postnummer, breddegrad og lengdegrad.

Alt du trenger å gjøre er å oppgi IP-adressen i boksen og klikke på Send-knappen som øyeblikkelig gir resultatet på samme side. Hvis du ikke er fornøyd med resultatene som genereres av MaxMinds Geo2IP2-demo, er her 6 flere gratis IP til stedsalternativer som du kan prøve.

Besøk MaxMind Geo2IP2 City Database Demo


2. Oppdag proxy fra IP-adresse

En annen viktig informasjon som du kan få fra en IP-adresse, er å sjekke om den kjører en proxy-tjeneste. En åpen proxy er i stand til å skjule den virkelige brukerens IP-adresse, så hvis angriperens IP-adresse som finnes i brannmurloggen din blir oppdaget som proxy, er det ikke nødvendig å undersøke nærmere. Vi har funnet tre proxy-deteksjonstjenester så langt som har gratis nettbaserte demoer du kan teste.

- IP-intelligens

IP Intelligence har lansert en gratis nettbasert kontroller for å oppdage om en IP-adresse er en proxy eller VPN. Alt du trenger å gjøre er å besøke URLen ovenfor, oppgi en gyldig IP-adresse og klikke på Oppslag-knappen. Resultatene er ganske interessante, ettersom de er basert på dynamisk beregning av store datasett. Hvis systemet fungerer, får du en verdi mellom 0 og 1.

I følge guiden deres er alt over 0, 98 sannsynligvis fullmektiger mens over 0, 90 bør undersøkes nærmere for bekreftelse. Skjermbildet over er et eksempel på en IP-adresse med en ganske lav poengsum som det er svært lite sannsynlig å være en proxy.

- FraudLabs IP2Proxy Live Product Demo

En annen mening vil hjelpe oss med å bekrefte om IP-adressen virkelig er en fullmakt når vi ikke kunne bestemme oss fra IP Intelligence-resultatene. FraudLabs IP2Proxy proxy-deteksjon webtjeneste tillater maksimalt 20 oppslag per IP-adresse per dag. Online-demoen kan brukes med en gang uten å måtte registrere deg for en gratis prøvekonto. Skriv inn IP-adressen i trinn 1-boksen, klikk på Send og sjekk resultatene fra trinn 3-boksen.

- IPQualityScore

Bortsett fra å oppdage en proxy og VPN, har IPQualityScore en tilleggsfunksjon for å oppdage en midlertidig eller disponibel e-postadresse. For å utføre proxy / vpn-kontroller av en IP-adresse, besøk koblingen ovenfor, skriv inn en IP-adresse, klikk på “Lookup IP” -knappen og se “Proxy / VPN Detection” -resultatet. Det kan hende du må bla opp for å se gjennom resultatene fordi siden av en eller annen ukjent grunn siden automatisk ruller ned til bunnen av siden.


3. Oppdage nettsteder som er vert på IP-adresse

Hvis datamaskinen kjører en HTTP-webserver, kan serverens IP-adresse også avsløre hvilken type nettsteder den er vert. En enkelt IP-adresse kan faktisk konfigureres til å være vert for flere domener, som er en metode som ofte brukes i delt webhotell. Igjen er denne metoden avhengig av å sjekke en database som inneholder domener som er løst til IP-adresser, og systemet samsvarer ganske enkelt med domenene som løses til samme IP-adresse.

Denne metoden er kjent som “Reverse IP Lookup” eller “IP neighbour”. Det er en rekke slike tjenester tilgjengelig på Internett som tilbys gratis, men etter testing fant vi bare 2 som er ganske pålitelige. De viser et godt antall oppdaterte resultater, mens noen andre fremdeles viser domener som ikke løser IP-adressen du sjekker.

- Majestic Neighborhood Checker

Majestic er et utmerket online verktøy som brukes av mange mennesker i SEO-feltet for å analysere tilbakekoblinger. Siden de har en egen webcrawler som kontinuerlig sjekker etter tilbakekoblinger, er det ingen brainer å inkludere resultater som matcher domener til IP-adresser. Alt du trenger å gjøre er å oppgi IP-adressen i boksen, velg enten å bruke fersk eller historieindeks og klikke på Kontroller-knappen.

- ViewDNS.info Omvendt IP-oppslag

ViewDNS.info tilbyr opptil 25 online verktøy gratis, alt fra et enkelt online Ping-verktøy til det mer komplekse omvendt IP-oppslagsverktøyet. I likhet med alle andre nettverktøy for nettgrensesnitt, er det like enkelt å bruke ViewDNS.info omvendt IP-oppslagsverktøy som å legge inn IP-adressen eller domenet i den gitte boksen og klikke på en knapp for å avsløre resultatene. I en av testene våre inkluderte ViewDNS ett av domenet som er savnet i Majestic Neighborhood Checker.


4. Sjekk IP-adresse for svarteliste

Når det gjelder å se etter svartelister, blir det ofte delt inn i to forskjellige kategorier som er spam og malware. Du kan sjekke IP-adressen i begge kategoriene for å finne ut om den har blitt brukt til å sende spam eller være vert for malware.

- MutiRBL

Selv om det finnes ganske mange gratis RBL-svartelistesjekkere, finner vi at MultiRBL er en av de mest komplette der ute som kan utføre oppslag på over 300 RBL-er. Bare skriv inn IP-adressen og klikk på Send-knappen. IP-adressen blir deretter automatisk testet på den tilgjengelige DNS-baserte Blackhole List (DNSBL) eller Realtime Blackhole List (RBL).

Når det gjelder skanning av en IP-adresse for skadelig programvare, er det også ganske mange IP-omdømmekilder som kan sjekke for eksempel Clean MX, Malc0de, Malware Doamin List, SCUMWARE.org og etc. Manuelt å sjekke hver kilde kan være ganske plagsomt. Heldigvis er det noen nettsteder som kan kontrollere flere IP-omdømmekilder samtidig og automatisk samtidig.

- IPVoid

IPVoid er en gratis skannertjeneste for IP-adresser som tilbys av NoVirusThanks. Jeg tror de er klar over forskjellene i resultatet mellom skanning av URL og IP-adresse, og det er grunnen til at de har en annen tjeneste kalt URLVoid som er ment for skanning av nettadresser, mens IPVoid er for skanning av IP-adresser. IPVoid kan skanne en IP-adresse fra 40 forskjellige kilder som også inkluderer noen få RBL-sjekker. Skanningsresultatene blir lagt inn i hurtigbufferen, og hvis den viser en gammel rapport, klikker du bare på "Oppdater rapport" -knappen for å starte en skanning på IP-adressen.

- Metadefender

Metadefender er en skytjeneste som kan skanne filer med 43 forskjellige antivirusmotorer, eller skanne en IP-adresse fra 12 forskjellige kilder. I motsetning til IPVoid som inkluderer opptil 40 kilder, er Metadefender mer fokusert på malware-kilder og utelukker RBL-sjekker.

Ytterligere merknader : Vi har ikke inkludert VirusTotal på listen fordi den ikke rapporterer gjenkjenningen for en IP-adresse når en av motorene flagger IP-adressen som ondsinnet. Når vi prøvde å skanne et vertsnavn i stedet, viser det deteksjonen riktig. Dette betyr at VirusTotal URL-skanner er ment for en skannings-URL, men ikke en IP-adresse.


5. Rapportering av misbruk av IP-adresse

Etter at du har gjort all etterforskningen på den misbrukende IP-adressen, er det siste trinnet å rapportere den ondsinnede aktiviteten til riktig myndighet. Du må sende brannmurloggfilen som viser angrepet til misbrukens e-postadresse som kan bli funnet ved å utføre en WHOIS på IP-adressen. En av de mest pålitelige tjenestene som kan utføre en Whois-oppslag på en IP-adresse, er av DomainTools. Bare skriv inn IP-adressen og klikk på Søk-knappen som vil returnere en liten liste over kontaktinformasjon.

Se etter kontaktinformasjon for misbruksavdelingen i whois-dataene. Selv om telefonnummeret er oppført, vil du sannsynligvis fortsatt måtte sende loggfilene til misbruksavdelingen som bevis.

Besøk DomainTools Whois Lookup

Redaksjonens