广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3096 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
Alan-Lin
个人头像
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x19 鲜花 x132
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 如何追踪入侵者
作者:( 作 者 E-Mail:variox01 @ms1.hinet.net )     来源:Internet
入 侵 者 的 追 踪 (Intruder Tracing)
在 区 域 网 路 上 可 能 你 听 过 所 谓 「 广 播 模 式 」 的 资 料 发 送 方 法 , 此 种 方 法 不 指 定 收 信 站 , 只 要 和 此 网 路 连 结 的 所 有 网 路 设 备 皆 为 收 信 对 象 。 但 是 这 仅 仅 在 区 域 网 路 上 能 够 实 行 , 因 为 区 域 网 路 上 的 机 器 不 多 (和 Internet比 起 来 )。 如 果 想 是 Internet上 有 数 千 万 的 主 机 , 根 本 就 不 可 能 实 施 资 料 广 播 (至 于 IP Multicast算 是 一 种 限 定 式 广 播 Restricted Broadcast, 唯 有 被 指 定 的 机 器 会 收 到 , Internet上 其 他 电 脑 还 是 不 会 收 到 )。 假 设 Internet上 可 以 实 施 非 限 定 广 播 , 那 随 便 一 个 人 发 出 广 播 讯 息 , 全 世 界 的 电 脑 皆 受 其 影 响 , 岂 不 世 界 大 乱 ? 因 此 , 任 何 区 域 网 路 内 的 路 由 器 或 是 类 似 网 路 设 备 都 不 会 将 自 己 区 域 网 路 内 的 广 播 讯 息 转 送 出 去 。 万 一 在 WAN Port收 到 广 播 讯 息 , 也 不 会 转 进 自 己 的 LAN Port中 。
而 既 然 网 路 皆 有 发 信 站 与 收 信 站 , 用 以 标 示 资 讯 发 送 者 与 资 讯 接 收 者 , 除 非 对 方 使 用 一 些 特 殊 的 封 包 封 装 方 式 或 是 使 用 防 火 墙 对 外 连 线 , 那 么 只 要 有 人 和 你 的 主 机 进 行 通 讯 (寄 信 或 是 telnet、 ftp过 来 都 算 )你 就 应 该 会 知 道 对 方 的 位 址 , 如 果 对 方 用 了 防 火 墙 来 和 你 通 讯 , 你 最 少 也 能 够 知 道 防 火 墙 的 位 址 。 也 正 因 为 只 要 有 人 和 你 连 线 , 你 就 能 知 道 对 方 的 位 址 , 那 么 要 不 要 知 道 对 方 位 址 只 是 要 做 不 做 的 问 题 而 已 。 如 果 对 方 是 透 过 一 台 UNIX主 机 和 你 连 线 , 则 你 更 可 以 透 过 ident查 到 是 谁 和 你 连 线 的 (ident在 元 月 号 专 栏 已 经 有 作 过 讲 解 , 不 再 赘 述 )。
在 实 行 TCP/IP通 讯 协 定 的 电 脑 上 , 通 常 可 以 用 netstat指 令 来 看 到 目 前 连 线 的 状 况 。 (各 位 读 者 可 以 在 win95、 Novell以 及 UNIX试 试 看 (注 一 )), 在 下 面 的 连 线 状 况 中 , netstat指 令 是 在 win95上 实 行 的 , 可 以 看 到 目 前 自 己 机 器 (Local Address处 )的 telnet port有 一 台 主 机 workstation.variox.int由 远 端 (Foreign Address 处 )连 线 进 来 并 且 配 到 1029号 tcp port.而 ccunix1主 机 也 以 ftp port连 到 workstation.variox.int去 。 所 有 的 连 线 状 况 看 得 一 清 二 楚 。 (如 A、 B)
A.在 UNIX主 机 (ccunix1.variox.int)看 netstat
B.另 一 端 在 Windows 95(workstation.variox.int) 看 netstat
虽 然 是 不 同 的 作 业 系 统 , 但 netstat是 不 是 长 得 很 像 呢 ?
 
通 信 过 程 的 纪 录 设 定
当 然 , 如 果 你 想 要 把 网 路 连 线 纪 录 给 记 录 下 来 , 你 可 以 用 cron table定 时 去 跑 :
netstat > > filename
但 是 UNIX系 统 早 已 考 虑 到 这 一 个 需 求 , 因 此 在 系 统 中 有 一 个 专 职 记 录 系 统 事 件 的 Daemon: syslogd, 应 该 有 很 多 读 者 都 知 道 在 UNIX系 统 的 /var/adm下 面 有 两 个 系 统 纪 录 档 案 : syslog与 messages, 一 个 是 一 般 系 统 的 纪 录 , 一 个 是 核 心 的 纪 录 。 但 是 这 两 个 档 案 是 从 哪 边 来 的 , 又 要 如 何 设 定 呢 ?
系 统 的 纪 录 基 本 上 都 是 由 syslogd(System Kernel Log Daemon)来 产 生 , 而 syslogd的 控 制 是 由 /etc/syslog.conf来 做 的 。 syslog.conf以 两 个 栏 位 来 决 定 要 记 录 哪 些 东 西 , 以 及 记 录 到 哪 边 去 。 下 面 是 一 个 Linux系 统 所 附 上 的 syslog.conf档 案 , 这 也 是 一 个 最 标 准 的 syslog.conf写 法 :
格 式 就 是 这 样 子 , 第 一 栏 写 「 在 什 么 情 况 下 」 以 及 「 什 么 程 度 」 。 然 后 用 TAB键 跳 下 一 栏 继 续 写 「 符 合 条 件 以 后 要 做 什 么 」 。 这 个 syslog.conf档 案 的 作 者 很 诚 实 , 告 诉 你 只 能 用 TAB来 作 各 栏 位 之 间 的 分 隔 (虽 然 看 来 好 像 他 也 不 知 道 为 什 么 )。
第 一 栏 包 含 了 何 种 情 况 与 程 度 , 中 间 小 数 点 分 隔 。 另 外 , 星 号 就 代 表 了 某 一 细 项 中 的 所 有 选 项 。 详 细 的 设 定 方 式 如 下 :
 
1. 在 什 么 情 况 : 各 种 不 同 的 情 况 以 下 面 的 字 串 来 决 定 。
 
auth 关 于 系 统 安 全 与 使 用 者 认 证 方 面
cron 关 于 系 统 自 动 排 程 执 行 (Cron Table)方 面
daemon 关 于 背 景 执 行 程 式 方 面
kern 关 于 系 统 核 心 方 面
lpr 关 于 印 表 机 方 面
mail 关 于 电 子 邮 件 方 面
news 关 于 新 闻 讨 论 区 方 面
syslog 关 于 系 统 纪 录 本 身 方 面
user 关 于 使 用 者 方 面
uucp 关 于 UNIX互 拷 (UUCP)方 面
 
上 面 是 大 部 份 的 UNIX系 统 都 会 有 的 情 况 , 而 有 些 UNIX系 统 可 能 会 再 分 出 不 同 的 项 目 出 来 。
 
2. 什 么 程 度 才 记 录 : 下 面 是 各 种 不 同 的 系 统 状 况 程 度 , 依 照 轻 重 缓 急 排 列 。
 
none 不 要 记 录 这 一 项
debug 程 式 或 系 统 本 身 除 错 讯 息
info 一 般 性 资 讯
notice 提 醒 注 意 性
err 发 生 错 误
warning 警 告 性
crit 较 严 重 的 警 告
alert 再 严 重 一 点 的 警 告
emerg 已 经 非 常 严 重 了
同 样 地 , 各 种 UNIX系 统 可 能 会 有 不 同 的 程 度 表 示 方 式 。 有 些 系 统 是 不 另 外 区 分 crit与 alert的 差 别 , 也 有 的 系 统 会 有 更 多 种 类 的 程 度 变 化 。 在 记 录 时 , syslogd会 自 动 将 你 所 设 定 程 度 以 及 其 上 的 都 一 并 记 录 下 来 。
例 如 若 你 要 系 统 去 记 录 info等 级 的 事 件 , 则 notice、 err.warning、 crit、 alert、 emerg等 在 info等 级 以 上 的 也 会 一 并 被 记 录 下 来 。 把 上 面 所 写 的 1、 2项 以 小 数 点 组 合 起 来 就 是 完 整 的 「 要 记 录 哪 些 东 西 」 的 写 法 。 例 如 mail.info表 示 关 于 电 子 邮 件 传 送 系 统 的 一 般 性 讯 息 。 auth.emerg就 是 关 于 系 统 安 全 方 面 相 当 严 重 的 讯 息 。 lpr.none表 示 不 要 记 录 关 于 列 表 机 的 讯 息 (通 常 用 在 有 多 个 纪 录 条 件 时 组 合 使 用 )。 另 外 有 三 种 特 殊 的 符 号 可 供 应 用 :
1. 星 号 (*)
星 号 代 表 某 一 细 项 中 所 有 项 目 。 例 如 mail.*表 示 只 要 有 关 mail的 , 不 管 什 么 程 度 都 要 记 录 下 来 。 而 *.info会 把 所 有 程 度 为 info的 事 件 给 记 录 下 来 。
2. 等 号 (= )
等 号 表 示 只 记 录 目 前 这 一 等 级 , 其 上 的 等 级 不 要 记 录 。 例 如 刚 刚 的 例 子 , 平 常 写 下 info等 级 时 , 也 会 把 位 于 info等 级 上 面 的 notice、 err.warning、 crit、 alert、 emerg等 其 他 等 级 也 记 录 下 来 。 但 若 你 写 =info则 就 只 有 记 录 info这 一 等 级 了 。
3. 惊 叹 号 (! )
惊 叹 号 表 示 不 要 记 录 目 前 这 一 等 级 以 及 其 上 的 等 级 。
 
记 录 到 哪 边 去
一 般 的 syslogd都 提 供 下 列 的 管 道 以 供 您 记 录 系 统 发 生 的 什 么 事 :
 
1. 一 般 档 案
这 是 最 普 遍 的 方 式 。 你 可 以 指 定 好 档 案 路 径 与 档 案 名 称 , 但 是 必 须 以 目 录 符 号 「 /」 开 始 , 系 统 才 会 知 道 这 是 一 个 档 案 。 例 如 /var/adm/maillog表 示 要 记 录 到 /var/adm下 面 一 个 称 为 maillog的 档 案 。 如 果 之 前 没 有 这 个 档 案 , 系 统 会 自 动 产 生 一 个 。
 
2. 指 定 的 终 端 机 或 其 他 设 备
你 也 可 以 将 系 统 纪 录 写 到 一 个 终 端 机 或 是 设 备 上 。 若 将 系 统 纪 录 写 到 终 端 机 , 则 目 前 正 在 使 用 该 终 端 机 的 使 用 者 就 会 直 接 在 萤 幕 上 看 到 系 统 讯 息 (例 如 /dev/console或 是 /dev/tty1.你 可 以 拿 一 个 萤 幕 专 门 来 显 示 系 统 讯 息 )。 若 将 系 统 纪 录 写 到 印 表 机 , 则 你 会 有 一 长 条 印 满 系 统 纪 录 的 纸 (例 如 /dev/lp0)。
 
3. 指 定 的 使 用 者
你 也 可 以 在 这 边 列 出 一 串 使 用 者 名 称 , 则 这 些 使 用 者 如 果 正 好 上 线 的 话 , 就 会 在 他 的 终 端 机 上 看 到 系 统 讯 息 (例 如 root, 注 意 写 的 时 候 在 使 用 者 名 称 前 面 不 要 再 加 上 其 他 的 字 )。
 
4. 指 定 的 远 端 主 机
这 种 写 法 不 将 系 统 讯 息 记 录 在 连 接 本 地 机 器 上 , 而 记 录 在 其 他 主 机 上 。 有 些 情 况 系 统 碰 到 的 是 硬 碟 错 误 , 或 是 万 一 有 人 把 主 机 推 倒 , 硬 碟 摔 坏 了 , 那 你 要 到 哪 边 去 拿 系 统 纪 录 来 看 呢 ? 而 网 路 卡 只 要 你 不 把 它 折 断 , 应 该 是 比 硬 碟 机 耐 摔 得 多 了 。 因 此 , 如 果 你 觉 得 某 些 情 况 下 可 能 纪 录 没 办 法 存 进 硬 碟 里 , 你 可 以 把 系 统 纪 录 丢 到 其 他 的 主 机 上 。 如 果 你 要 这 样 做 , 你 可 以 写 下 主 机 名 称 , 然 后 在 主 机 名 称 前 面 加 上 「 @」 符 号 (例 如 @ccunix1.variox. int, 但 被 你 指 定 的 主 机 上 必 须 要 有 syslogd)。
在 以 上 各 种 纪 录 方 式 中 , 都 没 有 电 子 邮 件 这 项 。 因 为 电 子 信 件 要 等 收 件 者 去 收 信 才 看 得 到 , 有 些 情 况 可 能 是 很 紧 急 的 , 没 办 法 等 你 去 拿 信 来 看 (BSD的 Manual Page写 着 「 when you got mail, it’ s already too late...」 )。
以 上 就 是 syslog各 项 纪 录 程 度 以 及 纪 录 方 式 的 写 法 , 各 位 读 者 可 以 依 照 自 己 的 需 求 记 录 下 自 己 所 需 要 的 内 容 。 但 是 这 些 纪 录 都 是 一 直 堆 上 去 的 , 除 非 您 将 档 案 自 行 删 除 掉 , 否 则 这 些 档 案 就 会 越 来 越 大 。 有 的 人 可 能 会 在 syslogd.conf里 面 写 :
*.* /var/log/everything
要 是 这 样 的 话 , 当 然 所 有 的 情 况 都 被 你 记 录 下 来 了 。 但 是 如 果 真 的 系 统 出 事 了 , 你 可 能 要 从 好 几 十 MB 甚 至 几 百 MB 的 文 字 中 找 出 到 底 是 哪 边 出 问 题 , 这 样 可 能 对 你 一 点 帮 助 都 没 有 。 因 此 , 以 下 两 点 可 以 帮 助 你 快 速 找 到 重 要 的 纪 录 内 容 :
 
1. 定 期 检 查 纪 录
养 成 每 周 (或 是 更 短 的 时 间 , 如 果 你 有 空 的 话 )看 一 次 纪 录 档 的 习 惯 。 如 果 有 需 要 将 旧 的 纪 录 档 备 份 , 可 以 cp log log.1, cp log log.2...或 是 cp log log.971013, cp log log.980101...等 , 将 过 期 的 纪 录 档 依 照 流 水 号 或 是 日 期 存 起 来 , 未 来 考 察 时 也 比 较 容 易 。
 
2. 只 记 录 有 用 的 东 西
千 万 不 要 像 前 面 的 例 子 一 样 , 记 录 下 *.*然 后 放 在 一 个 档 案 中 。 这 样 的 结 果 会 导 致 档 案 太 大 , 要 找 资 料 时 根 本 无 法 马 上 找 出 来 。 有 人 在 记 录 网 路 通 讯 时 , 连 谁 去 ping他 的 主 机 都 记 录 。 除 非 是 系 统 已 经 遭 到 很 大 的 威 胁 , 没 事 就 有 人 喜 欢 尝 试 进 入 你 的 系 统 , 否 则 这 种 鸡 毛 蒜 皮 的 小 事 可 以 不 用 记 录 。 可 以 提 升 些 许 系 统 效 率 以 及 降 低 磁 碟 用 量 (当 然 也 节 省 你 的 时 间 )。
 
地 理 位 置 的 追 踪
如 何 查 出 入 侵 者 的 地 理 位 置 ? 光 看 IP Address可 能 看 不 出 来 , 但 是 你 常 看 的 话 , 会 发 现 140.xxx的 很 多 都 是 台 湾 学 术 网 路 的 主 机 , 而 168.95. xxx.xxx的 一 定 是 HiNet的 主 机 (168.95.0为 HiNet Class B网 路 )。
在 固 接 式 的 网 路 环 境 中 , 入 侵 者 一 定 和 网 路 提 供 单 位 有 着 密 切 的 关 系 。 因 为 假 设 是 区 域 网 路 , 那 么 距 离 绝 对 不 出 几 公 里 。 就 算 是 拨 接 好 了 , 也 很 少 人 会 花 大 笔 钱 去 拨 外 县 市 甚 至 国 外 的 拨 接 伺 服 器 。 因 此 , 只 要 查 出 连 线 的 单 位 , 入 侵 者 必 然 离 连 线 单 位 不 远 。
拨 接 式 的 网 路 就 比 较 令 人 头 疼 了 。 以 前 笔 者 申 请 HiNet的 hntp2.hinet.net帐 号 时 , 拿 了 自 己 的 身 分 证 和 印 章 , 跑 到 电 信 局 去 签 了 一 堆 文 件 , 看 完 网 路 规 范 以 后 才 有 HiNet网 路 可 以 用 。 时 隔 多 年 , 现 在 hntp2早 没 了 , 冒 出 一 大 堆 msxx.hinet.net以 及 民 营 ISP, 有 许 多 ISP为 了 吸 引 客 户 , 卖 了 很 多 的 所 谓 小 时 卡 、 记 点 卡 … … 等 等 不 需 申 请 , 帐 号 密 码 就 直 接 附 在 上 面 的 卡 片 。 User这 边 只 要 买 了 固 定 的 小 时 数 , 不 需 须 另 外 向 ISP那 边 提 出 申 请 , 就 可 以 按 照 卡 片 上 的 说 明 自 行 拨 接 上 网 。 这 样 当 然 可 以 吸 引 客 户 , 但 是 ISP就 根 本 无 从 得 知 是 谁 在 用 他 们 的 网 路 。
也 就 是 说 , 虽 然 以 小 时 卡 提 供 拨 接 服 务 给 拨 接 使 用 者 带 来 相 当 大 的 便 利 , 但 却 是 系 统 安 全 的 大 敌 , 网 路 管 理 员 的 恶 梦 。 如 果 入 侵 你 的 人 是 使 用 小 时 卡 来 上 网 , 那 … … , 要 从 拨 号 的 地 点 查 吗 ? 笔 者 在 前 几 期 的 系 统 安 全 专 栏 就 讲 过 了 , 入 侵 者 可 以 不 要 用 自 己 家 里 的 电 话 上 网 。 管 它 是 偷 是 抢 , 或 是 盗 打 090王 八 机 , 反 正 查 到 的 发 话 来 源 绝 不 是 入 侵 者 自 己 的 电 话 。
 
来 话 者 电 话 侦 测 (Caller ID)
各 位 读 者 家 中 有 ISDN吗 ? 如 果 你 用 过 ISDN的 Caller ID功 能 , 会 发 现 真 是 方 便 极 了 , 对 方 的 号 码 马 上 就 显 示 出 来 给 你 看 。 看 到 女 朋 友 打 电 话 来 , 马 上 就 接 了 起 来 ; 而 杂 志 社 的 打 来 催 稿 , 就 打 开 电 话 答 录 机 假 装 不 在 家 … … 但 是 Caller ID依 然 有 失 效 的 时 候 。 笔 者 这 次 特 地 和 陈 冠 宇 先 生 (本 刊 作 者 )做 了 下 面 的 测 试 , 看 看 Caller ID可 以 显 示 出 哪 些 号 码 (受 测 机 种 为 Zyxel, 终 端 机 使 用 Windows NT的 Hyper Terminal): 要 显 示 来 话 方 号 码 的 前 提 是 , 对 方 必 须 是 透 过 数 位 交 换 机 打 到 你 这 边 , 在 台 湾 有 某 些 地 区 仍 然 使 用 机 械 式 交 换 机 , 如 果 你 打 电 话 的 交 换 路 径 中 , 有 经 过 这 些 机 械 式 的 交 换 机 , 那 么 依 然 无 法 显 示 出 号 码 来 。 太 电 以 及 其 他 民 营 的 行 动 电 话 因 为 笔 者 手 边 没 有 , 所 以 无 法 测 试 。 而 国 际 电 话 因 一 时 找 不 到 国 外 的 朋 友 可 以 配 合 作 测 试 , 因 此 也 没 有 办 法 将 结 果 向 各 位 读 者 报 告 (如 果 各 位 读 者 手 边 有 太 电 , 远 传 这 些 民 营 的 行 动 电 话 , 可 以 和 笔 者 联 络 测 试 )。
 
如 何 靠 IP Address或 Domain Name找 出 入 侵 者 位 置 ?
虽 然 电 话 不 一 定 查 得 出 来 , 但 是 至 少 你 会 知 道 他 的 IP Address。 IP Address的 使 用 必 须 向 InterNIC登 记 , 而 Domain Name要 向 当 地 直 属 的 网 路 管 理 中 心 登 记 。 在 Internet上 的 网 路 管 理 中 心 共 有 三 个 层 级 (单 位 性 质 一 定 为 NET):
 
1. 国 际 等 级
国 际 等 级 只 有 InterNIC一 个 , 全 球 各 国 的 NIC以 及 洲 际 NIC均 由 其 管 理 。 http://www.i...nic .net)。
 
2. 洲 际 等 级
InterNIC并 不 直 接 管 理 整 个 Internet, 其 下 的 网 路 资 源 会 再 做 分 区 。 例 如 台 湾 、 日 本 、 香 港 等 亚 太 地 区 国 家 , 由 亚 太 洲 际 网 路 管 理 中 心 (Asian-Pacific NIC, APNIC, 位 于 日 本 )来 管 理 , 并 不 直 接 由 InterNIC管 理 http://www.a....net)。
 
3. 国 家 等 级
Domain Name后 面 不 挂 国 码 的 不 是 由 InterNIC管 理 就 是 由 洲 际 的 NIC管 理 , 但 是 有 挂 国 码 的 由 当 地 国 家 之 NIC管 理 , 惯 例 是 两 位 国 码 加 上 NIC就 是 该 国 NIC之 名 称 。 例 如 台 湾 之 国 码 为 TW, 则 台 湾 网 路 管 理 中 心 为 TWNIC http://www.t....net), 但 由 于 InterNIC位 于 美 国 , 因 此 美 国 的 Domain Name由 InterNIC直 辖 。 有 一 个 特 别 的 例 外 是 挂 .mil的 美 国 军 方 网 路 的 资 料 是 由 ddn.mil(美 国 军 事 防 卫 网 路 )来 管 理 , 不 由 InterNIC管 理 , 当 您 得 到 某 个 Domain Name或 是 IP Address后 , 可 以 使 用 whois来 查 出 资 料 , 语 法 如 下 :
 
whois -h < whois 伺 服 器 > < 查 询 对 象 >
例 如 向 whois.internic.net 查 询 hp.com, 需 输 入 :
 
whois -h whois.internic.net hp.com
whois 也 可 能 使 用 下 列 语 法 :
 
whois < 查 询 对 象 > @< whois 伺 服 器 >
例 如 向 whois.twnic.net 查 询 ntu.edu.tw 需 输 入 :
 
whois ntu.edu.tw@whois.twnic.net
目 前 在 Slackware Linux 附 上 的 为 后 者 。
Domain Name 命 名 的 三 种 情 况
虽 然 同 样 是 Domain Name, 可 能 你 会 遇 到 三 种 命 名 的 不 同 情 况 。 在 许 多 国 家 *.edu.*是 由 NIC以 外 的 单 位 所 管 理 (如 教 育 部 ), 而 属 性 也 不 一 定 是 三 个 字 母 , 甚 至 没 有 属 性 。 在 判 断 单 位 性 质 时 读 者 宜 多 加 注 意 , 以 免 找 不 到 资 料 。
 
1.标 准 国 码 + 三 码 属 性 码 (或 没 有 国 码 , 仅 有 属 性 码 )
普 遍 使 用 于 欧 洲 , 美 洲 国 家 以 及 部 份 东 南 亚 国 家 。 如 台 湾 常 见 *.edu.tw、 *.com.tw, 美 国 的 *.com、 *.edu。
 
2.标 准 国 码 + 二 码 属 性 码
以 离 我 国 最 近 的 日 本 、 中 华 人 民 共 和 国 为 例 , 公 司 属 性 为 co, 社 团 属 性 为 or, 和 三 码 定 义 的 com、 org略 有 不 同 。 如 日 本 万 代 公 司 之 Homepage为 bandai.co.jp..., 如 果 读 者 要 使 用 公 司 名 称 拼 凑 出 完 整 主 机 名 称 时 , 需 注 意 日 本 为 仅 有 两 码 属 性 码 之 地 区 , 否 则 若 猜 测 其 为 bandai.com.jp...就 会 发 生 错 误 (注 : 在 国 际 通 信 范 例 中 , 无 论 是 无 线 电 通 信 、 国 际 越 洋 电 话 、 乃 至 于 网 际 网 路 等 , 均 将 台 湾 与 中 国 大 陆 划 分 为 两 个 不 同 国 家 。 笔 者 在 此 特 称 中 华 人 民 共 和 国 除 突 显 此 一 特 性 外 , 并 无 其 他 涵 义 , 读 者 勿 需 自 行 揣 测 其 他 意 义 )。
 
3. 仅 有 标 准 国 码 , 未 有 任 何 属 性 码
如 澳 洲 的 主 机 均 为 仅 有 *.au之 主 机 名 称 , 未 有 任 何 其 他 的 com、 co、 或 任 何 单 位 属 性 码 后 面 直 接 接 上 单 位 名 称 。
 
由 Domain Name查 出 连 线 单 位 资 料
在 Internet上 惯 例 由 whois服 务 来 查 询 连 线 单 位 的 登 记 资 料 , whois本 来 应 该 是 用 来 查 某 人 的 电 话 或 是 其 他 资 料 的 (有 点 像 是 finger或 是 现 在 很 流 行 的 寻 人 服 务 , 像 是 whowhere、 bigfoot之 类 的 , 请 上 whowhere.com...一 探 究 竟 ), 但 是 在 NIC方 面 是 用 来 查 出 连 线 单 位 的 电 话 以 及 住 址 , 技 术 联 络 人 等 。 符 合 该 NIC管 理 权 限 的 单 位 资 料 会 存 放 于 该 单 位 的 whois主 机 中 , 惯 例 是 whois+ NIC名 称 + net。 例 如 亚 太 地 区 网 路 管 理 中 心 whois server为 whois.apnic.net, 台 湾 网 路 中 心 whois server为 whois.twnic.net。
当 你 知 道 某 台 主 机 的 Domain Name以 后 , 可 以 依 照 下 面 顺 序 查 出 连 线 单 位 的 电 话 住 址 等 资 料 。 第 一 步 , 先 看 有 没 有 国 码 。 没 有 国 码 的 , 向 whois.internic.net问 ; 有 国 码 的 , 向 whois.国 码 nic.net问 (ex. whois.twnic.net)。
另 外 , 如 果 你 要 查 美 国 军 事 单 位 的 联 络 明 细 (假 如 某 天 你 发 现 有 人 利 用 美 国 海 军 的 网 路 来 入 侵 你 的 电 脑 )则 你 需 要 向 nic.ddn.mil查 询 , 方 可 查 到 资 料 。 例 如 查 出 美 国 陆 军 的 资 料 : 但 FBI等 调 查 机 构 属 政 府 单 位 , 非 军 事 单 位 , 查 询 时 需 注 意 :
 
由 Domain Name查 出 资 料
如 您 能 从 nslookup查 出 某 一 IP Address之 FQDN, 则 可 以 直 接 向 当 地 NIC查 出 入 侵 者 网 路 之 资 料 :
 
1.由 美 国 入 侵 的 例 子 :
由 xxx.aol.com入 侵 由 主 机 名 称 发 现 未 有 国 码 , 因 此 直 接 向 InterNIC查 询 。 由 此 我 们 可 以 查 到 America Online的 技 术 负 责 人 以 及 电 话 、 传 真 等 资 料 , 把 你 的 系 统 纪 录 档 准 备 好 , 发 封 传 真 去 告 洋 状 吧 !
 
2.由 台 湾 入 侵 的 例 子 :
由 Hope Net入 侵 (cded1. hope.com.tw) 由 于 TWNIC目 前 whois资 料 库 不 知 怎 么 的 不 见 了 , 故 请 改 由 dbms.seed.net.tw查 出 hope.com.tw之 中 文 名 称 , 再 打 104询 问 该 公 司 的 电 话 ! (图 一 ) 现 在 如 果 直 接 由 whois.twnic.net查 询 会 这 样 :
 
只 有 IP Address的 查 法
若 某 天 您 发 现 由 168.95.109.222有 人 入 侵 , 假 设 您 不 知 道 这 是 HiNet的 网 路 , 而 这 个 IP Address也 没 有 Domain Name的 话 , 则 须 先 将 IP Address分 等 级 , 再 向 InterNIC查 询 :
(以 下 作 为 范 例 之 位 址 均 为 虚 构 , 如 有 雷 同 , 纯 属 巧 合 )。
 
1.由 15.4.75.2入 侵 的 例 子 :
此 IP Address是 15开 头 , 为 一 个 Class A网 路 , 故 向 InterNIC查 询 15.0: 查 出 此 IP Address为 惠 普 公 司 所 有
 
2. 由 203.66.35.1入 侵 的 例 子
这 是 一 个 Class C IP, 因 此 必 须 查 询 至 少 二 次 , 一 般 是 三 次 。 顺 序 为 国 际 - > 洲 际 - > 所 属 国 家 。 先 查 203.0:
出 来 一 大 堆 , 怎 么 办 ? 有 的 情 况 只 好 再 追 问 Class B。 由 于 InterNIC将 部 份 Class C交 给 洲 际 管 理 机 构 来 负 责 配 给 , 因 此 有 些 Class C的 资 料 会 在 洲 际 管 理 机 构 , 此 时 先 向 InterNIC查 出 所 属 洲 际 管 理 机 构 (用 Class B问 )。 问 到 203.66为 亚 太 地 区 洲 际 网 路 , 于 是 向 whois.apnic.net询 问 203.66.35.0: 查 了 三 次 以 后 , 终 于 查 到 203.66.35.0为 :
在 一 堆 资 料 中 查 到 203.66.35.1, 此 一 IP Address为 Forwardness Technology Co. Ltd.所 有 , 电 话 地 址 也 一 并 附 在 上 面 (这 是 笔 者 朋 友 开 的 网 路 公 司 )。
由 以 上 的 查 法 , 可 以 由 任 一 主 机 名 称 或 IP Address查 到 连 线 者 网 路 单 位 的 资 料 , 如 果 您 发 现 该 网 路 单 位 下 属 主 机 对 您 的 网 路 有 攻 击 行 为 , 请 检 具 资 料 告 诉 对 方 的 系 统 管 理 员 (对 方 不 一 定 接 受 , 笔 者 就 碰 过 很 恶 劣 的 系 统 管 理 员 ! )。
下 面 是 Windows 95的 hosts档 案 : 当 您 没 有 DNS的 时 候 , 您 可 以 拿 这 个 来 将 Domain Name< - > IP Address的 对 应 工 作 做 好 。 写 法 就 和 UNIX一 样 。 Microsoft的 这 个 hosts档 案 写 的 是 给 chicago用 的 , 这 是 windows 95的 开 发 代 号 , 看 见 没 ? (看 来 Microsoft出 windows 95时 太 赶 , 忘 了 修 正 这 些 小 东 西 ), 不 过 各 位 读 者 要 注 意 的 是 , 原 先 的 hosts档 案 档 名 是 hosts.sam, 您 要 自 己 将 档 名 改 成 hosts才 能 用 。


[ 此文章被Alan-Lin在2005-03-16 13:03重新编辑 ]



献花 x0 回到顶端 [楼 主] From:局域网对方和您在同一内部网 | Posted:2005-03-16 12:52 |
devilchc 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢康慨分享及用心整理,好心有好报喔!


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-04-04 14:55 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058704 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言