Trovare l'origine di un indirizzo IP

[Mancho]

Il mio antivirus ogni tanto mi dice che ha bloccato un tentativo di intrusione e quando apro la scheda con i report di tutte le azioni effettuate dal software di sicurezza, posso visualizzare l'indirizzo IP da dove è partito l'attacco.

Come si fa a vedere chi è o quantomeno da dove arriva?

[xcdegasp]

se lo ha bloccato l'antivirus non si tratta di una persona fisica ma di un bot o di una macchian infetta dalla quale il worm cercava di inocularsi nel tuo pc..
se avevi aperti skype o msn è facile che l'antivirus blocchi questi tentativi

ma sapendo anche di dove è che risolvi?
ad ogni modo: http://www.who.is/

[71104]

prova anche www.ip2location.com, e tieni presente che ricavare la città credo sia il meglio che si possa fare (niente indirizzo e numero civico, sorry).

[71104]

aggiungo: forse più in dettaglio della città potresti ricavare anche la zona; chessò, per esempio a Roma potresti riuscire a fare la differenza tra zona EUR e Grotta Perfetta (per dire). potresti fare questo utilizzando il traceroute, cosa che ti permette di avere delle ricostruzioni topologiche, ma il problema è che per associare le locazioni topologiche a delle locazioni geografiche dovresti avere come punti di riferimento degli indirizzi IP noti di gente che sai dove abita, e vedere se l'ultimo router del traceroute corrisponde con quello di qualcuno che conosci.

[xcdegasp]

e il tutto a che scopo?
che serve sapere che si tratti di un IP di casterta piuttosto che della california piuttosto che dei caraibi?

tanto mica puoi fargli nulla...

ps: difficilmente capirai chi sia l'ultimo.. mica c'è scritto 71104 sul tuo router

[71104]

Quote:

Originariamente inviato da xcdegasp

e il tutto a che scopo?
che serve sapere che si tratti di un IP di casterta piuttosto che della california piuttosto che dei caraibi?

tanto mica puoi fargli nulla...

fosse uno che abita al palazzo accanto puoi andare a fargli visita con la roncola

ma quasi sicuramente saranno le solite teste di... ehm, le solite teste, che lavorano dalla Turchia o dall'Afghanistan, quindi niente

sempre poi che l'IP non sia spoofato...

Quote:

ps: difficilmente capirai chi sia l'ultimo.. mica c'è scritto 71104 sul tuo router

il traceroute ti mostra una lista di routers e alla fine il tuo IP; io dico, basta vedere se il penultimo IP (cioè l'IP dell'ultimo router che sta subito prima di te) coincide con quello di qualcun altro che so dove abita, e allora sono certo che tu abiti nella sua stessa zona.

[xcdegasp]

Quote:

Originariamente inviato da 71104

il traceroute ti mostra una lista di routers e alla fine il tuo IP; io dico, basta vedere se il penultimo IP (cioè l'IP dell'ultimo router che sta subito prima di te) coincide con quello di qualcun altro che so dove abita, e allora sono certo che tu abiti nella sua stessa zona.

intendevo, associalo correttamente ad un nominativo se ci riesci...
tutto tempo sprecato, come il guardare il log delle connessioni rifiutate da un router

[Riverside]

Quote:

Originariamente inviato da 71104

fosse uno che abita al palazzo accanto puoi andare a fargli visita con la roncola
ma quasi sicuramente saranno le solite teste di... ehm, le solite teste, che lavorano dalla Turchia o dall'Afghanistan, quindi niente
sempre poi che l'IP non sia spoofato...

il traceroute ti mostra una lista di routers e alla fine il tuo IP; io dico, basta vedere se il penultimo IP (cioè l'IP dell'ultimo router che sta subito prima di te) coincide con quello di qualcun altro che so dove abita, e allora sono certo che tu abiti nella sua stessa zona.

Interessante questa tesi

Quote:

Originariamente inviato da xcdegasp

intendevo, associalo correttamente ad un nominativo se ci riesci... tutto tempo sprecato, come il guardare il log delle connessioni rifiutate da un router

Infatti Deg: pensa che quel coso segnalato da 71104, è mostrusamente preciso infatti, secondo il coso, sulla base del mio IP, mi troverei in una città che, da casa mia, dista 200 km circa .

[lancetta]

Quote:

Originariamente inviato da Riverside

Interessante questa tesi

Infatti Deg: pensa che quel coso segnalato da 71104, è mostrusomente preciso infatti, secondo il coso, sulla base del mio IP, mi troverei in una città che, da casa mia, dista 200 km circa .

Con IP dinamico non è che fai un granchè...
Al soc...hem Riverside A me a volte dà Roma, a volte Bari, a volte Cagliari ecc .......

Signor MOD Degasp..Buonasera!

[sampei.nihira]

Io preferirei usare il Visualroute......

[71104]

Quote:

Originariamente inviato da xcdegasp

intendevo, associalo correttamente ad un nominativo se ci riesci...

e come altro posso aver fatto a venire a conoscenza di IP di persone che conosco se non chiedendoglieli?

la mia idea consiste in questo: mettiamo che hai un amico ll'EUR, uno al Torrino, uno al Centro, e così via in varie zone della città. a ciascuno chiedi l'IP e su ciascuno fai un traceroute; poi prendi l'IP di chi fa tentativi di intrusione e fai un traceroute anche su di lui (sei certo che l'IP sia reale solo se gli attacchi avvengono tramite TCP o comunque richiedono una risposta da parte della tua macchina, altrimenti si spoofa facilmente); a quel punto vedi se tante volte hai fortuna e l'ultimo router di quel traceroute corrisponde a quello di uno dei traceroute dei tuoi amici. chiaramente se invece hai idea che chi ti attacca non abiti a Roma ma nel resto del mondo allora a quel punto dovresti allargare la tua mappa topologica chiedendo ad amici che abitano in altri stati, cosa sicuramente più difficile e non molto fattibile a livello pratico; anche perché a quel punto la stessa sottomaschera dell'IP diventa molto più indicativa del traceroute.

[71104]

Quote:

Originariamente inviato da Riverside

Interessante questa tesi

cos'ha che non va?

Quote:

Infatti Deg: pensa che quel coso segnalato da 71104, è mostrusomente preciso infatti, secondo il coso, sulla base del mio IP, mi troverei in una città che, da casa mia, dista 200 km circa .

sempre meglio di who.is, che a me indica che mi trovo ad Amsterdam

who.is non è adatto al lookup di indirizzi IP; funziona decisamente meglio se usato come "elenco telefonico" per trovare le contact information di chi ha registrato un dominio.

[W.S.]

Si ma anche ammettendo che riesci a capire la zona (e già bisogna essere fortunati persino col tuo metodo visto che dovrei conoscere una marea di persone e non sempre è applicabile) rimane il problema di associare l'ip ad una persona. Non solo, chi ci assicura che quella macchina non è altro che uno zombie?
Ed infine, anche ammettendo che ci riusciamo, che ce ne facciamo di questa associazione visto che non avrebbe validità legale?

[71104]

Quote:

Originariamente inviato da W.S.

Si ma anche ammettendo che riesci a capire la zona (e già bisogna essere fortunati persino col tuo metodo visto che dovrei conoscere una marea di persone e non sempre è applicabile) rimane il problema di associare l'ip ad una persona.

quello ho detto chiaramente che nel caso generale secondo me non si può fare: ho spiegato che è possibile risalire solamente alla città (con una certa imprecisione in qualche caso, a quanto pare) e con quel metodo estremo alla zona della città, ma non all'indirizzo.

Quote:

Non solo, chi ci assicura che quella macchina non è altro che uno zombie?

se intanto trovassi un computer infetto che agisse per conto di qualcun altro (se ho capito cosa intendi per zombie) saresti già un passo avanti, e se potessi addirittura metterci le mani riusciresti a capire da dove gli arrivano gli "ordini".

Quote:

Ed infine, anche ammettendo che ci riusciamo, che ce ne facciamo di questa associazione visto che non avrebbe validità legale?

se vuoi agire per vie legali è un discorso completamente diverso: contatti le autorità le quali (se la situazione è grave) contatteranno qualche ISP e riusciranno ad associare precisamente via e numero civico all'IP.

[xcdegasp]

cioè una volta trovata la macchina infetta la vorresti violare?
fammi indovinare, lo spirito d'altruismo ti spinge a disinfestarla perchè segui la tesi "se Maometto non va' alla Montagna è la Montagna che va' da Maometto" ... ?

ti ricordo che oltre ad essere tu dopo il trasgressore e quindi perseguibile a norma di legge potrei anche spedirti in vacanza visto che non è ammesso dal regolamento del forum

è come se uno chiedesse aiuto nel forum e un moderatore entrasse nel suo pc per sistemarlo

[71104]

non è detto che non sia possibile accedere legalmente al PC in questione*, ma se non puoi metterci le mani puoi sempre contattare il legittimo proprietario e comunicargli i tuoi sospetti.

* non sarebbe strano ad esempio se il PC fosse tra quelli dell'aula di Informatica di una scuola o tra quelli di un laboratorio didattico universitario. nella mia università ad esempio il laboratorio del Dipartimento di Informatica è completamente privo di controllo: chiunque entra si logga con l'account temporaneo (se ha fortuna trova addirittura qualche PC rimasto loggato con l'account di qualche studente distratto, potendo così commettere misfatti a nome suo) e fa quello che gli pare. stesso discorso anche per i computers del laboratorio dell'edificio di Matematica, per i quali però servirebbe un po' più di hacking e qualche azione illegale (per es. cracking della password di un account amministrativo) perché l'account temporaneo non può accedere ad Internet. un controllo un pochino maggiore c'è invece al laboratorio di Fisica Nuovo, dove per sedersi ad una postazione è necessario firmare un foglio (peccato però che non controllino quasi mai la carta d'identità).

[xcdegasp]

Quote:

Originariamente inviato da 71104

non è detto che non sia possibile accedere legalmente al PC in questione*, ma se non puoi metterci le mani puoi sempre contattare il legittimo proprietario e comunicargli i tuoi sospetti.

* non sarebbe strano ad esempio se il PC fosse tra quelli dell'aula di Informatica di una scuola o tra quelli di un laboratorio didattico universitario. nella mia università ad esempio il laboratorio del Dipartimento di Informatica è completamente privo di controllo: chiunque entra si logga con l'account temporaneo (se ha fortuna trova addirittura qualche PC rimasto loggato con l'account di qualche studente distratto, potendo così commettere misfatti a nome suo) e fa quello che gli pare. stesso discorso anche per i computers del laboratorio dell'edificio di Matematica, per i quali però servirebbe un po' più di hacking e qualche azione illegale (per es. cracking della password di un account amministrativo) perché l'account temporaneo non può accedere ad Internet. un controllo un pochino maggiore c'è invece al laboratorio di Fisica Nuovo, dove per sedersi ad una postazione è necessario firmare un foglio (peccato però che non controllino quasi mai la carta d'identità).

inutile (e assurdo) tentativo di correggere il tiro!

[71104]

Quote:

Originariamente inviato da xcdegasp

inutile (e assurdo) tentativo di correggere il tiro!

non capisco come mai tu debba per forza interpretare male quello che ho scritto: mi stai prendendo di mira per qualche motivo? lo chiedo perché inizio addirittura a percepire uno stile di scrittura vagamente tendente all'offensivo (hai praticamente detto che ho scritto qualcosa di inutile e assurdo).

[xcdegasp]

non leggerai nulla di offensivo da parte mia ne ora, ne prima ne mai..
semmai ironico, ma mai offensivo.
rilassati che non ti sto adosso, ho ben altro a cui pensare e tu sei e sarai sempre dopo l'ultimo dei miei pensieri

sembri buon san maritano, ma ti ricordo che non puoi in nessun caso sapere se dietro si cela una scuola (in ogni caso non attendono mica te per sanare la situazione) o un privato cittadino (come lo contatti?) o un pc zombie o bot infettivo..

detto questo in nessun caso potresti fare cio che tanto sbandieri come traguardo da raggiungere.. non capisco proprio cosa vorresti dimostrare