Использование IP-адресов для отслеживания пользователей

Автор Крис Грэм (ocProducts)
 Если вы обнаружите, что на вашем веб-сайте есть вредоносная активность, вы можете попытаться отследить эту активность до реального источника или, в крайнем случае, для выявления проблемного компьютера.
 В этом руководстве основное внимание уделяется IP-адресам. Взгляд, ориентированный на участников, представлен в учебнике "Контроль за сайтом сообщества".

Отслеживание пользователей или как работает IP-адресация.

Найдите свой IP-адрес
 Компьютеры часто имеют более одного IP-адреса. По одному для каждого «сетевого интерфейса», такого как сетевая карта или модем.
 Если вы хотите найти свой собственный IP-адрес в том виде, в каком его видит Composr, наведите указатель мыши на значок «Учетная запись» (значок человека) в верхней панели, чтобы найти всплывающую подсказку, содержащую IP-адрес, или используйте сторонний отчет об IP-адресах. сайт .
 
Поиск сетевых настроек
Чтобы узнать о настройках сети в Windows,
введите ipconfig /all в командной строке.
В Linux или Mac введите ifconfig.

DNSstuff - очень полезный веб-сайт для изучения технических проблем, связанных с Интернетом.

 

 Чтобы отследить пользователей, вам необходимо идентифицировать компьютер, выполняющий вредоносное действие: к сожалению, с этой точки зрения, Интернет в значительной степени анонимен и децентрализован и не имеет каких-либо четких юридических полномочий, к которым можно было бы обратиться. В некоторой степени компьютер в Интернете можно идентифицировать по его «IP-адресу» (адресу Интернет-протокола).

 IP-адрес - это 4-байтовый фрагмент данных (обычно, хотя более новый 6-байтовый стандарт появляется уже много лет), представленный обычно в удобочитаемой форме из 4 чисел (0-255), разделенных точками.

 Существует несколько различных источников IP-адресов, однако децентрализация системы может привести к злоупотреблениям:

  • ISP (поставщик услуг Интернета) назначенный IPадрес, с помощью DHCPДля этих адресов нет определенного шаблона. Они предоставляются компьютерам, когда они или их Интернет-маршрутизатор входят в Интернет через ISP. Это наиболее обычный источник IP-адресов, и по мере их изменения нельзя полагаться на то, что пользователь сохранит один и тот же адрес в течение длительного времени; тем не менее, адреса обычно похожи, и функция запрета IP-адресов Composr может использовать «подстановочные знаки». Возможно, другие пользователи в какой-то момент могут получить этот адрес, хотя это маловероятно: если вы запретите широкий диапазон адресов, например 14.*.*.*, вы увеличиваете вероятность конфликта до опасно высокого процента, особенно, если IP-адрес принадлежит популярному интернет-провайдеру.
  • Интернет-провайдер назначил фиксированные IP-адреса. Некоторые интернет-провайдеры предоставляют их, часто за дополнительную плату. Для этих адресов нет определенного шаблона.
  • IP-адрес 10.0.*.* или 192.168.*.* тип локальной сети (немаршрутизируемый [не может перемещаться по Интернету] и открыт для любого локального использования, поскольку его не нужно назначать каким-либо органом власти, что означает, что происходит что-то странное, если вы найдете один из них) .
  • Localhost IP - адрес, 127.0.0.1Если вы видите это, значит, запрос пришел с сервера или IP-адрес был произвольно добавлен в базу данных Composr некоторым кодом, потому что истинный адрес не был известен. Часто это делают импортеры.
Поиск IP-адреса домена
Чтобы узнать, что ваш компьютер считает IP-адресом
Интернет-сервера, введите:
nslookup <server-domain-name>
в командной строке.

 Есть схема выделения и организации IP-адресов - они сдаются в аренду большими блоками. Количество адресов в блоках зависит от того, какой «класс» блока арендуется. Это выходит за рамки данного руководства, за исключением того, что указывается, что IP-адреса, принадлежащие одной и той же компьютерной сети (часто Интернет-провайдеру и, следовательно, сеть, являющаяся всеми пользователями этого Интернет-провайдера из определенного приблизительно географического региона), имеют общий префикс адреса.

 Существует серьезная проблема с идентификацией пользователей по IP-адресу, и это одна из прокси-серверов и шлюзов (также известных как NAT [преобразование сетевых адресов]). Если сеть находится «позади» сервера, который отправляет запросы в Интернет от их имени и передает информацию обратно, используя свои собственные внутренние алгоритмы, то все пользователи этого сервера могут быть видны под одним IP-адресом. Composr попытается определить «настоящий» IP-адрес на основе доступной информации, но мы не можем гарантировать, что это так. AOL известна тем, что использует прокси-серверы, и особенно быстро переключается между IP-адресами при использовании браузера AOL. Для случая шлюза более чем вероятно, что большая школа, например, будет использовать шлюз, а не открывать все школьные компьютеры для доступа в Интернет через их собственные IP-адреса (в этом смысле NAT / шлюз является формой межсетевой экран).

Composr отслеживание.

Composr отслеживает IP-адреса несколькими способами:
  • Когда гость публикует сообщение в Conversr , его IP-адрес можно просмотреть, наведя указатель мыши на указанное имя гостя (где обычно находится имя пользователя реального участника). Если вы нажмете на него, он выполнит операцию по исследованию IP-адреса.
  • Для каждого просмотра страницы сохраняется IP-адрес зрителя страницы. Это позволяет определить, какие области сайта посетил посетитель и в каком порядке.
  • Каждый раз при отправке сохраняется IP-адрес. На экране управления запретом отправителя эти IP-адреса отображаются в раскрывающемся списке.

Инструменты:

Composr предоставляет модули (скриншоты ниже) для работы с собранными данными и настройки:
  • Модуль 'Investigate user' - это основной инструмент для поиска информации об IP-адресе (доступ к нему осуществляется из Admin Zone> Tools> Members> Investigate user).
  • Модуль «Журналы действий» (доступ к нему из Зоны администратора> Аудит> Журналы действий) можно использовать для быстрого поиска информации из отправки, которая не была доступна сразу (например, если пользователь отправил что-то без входа в систему. и, следовательно, не был идентифицирован, но если сканировать IP-адрес, они действительно были идентифицированы). Модуль также можно использовать для блокировки или разблокировки отправителя на основе как участника (предотвращает отправку заявки повторно), так и IP-адреса (предотвращает использование IP-адреса для доступа к сайту).
  • Модуль «Запрещенные IP-адреса» (доступ к нему из «Зона администратора»> «Безопасность»> «Запрещенные IP-адреса») можно использовать для ввода IP-адресов для запрета вместе с примечаниями в произвольной форме.

Инструменты, доступные в разделе аудита административной зоны:

урл.jpg

Инструменты, доступные в разделе безопасности зоны администратора:

2.jpg

Расследование пользователя:

3.jpg

Выбор участника для просмотра журналов действий:

5.jpg

Управление заблокированными IP-адресами:

4.jpg

 Обратите внимание, что доступ к Composr с заблокированных IP-адресов был ограничен с очень ранней точки. Если .htaccess файл доступен и доступен для записи (только для Apache), то здесь записываются запреты, так что PHP даже не нужно инициализировать для обнаружения запрета.

Другие виды бана.

 Composr ( Conversr ) также поддерживает многие другие типы банов и другие карательные инструменты. Дополнительную информацию см. В руководстве «Контроль за сайтом сообщества» .

Подробнее о модуле Investigate User.

Варианты, доступные во время расследования:

5.jpg

Начало расследования:

6.jpg

 Эта страница поиска находит информацию, относящуюся к пользователю веб-сайта. Основным экраном для управления присоединенным участником является профиль участника.
 Composr попытается собрать как можно больше информации, сопоставляя триаду IP-адресаидентификатора участника и имени пользователя / автораПредоставляются ссылки, соответствующие каждому из них, каждая ссылка дает различную точку зрения на то, что, вероятно, является одним пользователем.
 Если вы хотите установить низкоуровневый запрет на использование IP-адресов, рекомендуется тщательно изучить способы использования каждого установленного IP-адреса, выполнив дополнительный поиск на основе IP-адресов (отслеживание связанных IP-адресов приведет вас к этому).

Эти инструменты:

  • Обратный поиск DNS - это попытка найти доменное имя, привязанное к IP-адресу.

  • Поиск DNS - это будет пытаться найти доменное имя, привязанное к IP-адресу, а затем IP-адрес, привязанный к доменному имени: со вторым IP-адресом может быть проведен дальнейший анализ

  • Запрос WHOIS - он попытается найти доменное имя, привязанное к IP-адресу, а затем попытается найти реальные сведения о зарегистрированном владельце этого доменного имени.

  • Ping - это будет видеть, отвечает ли компьютер с IP-адресом на «ping»; серверы часто будут, но настольные компьютеры редко будут

  • Tracert - найдет сетевой маршрут между сервером, который предоставляет этот веб-инструмент, и сервером IP-адреса; он дает представление о местонахождении и подключении связанного компьютера

  • Гео-поиск - это попытается найти географическое местоположение IP-адреса; однако это может быть в значительной степени неточным: например, в прошлом пользователи AOL из Великобритании были показаны как находящиеся в США.

Концепции
айпи адрес
Каждый компьютер, подключенный к Интернету, имеет собственный IP-адрес, хотя IP-адрес может измениться, если этот компьютер «арендовал» его через DHCP.
DHCP
Протокол динамической конфигурации хоста: протокол, который раздает IP-адреса компьютерам в сети (включая те, которые подключаются к Интернету), часто произвольно.
Интернет-провайдер
Прганизация, предоставляющая услуги доступа к сети Интернет и иные связанные с Интернетом услуги.
Шлюз
Шлюз направляет пакеты между одной сетью в другую (например, между сетью и Интернетом) через NAT.
NAT
Трансляция сетевых адресов. NAT позволяет двум сетям связываться с IP-адресами, которые обычный маршрутизатор не мог бы объединить.
Межсетевой экран
Компьютер / бокс, ограничивающий сетевой трафик между сетями; некоторые брандмауэры также являются маршрутизаторами.
Прокси
Прокси-сервер позволяет компьютерам в сети подключаться к Интернету через специальные протоколы прокси-сервера, которые инкапсулируют запросы; затем прокси-сервер декодирует и выполняет их, передавая результаты.
Маршрутизатор
Маршрутизатор соединяет две сети; маршрутизаторы, не являющиеся шлюзами, фактически присоединяются к сетям, так что все компьютеры в сети, подключенной к Интернету, сами становятся частью Интернета.
 

Смотрите также: