Ip adres

[NL1PDV]

hallo,

 

is er een proggie om te kunnnen achterhalen welk IP adres bij welke provider hoort ??

 

Word vaak door symantec gemeld dat er een "ïndringer" is en dat een bepaald Ip adres vaak voor komt die het dus steeds doet..

 

Nu ben ik benieud wie dit is , of bij welke provider deze persoon hoort..

 

[Gast]

inderdaad,gebeurt bij mij ook vaak.ik vindt het zeer irri dat iemand bij mij constant probeert binnen te komen.

ik ben ook benieuwd of je door het ip adres maatregelen kunt treffen. <img src="/ubbthreads/images/graemlins/wink.gif" alt="" />

 

groeten

[Sultan]

probeer DEZE site eens <img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" />.

 

typ het ipadres in en je ziet uiteindelijk bij welke provider het IP-adres hoort.

 

mzzl

[Henkie]

Nee dat helpt niet. Bij de meeste providers wordt het opgegeven abuse adres zelfs niet uitgelezen,

 

[Sultan]

@henkie, ik was je net voor <img src="/ubbthreads/images/graemlins/grin.gif" alt="" />.

 

Het is inderdaad zo dat soms het ip-adres "verkeerd" wordt uitgelezen.

als het gaat om iemand die op jou PC aan het inbreken is, dan zal ie vast ook zijn ip-adres weten te verbergen. en dan kom je er alsnog niet achter wie het was en bij welke provider die hoort

 

mzzl

[alstare]

Kijk hier eens http://www.ripe.net/db/whois/whois.html

gewoon iptje ingeven en voila je hebt de provider.

 

<img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" />

[Gast]

Citaat:

Kijk hier eens http://www.ripe.net/db/whois/whois.html
gewoon iptje ingeven en voila je hebt de provider.

<img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" />

Klopt inderdaad, let er wel op dat het vaak grote blokken zijn die daarna weer aan kleinere providers uitgegeven kunnen worden. Maar je kunt het bedrijf die in het bezit is van het blok wel aanspreken op het misbruik <img src="/ubbthreads/images/graemlins/smirk.gif" alt="" />

Ron

[Henkie]

Meestal zie je dat de adressen die regelmatig voorkomen van de provider zelf zijn. Van bv de smtp server die kijkt of er een client draaid die de post kan aannemen ([color:"red"]B[/color]atch[color:"red"]SMTP[/color]) of providers zoals UPC die regelmatig poort 80, 21, 25 etc. testen om te kijken of er geen (verboden) servers draaien.

 

Zelf werk ik met een linksys router die net als bv zonealarm alle verkeer op je internet verbinding logt.

 

Dit stuur ik elke week door naar Dshield waar het geanaliseerd wordt.

 

Zitten er dan adressen tussen die binnen een bepaalde tijd vaker dan een bepaald aantal malen proberen binnen te komen dan gaat er bij Dshield automatisch namens mij een abuse bericht naar zijn provider.

 

Van de afhandeling van die abuseberichten krijg je dan een verslag. Je ziet dan dat er bij de meeste providers niet eens gereageerd word op een abuse bericht.

 

Hier is zo'n Report:

 

Report Date E-mail Fightback Sent Source IP View Reply

2003-04-01 09:15:13 abuse@uu.net 2003-04-03 08:06:38 065.247.177.026 View N

2003-02-25 21:44:45 hostmaster@chello.at 2003-02-25 16:55:27 062.194.178.092 View N

2003-02-25 07:57:08 dmitry@tsu.tula.ru 2003-02-25 16:55:24 062.076.049.175 View N

2003-02-24 23:57:35 rafael.lopez@maxcom.com.mx 2003-02-25 16:55:25 200.066.099.046 View N

2003-02-23 04:52:42 sachin.mehra@in.spectranet.com 2003-02-25 16:55:23 203.122.033.085 View N

2003-02-23 00:56:57 hostmaster@nic.or.kr 2003-02-25 16:55:29 061.072.099.023 View N

2003-02-18 09:32:24 VBRAZON@CANTV.NET 2003-02-19 14:46:46 216.072.130.090 View N

2003-02-18 00:05:10 ipas@cnnic.net.cn 2003-02-19 14:46:45 218.099.003.012 View N

2003-02-17 16:33:27 hostmaster@chello.at 2003-02-19 14:46:50 062.194.080.096 View N

2003-02-17 15:47:31 hostmaster@chello.at 2003-02-19 14:46:44 062.163.061.171 View N

2003-02-10 22:40:17 abuse@telstra.net 2003-02-12 17:31:15 203.040.170.201 View N

2003-02-10 20:41:54 hostmaster@chello.at 2003-02-12 17:31:36 062.194.242.229 View N

2003-02-10 11:41:46 abuse@eth.net 2003-02-12 17:31:19 061.011.052.038 View N

2003-02-10 08:09:06 prachark_chu@telecomasia.co.th 2003-02-12 17:31:24 202.133.167.212 View N

2003-02-10 03:39:35 NOC@SPRINT.NET 2003-02-12 17:31:29 158.252.223.130 View N

2003-02-09 14:42:45 hostmaster@chello.at 2003-02-12 17:31:33 213.093.003.074 View N

2002-12-06 06:44:26 abuse@ntlworld.com 2002-12-07 01:48:11 213.106.160.013 View A

2002-12-01 06:10:31 abuse@att.net 2002-12-02 04:38:12 012.235.242.227 View A

2002-10-14 20:21:41 ip@nuri.net 2002-10-27 16:51:33 203.238.012.038 View ?

 

De [color:"blue"]N[/color] aan het einde van een regel geeft aan dat er geen reply van de provider is geweest en dat er dus niets mee gedaan wordt.

 

Op Dshield kun je ook nakijken of je PC gehacht is en deelneemd aan acties tegen de deelnemers van Dshield.

 

Met bv alleen zonealarm kun je ook deelnemen en je log files aanbieden bij Dshield

[Pino]

ripe.net is meestal wel voldoende... en de firewall laat meestal meer zien dan gewenst is . Als het constant dezelfde ip is moet je kijken hoevaak en in welke range hij je aanspreekt en met welke soort pakketje <img src="/ubbthreads/images/graemlins/wink.gif" alt="" />

[Gast]

Meeste mensen denk dat als firewall gaat knipperen dat ze dan direct met een hacker te maken hebben,dit is niet zo.

Meestal zijn het computers die (dmv spyware bijv in kazaa )je surfgedrag in de gaten houden om zo te weten te komen welke sites je in geintereseert bent en je hierna met reclamemail te bestoken heel af en toe kunnen er gastjes zijn die een range of ip af scannen op open poorten dan gaat firewall ook knipperen maar dat betekent niet dat ze al aan het hacken zijn.Als je geen virus in je pc hebt hoef je niet zo snel bang te zijn voor hackers.

[EL PIÑO]

Klopt inderdaad, let er wel op dat het vaak grote blokken zijn die daarna weer aan kleinere providers uitgegeven kunnen worden. Maar je kunt het bedrijf die in het bezit is van het blok wel aanspreken op het misbruik

 

Nee hoor, de meeste providers staan (ook als ze het onderhuren van een grotere) gewoon vermeld. De meeste acces providers sowieso omdat deze grotere blokken direct huren van RIPE. Het zijn eigenlijk alleen de kleinere huurders (bijv. met een paar IP's) die niet vermeld worden.

De oorspronkelijke provider wordt altijd bij de tweede 'alinea' vermeld.

 

Als het trouwens van ergens anders is heb je niets aan RIPE, kijk dan eens op uwhois.com, hier kun je alle IP's, domeinen, etc. checken..

 

En een abuse sturen heeft wel degelijk zin want er zijn ook veel providers die wel hun abuse adres lezen, en er ook daadwerkelijk wat aan doen...

 

En als laatse nog: Veel van die dingen (ik denk zelfs allemaal) die jij ziet zijn echt geen hackers, oid. Dit kunnen bijv portscans zijn, van KaZaA gebruikers (alleen als je KaZaA aan hebt staan) om te kijken op welke poort ze bij jou het spul af kunnen leveren of op kunnen halen. Dit kunnen ook Windows gebruikers zijn die hun systeem niet goed geconfigureerd hebben (die zijn er heel erg veel) en denken dat de hele wereld hun lan is. Windows doet dan een Netbios scan om te kijken wat er bij jou allemaal te halen valt.. Verder zijn er nog veel meer mogelijkheden, maar veel firewalls voor particulieren overdrijven nogal en geven eigenlijk geen goede uitleg zodat je onnodig wordt bang gemaakt.