Rastreio de endereço IP

Se você tem uma máquina que não é Windows, whois <ip> é o primeiro passo. Isso amarrará o IP a uma rede e possivelmente até lhe fornecerá um contato de 'abuso', geralmente um endereço de e-mail. Você pode enviar um relatório de abuso por e-mail. Você também pode tentar usar nslookup <ip> para obter um nome de domínio e verificar isso em abuse.net .

Se você estiver executando o Windows, comece com a página web do ARIN . Isso pode levar você a outro serviço da web, se o endereço IP não estiver localizado nos EUA.

O ISP que possui o IP é o único grupo que realmente conhece a identidade da pessoa registrada em um IP. A melhor informação que você pode esperar é o que você pode obter de dnsstuff .

Se o assunto for sério e você quiser que algo seja feito, a única opção seria denunciá-lo à polícia.

Você pode largar tudo desse endereço IP no seu firewall, o que pode ajudar por um tempo, mas as chances são de que se eles forem um cracker decente, eles estarão saltando através de proxies e virão de um ângulo diferente.

Se eles estão apenas procurando informações, não se preocupe muito. Certifique-se de que seus aplicativos estejam no sistema operacional. Se é algo mais malicioso como um ataque DDoS, existem firewalls capazes de pará-los, mas eu não estou familiarizado com eles. Se eles já tiverem entrado, faça uma pesquisa aqui. Eu vi algo há alguns dias sobre como se recuperar de uma invasão.

Dependendo do ataque, (DoS, determinadas verificações de portas, etc), o endereço IP provavelmente será falsificado. E, como outros já afirmaram, mesmo se você obtiver um IP válido (não falsificado), provavelmente o host final é uma máquina comprometida que está sendo usada como um trampolim / relé.

Além disso, nunca "hack-back" Isso é antiético, provavelmente ilegal onde você mora, e não ajuda a situação no mínimo.

Anapologetos

Primeiro passo - use o WHOIS para descobrir onde está o IP ofensivo; você terá um país, ISP / registrador ou até mesmo um endereço comercial, se tiver sorte.

Para interromper ataques, basta fazer o firewall do endereço IP até o máximo "upstream" de sua rede (na fronteira). Para rastrear o "usuário" de um endereço IP, geralmente uso:

• dig -x <IP> para ter uma ideia do que o endereço IP pode ser (DSL, dial-up, IP dinâmico vs estático, ou até mesmo uma caixa colo honesto-para-bondade);
• whois <IP> para descobrir quem é a entidade responsável pelo netblock (deve conter detalhes de contato se quiser denunciar o abuso e tentar pará-lo em sua origem)
• Uma coisa que nunca faço é usar nmap em um endereço IP para ter uma ideia do sistema operacional e dos serviços em execução na máquina para ver se posso acessá-lo remotamente ou travá-lo para interromper o abuso. Isso seria desobediente.

Ao rastrear coisas ruins de volta à sua fonte, sempre começo com uma pesquisa whois baseada na web. Eu não quero nenhuma pergunta que pareça vir do meu bloco de endereços chegando perto do ataque. Meu favorito é a pesquisa de soluções de rede: link e, em seguida, eu trabalho de volta através dos provedores conforme apropriado para encontrar o ISP que possui o endereço.

Quais são os próximos passos que você toma realmente dependentes do tipo de ataque / abuso que você está vendo. Você poderia bloquear ataques em sua fronteira, cortar a conta do usuário (se eles têm um com você), você poderia enviar e-mail a linha de abuso do ISP e fornecer-lhes dados sobre os ataques (tempos, fluxos de rede, etc.) e deixá-los cortá-los e em casos de atividade criminosa você poderia chamar a polícia.

Eu acho que vale a pena ressaltar aqui que, nos casos em que você acha que pode chamar a polícia, se o ISP estiver do outro lado do estado, o FBI não estará realmente interessado, a menos que haja perdas financeiras SIGNIFICATIVAS. Se você estiver lidando com um estado, incidentes como perseguição ou pornografia infantil podem ser levados para a polícia local.