5 steg för att undersöka och rapportera missbrukande IP-adress

2017-02-16 14:24:01
Huvud·Tekniskt Råd·5 steg för att undersöka och rapportera missbrukande IP-adress

När en dator eller enhet ansluter till ett internet eller ett lokalt nätverk måste den ha en unik IP-adress tilldelad den i det nätverket. IP-adresstilldelningen utförs automatiskt i bakgrunden av antingen din Internetleverantör om du ansluter till Internet eller av en intern DHCP-tjänst aktiverad på en server eller en router om du ansluter till ett lokalt nätverk. Den fungerar som en identifierare i ett nätverk och kan spåras tillbaka till enheten baserat på datum, tid och IP-adress.

En anslutning till vilken tjänst som helst kommer att exponera din IP-adress för målet. Om du till exempel besöker en webbplats med din webbläsare startar du en anslutning från din dator till webbservern som är värd för webbplatsen. Din IP-adress kommer vanligtvis att loggas av webbservern som kan användas för analytiska trafikrapporter eller till och med för att spåra missbruk som brute force eller DoS-attacker.

En IP-adress är inte bara fyra uppsättningar siffror separerade med 3 prickade decimaler. Med rätt verktyg och onlinetjänster kan du faktiskt hitta mycket information om en IP-adress som kan hjälpa dig att rapportera attackerna till rätt tjänsteleverantör för att de ska kunna vidta nödvändiga åtgärder, till exempel att tillfälligt avbryta tjänsten för att förhindra ytterligare attacker mot andra mål. 1. Upptäck plats för IP-adress

Platsen är den mest grundläggande informationen som du enkelt kan få från en IP-adress. Faktum är att en IP-adress inte innehåller någon information alls, men ändå kan platsen avslöjas genom att fråga en stor IP-geolokationsdatabas som underhålls av olika företag, var och en med olika noggrannhetsgrader. En av våra favoriter är den gratis online-demoversionen av MaxMinds Geo2IP City-databas som inte bara innehåller land utan också mer detaljerad information som underavdelningar, stad, postnummer, latitud och longitud.

Allt du behöver göra är att ange IP-adressen i rutan och klicka på knappen Skicka som omedelbart kommer att visa resultatet på samma sida. Om du inte är nöjd med resultaten som genererats av MaxMinds Geo2IP2-demo är här 6 fler gratis IP till platsalternativ som du kan prova.

Besök MaxMind Geo2IP2 City Database Demo


2. Upptäck proxy från IP-adress

En annan viktig information som du kan få från en IP-adress är genom att kontrollera om den kör en proxyservice. En öppen proxy kan dölja den verkliga användarens IP-adress så om angriparens IP-adress som finns i din brandväggslogg upptäcks som proxy, behöver du inte undersöka ytterligare. Vi hittade tre proxy-detekteringstjänster hittills som har gratis webbaserade demonstrationer som du kan testa.

- IP-intelligens

IP Intelligence har lanserat en gratis webbaserad checker för att upptäcka om en IP-adress är en proxy eller VPN. Allt du behöver göra är att besöka webbadressen ovan, ange en giltig IP-adress och klicka på knappen Sök. Resultaten är ganska intressanta eftersom de är baserade på dynamisk beräkning av stora datamängder. Om systemet fungerar får du ett värde mellan 0 och 1.

Enligt deras guide är allt över 0, 98 troligtvis fullmakter medan över 0, 90 bör undersökas ytterligare för bekräftelse. Skärmdumpen ovan är ett exempel på en IP-adress med en ganska låg poäng som är mycket osannolikt att vara en proxy.

- FraudLabs IP2Proxy Live Product Demo

En andra åsikt skulle hjälpa oss att bekräfta om IP-adressen verkligen är en fullmakt när vi inte kunde besluta från IP-intelligensresultaten. FraudLabs IP2Proxy-proxysökningstjänst tillåter högst 20 sökningar per IP-adress per dag. Online-demot kan användas direkt utan att behöva registrera dig för ett gratis provkonto. Ange IP-adressen i rutan steg 1, klicka på Skicka och kontrollera resultaten från steg 3-rutan.

- IPQualityScore

Förutom att upptäcka en proxy och VPN har IPQualityScore en extra funktion för att upptäcka en tillfällig e-postadress eller en engångsadress. För att utföra proxy / vpn-kontroller av en IP-adress, besök länken ovan, ange en IP-adress, klicka på "Sök IP" -knappen och se resultatet "Proxy / VPN Detection" -resultat. Du kan behöva bläddra upp för att granska resultaten eftersom sidan av någon okänd anledning automatiskt rullar ner till botten av sidan.


3. Upptäck webbplatser som är värd på IP-adress

Om datorn kör en HTTP-webbserver kan serverns IP-adress också avslöja vilken typ av webbplatser den är värd. En enda IP-adress kan faktiskt konfigureras för att vara värd för flera domäner, vilket är en metod som vanligtvis används i delad webbhotell. Återigen förlitar den här metoden sig på att kontrollera en databas som innehåller domäner som är upplösta till IP-adresser och systemet matchar helt enkelt domänerna som löser samma IP-adress.

Den här metoden kallas "Reverse IP Lookup" eller "IP granne". Det finns ett antal sådana tjänster tillgängliga på Internet som erbjuds gratis, men efter testning hittade vi bara två som är ganska tillförlitliga. De visar ett bra antal uppdaterade resultat medan vissa andra fortfarande visar domäner som inte löser den IP-adress som du kontrollerar.

- Majestätisk grannskapskontroll

Majestic är ett utmärkt onlineverktyg som används av många människor i SEO-fältet för att analysera bakåtlänkar. Eftersom de har en egen webbcrawler som hela tiden kontrollerar efter backlinks är det ingen brainer att inkludera resultat som matchar domäner till IP-adresser. Allt du behöver göra är att ange IP-adressen i rutan, välja antingen att använda färskt eller historikindex och klicka på Kontrollera-knappen.

- ViewDNS.info Reverse IP Lookup

ViewDNS.info erbjuder upp till 25 verktyg online gratis, allt från ett enkelt online-Ping-verktyg till det mer komplexa verktyget för omvänd IP. På samma sätt som alla andra webbgränssnitt onlineverktyg, är ViewDNS.infos omvända IP-sökverktyg lika enkelt som att ange IP-adressen eller domänen i den givna rutan och klicka på en knapp visar resultaten. I ett av våra test inkluderade ViewDNS ett av domänerna som saknas i Majestic Neighborhood Checker.


4. Kontrollera IP-adress för svartlista

När det gäller att söka efter svartlistor delas det vanligtvis upp i två olika kategorier som är skräppost och skadlig programvara. Du kan kontrollera IP-adressen i båda kategorierna för att ta reda på om den har använts för att skicka skräppost eller vara värd för skadlig programvara.

- MutiRBL

Även om det finns ganska många gratis RBL-svartlista checkare, finner vi att MultiRBL är en av de mest kompletta där ute som kan utföra uppslag på över 300 RBL. Ange bara IP-adressen och klicka på Skicka. IP-adressen testas sedan automatiskt på den tillgängliga DNS-baserade Blackhole List (DNSBL) eller Realtime Blackhole List (RBL).

När det gäller skanning av en IP-adress för skadlig programvara finns det också en hel del IP-rykte som kan kontrollera som Clean MX, Malc0de, Malware Doamin List, SCUMWARE.org och etc. Manuell kontroll av varje källa kan vara ganska besvärligt. Lyckligtvis finns det några webbplatser som kan kontrollera flera IP-rykte samtidigt och automatiskt samtidigt.

- IPVoid

IPVoid är en gratis skannertjänst för IP-adress som erbjuds av NoVirusThanks. Jag tror att de är medvetna om skillnaderna i resultat mellan skanning av URL och IP-adress, varför de har en annan tjänst som heter URLVoid som är avsedd för skanning av URL, medan IPVoid är avsedd för skanning av IP-adresser. IPVoid kan skanna en IP-adress från 40 olika källor som också innehåller några RBL-kontroller. Skanningsresultaten cachelagras och om den visar en gammal rapport klickar du bara på knappen "Uppdatera rapport" för att initiera en återskanning på IP-adressen.

- Metadefender

Metadefender är en molntjänst som kan skanna filer med 43 olika antivirusmotorer eller skanna en IP-adress från 12 olika källor. Till skillnad från IPVoid som innehåller upp till 40 källor, är Metadefender mer fokuserad på skadliga programkällor och utesluter RBL-kontroller.

Ytterligare anmärkningar : Vi inkluderade inte VirusTotal i listan eftersom den inte rapporterar detekteringen för en IP-adress när en av motorerna flaggar IP-adressen som skadlig. När vi försökte skanna ett värdnamn istället visar det detekteringen korrekt. Detta innebär att VirusTotal URL-skanner är avsedd för en skannings-URL, men inte en IP-adress.


5. Rapportera felaktig IP-adress

När du har gjort all utredning på den skadliga IP-adressen är det sista steget att rapportera den skadliga aktiviteten till rätt myndighet. Du måste skicka brandväggen loggfil som visar attacken till e-postadressen för missbruk som kan hittas genom att utföra en WHOIS på IP-adressen. En av de mest pålitliga tjänsterna som kan utföra en Whois-sökning på en IP-adress är av DomainTools. Skriv bara in IP-adressen och klicka på Sök-knappen som ger en liten lista med kontaktinformation.

Leta efter kontaktuppgifterna för missbrukavdelningen i whois-data. Även om telefonnumret är listat måste du troligen fortfarande skicka e-post till loggfilerna till missbruksavdelningen som bevis.

Besök DomainTools Whois Lookup

Redaktionen