-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Qsin wrote:
| Здравейте, | | Към нашия сървър по FTP се връзва едно IP - 65.199.38.34. Връзката | не е от БГ пииринга, а единствения ни международен контрагент по | този проект ползва адреси започващи с 206. | | При малко търсене и помощ от ISP-то се установи че този IP адрес е | на регистрация към ARIN.NET. От тяхната база се разбра, че този | адрес е на UUNET Technologies, Inc. | | Как мога да разбера кой е крайния потребител на това IP. Притеснява | ме защото IP-то не е UP непрекъснато, а traceroute-а стига до | 65.199.38.33. | | Явор Атанасов | :))
Първо малко корекции. Не може един IP адрес да е на регистрация към ARIN (терминлогията е друга). Обяснявам. Процедурата е следната. IANA е централния разпределител на адресни пространства. Ето ти т.нар. "адресен план" с алокациите към регионалните IP регистри (ARIN, RIPE, APNIC, LACNIC). IANA раздава на регистрите мрежови пространства с дължина /8. Те от своя страна могат да правят алокации за автономни системи. Участниците в Интернет подават заявка към съответния регионален регистър за алокиране на адресно пространство и включването му в дадена автономна система. На практика регионалния регистър дава под наем съответното адресно пространство. Разбира се има и заплащане, иначе какъв наем е това.
Второ, това, че един IP адрес е алокиран от ARIN още не значи, че той географски се намира в района на действие на този регистър. Може да се намира преспокойно в Африка или на Малдивските острови. При съвременото развитие на VPN технологиите, може да нямаш никаква представа къде се намира релно машината, на която е асоцииран той. Например, в моята мрежа има едни специални 3 IP адреса, които би трябвало да се намират в София, но на практика единият се намира в Амстердам, а останалите два в Цукуба (Япония). Така, че не бих те съветвал да се доверяваш на traceroute информацията, която разчита на "next hop".
Трето, това, че traceroute заявките ти стигат до някъде и оттам нататък не получаваш информация за следвания маршрут е напълно нормално явление. Просто някой администратор е счел, че няма да допуска traceroute и толкова:) Повечето го правят за свое успокоение. Виждал съм мрежи с отрязан traceroute и ping и с wu-ftp демони от ранния мезозой, ntp демони, които можеш да пренастроиш отвън и да излъжеш машината, че всъщност сега е 1979 година, и се получава така, че слагаме филтри за протколи, а не си поддържаме демоните. Т.е. анахронизми има много в Интернет и човек трябва да ги приема весело за да не откачи.
Четвърто, доколкото всеки IP протокол може да се маршрутизира самостоятелно, може да не виждаш истинския път на TCP протокола (чрез него се прави FTP сесия). Възможно е traceroute заявките да минават по един маршрут, а TCP по друг. Т.е. не вярвай много на очите си. Също така не вярвай много на traceroute и nmap инструменти да ти кажат дали наистина хоста е UP. Може един хоста да не е UP и отново да пингваш и traceroute-ваш този IP адрес. Едни фенове от университета в Единбург бяха направили огледално адресно пространство за гасене на атаки. Имаха една голяма машинка SGI и на един неин интерфейс бяха наблъскали 140 IP адреса. Когато на централния рутер идваше ICMP echo request или UDP пакет за портове изпозлвани за traceroute, те го насочваха към SGI машината (същото правеха и за някой TCP пакети). От друга страна нужните за работата на хората пакети и сесии се маршрутизираха "правилно". Така, се получаваше, че дори една машина да е изключена физически, тя винаги е UP за външния свят. Това ти го казвам за да видиш на какви невероятни случи можеш да се натъкнеш.
Ако се свързва като anonymous какви са ти притесненията? Нали за това имате FTP сървър. Който не иска да има FTP сесии от непознати, да не си пуска FTP сърър. Виж, ако някой от US прави FTP сесия от името на потребител, който е в България, си е повод за разследване. Най-малкото питай потребителя дали се е свързвал и коя мрежа (ако въобще може да ти каже подобна информация). Освен това хората пътуват, ползват едни IP адреси в работата, други в къщи и т.н... Т.е. не очаквай разследване по IP адрес да ти реши проблемите. Ако искаш всичко да бъде изрядно от гледна точка на влизането в системата на неанонимни поттебители, си слагаш ProFTPD и компилираш "--with-modules=mod_tls:mod_vroot...." и правиш .tlslogin файл в $HOME на всеки потребител и влизането става само след представяне на валиден X.509, който ти или някое друго CA е подписало, а не с паролка (което е турбо отвратително) в открит текст (последното е турбо мега отвратително). Така ще имаш много по-надеждна информация кой е влизал (кражбата на сертификат е далеч по-трудна от кражбата на паролка).
~ Поздрави ~ Весо
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFAIglA+48lZPXaa+MRAmlaAKDaGUcjyQq4kU3moQqIKLL9TovDXgCg/lOE 6clW7r6qivqq65l6cyT72Cw= =tT6g -----END PGP SIGNATURE-----
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
