教學 - 反駭客，學習追蹤IP來自那裡

[飛鳥]

你知道嗎？一般當駭客的，在入侵別人之前，要先知道對方的IP

在你深入了解IP是什麼時，而很多網站都告訴你

IP是一組沒有義意的一組數字，是在網路上的門牌，不需要特別去記他

不用像手機一樣，選一組好背的，因為已經交給DNS去處理了

你只要記得www.yahoo.com就好，不用去記209.131.36.158這一串數字

也許新手會好奇，為什麼我會知道www.yahoo.com就是209.131.36.158

這個我們可以使用ping的功能就可以得知

也許很多人都會使用ping，來測試網路通不通，但你知道基本的ping是帶有很多資訊的

我們來看看下面的圖


1.的地方是我所下的指令 ping www.yahoo.com
2.的是方是，ping的指令已經幫我去問DNS了，把www.yahoo.com的對應IP問回來，所以我知道IP
3.的地方，是PING這個指令，分別PING了4次遠端的IP，這4 次是有回應的，分別送出後回來的時間是711,750,982,970ms的時間，TTL是51(這個等等再說是什麼東西)
4.的地方是統計，分別是送4次測試封包，回來4個封包，錯誤0個0%錯誤率
5.的也是統計，使用最少的時間和最久的時間，還有平均使用時間

那個TTL，是由本機發出一個數字，跟隨在PING封包上的，以Wondows為例 當你ping時，會把封包的TTL設為128，當封包送到一台路由器，作轉送時，就會把TTL值減1 當TTL=0時，不管那一台機器都不會再幫這個封包轉送了，因為減到底於0，這已經不合乎成本了，轉太多次路徑 當你的封包送到對方的電腦上時，對方收到的PING封包的TTL顯示120，那就代表我的電腦和目標電腦中間有7~8台路由器在作封包的轉送

同樣的，對方也會回應，所以如果走同樣的路徑回應我的話，我收到的封包TTL也會是120 如果以上面為例，看到我的電腦到www.yahoo.com回來變成51，那是不是128-51=77台路由器呢 答案是錯誤的喔，因為不同的作業系統，預設隨ping封包回傳的TTL值是不同的
如果Windows系統，TTL就預設是128開始減
如果是Linux或Unix系統，TTL就是64開始減

所以看TTL的回應值在80~128之間，那大有可能是Windows的系統 如是小於64，那就有可能是Linux或Unix囉 所以這個TTL是一個很重要的資訊 有一些系統是不回應Ping的封包的，所以也就無法得知
也有一些管理員，會特別去修改這個TTL的預設值 (不要小於64都可以，因為以防止TTL=0時被)

so這些資訊看了之後，知道回報的資訊是很多了，我們再整理一下，就可以得到下面的資料
1.由網址知道ip
2.本機和目標主機之間的路由器數量
3.猜測對方的主機系統類型

練習：
你可以PING看看你的區域內的電腦，IP分享器，網路列表機等……看看 反應時間，作業系統

===============================================================
另一進階指令：
tracert 這一指令的內部也是使用ping的原理，使用TTL=0的特性，來給你整理資訊


他會show出你到目標主機之間，所經過的路由器，而且也試著反解成網址給你
而有一些星號的，代表那一台路由器不允許回應ping的封包，所以等到Time Out後，就會顯示*號，就再測下一個了

而反解的部份，如我的圖示2，你可以試著連線到http://www.tfn.net.tw，就知道你和目標主機之間，經過了那一些的電訊公司

除了這樣，你還可以根據下面網址的資料，得知全世界，那一個國家分配到那一段的IP
http://www.blackholes.us/zones/country/

當然了，說了那麼多，會問有沒有圖型介面的軟體，在WINDOWS下當然有啦

NeoTracePro


把以上兩個網路測試最常用的指令，變成圖型介面，易懂易看外，還可以標示出目標主機在地球上那一個位置(參考用，他也是用猜的~)，包括中間經過的路由器，還有三種顯示方式，圖型、ICON和列表，會覺得自己是駭客一樣

這顯示方會像tracert的功能


這樣就可以學到，當防毒軟體告知你，有那一個ip攻擊你的時候，就可以查看看，對方是那個國家，那家電訊公司的啦

好工具就如同一把好菜刀，可以作出美味的食物，也可以拿來傷害人，只在於工具在使用者的心是怎麼樣的工具

歡迎轉貼，請註明出處或http://netgames123.blogspot.com/