作者:( 作 者 E-Mail:variox01 @ms1.hinet.net ) 來源:Internet
入 侵 者 的 追 蹤 (Intruder Tracing)
在 區 域 網 路 上 可 能 你 聽 過 所 謂 「 廣 播 模 式 」 的 資 料 發 送 方 法 , 此 種 方 法 不 指 定 收 信 站 , 只 要 和 此 網 路 連 結 的 所 有 網 路 設 備 皆 為 收 信 對 象 。 但 是 這 僅 僅 在 區 域 網 路 上 能 夠 實 行 , 因 為 區 域 網 路 上 的 機 器 不 多 (和 Internet比 起 來 )。 如 果 想 是 Internet上 有 數 千 萬 的 主 機 , 根 本 就 不 可 能 實 施 資 料 廣 播 (至 於 IP Multicast算 是 一 種 限 定 式 廣 播 Restricted Broadcast, 唯 有 被 指 定 的 機 器 會 收 到 , Internet上 其 他 電 腦 還 是 不 會 收 到 )。 假 設 Internet上 可 以 實 施 非 限 定 廣 播 , 那 隨 便 一 個 人 發 出 廣 播 訊 息 , 全 世 界 的 電 腦 皆 受 其 影 響 , 豈 不 世 界 大 亂 ? 因 此 , 任 何 區 域 網 路 內 的 路 由 器 或 是 類 似 網 路 設 備 都 不 會 將 自 己 區 域 網 路 內 的 廣 播 訊 息 轉 送 出 去 。 萬 一 在 WAN Port收 到 廣 播 訊 息 , 也 不 會 轉 進 自 己 的 LAN Port中 。
而 既 然 網 路 皆 有 發 信 站 與 收 信 站 , 用 以 標 示 資 訊 發 送 者 與 資 訊 接 收 者 , 除 非 對 方 使 用 一 些 特 殊 的 封 包 封 裝 方 式 或 是 使 用 防 火 牆 對 外 連 線 , 那 麼 只 要 有 人 和 你 的 主 機 進 行 通 訊 (寄 信 或 是 telnet、 ftp過 來 都 算 )你 就 應 該 會 知 道 對 方 的 位 址 , 如 果 對 方 用 了 防 火 牆 來 和 你 通 訊 , 你 最 少 也 能 夠 知 道 防 火 牆 的 位 址 。 也 正 因 為 只 要 有 人 和 你 連 線 , 你 就 能 知 道 對 方 的 位 址 , 那 麼 要 不 要 知 道 對 方 位 址 只 是 要 做 不 做 的 問 題 而 已 。 如 果 對 方 是 透 過 一 台 UNIX主 機 和 你 連 線 , 則 你 更 可 以 透 過 ident查 到 是 誰 和 你 連 線 的 (ident在 元 月 號 專 欄 已 經 有 作 過 講 解 , 不 再 贅 述 )。
在 實 行 TCP/IP通 訊 協 定 的 電 腦 上 , 通 常 可 以 用 netstat指 令 來 看 到 目 前 連 線 的 狀 況 。 (各 位 讀 者 可 以 在 win95、 Novell以 及 UNIX試 試 看 (註 一 )), 在 下 面 的 連 線 狀 況 中 , netstat指 令 是 在 win95上 實 行 的 , 可 以 看 到 目 前 自 己 機 器 (Local Address處 )的 telnet port有 一 台 主 機 workstation.variox.int由 遠 端 (Foreign Address 處 )連 線 進 來 並 且 配 到 1029號 tcp port.而 ccunix1主 機 也 以 ftp port連 到 workstation.variox.int去 。 所 有 的 連 線 狀 況 看 得 一 清 二 楚 。 (如 A、 B)
A.在 UNIX主 機 (ccunix1.variox.int)看 netstat
B.另 一 端 在 Windows 95(workstation.variox.int) 看 netstat
雖 然 是 不 同 的 作 業 系 統 , 但 netstat是 不 是 長 得 很 像 呢 ?
通 信 過 程 的 紀 錄 設 定
當 然 , 如 果 你 想 要 把 網 路 連 線 紀 錄 給 記 錄 下 來 , 你 可 以 用 cron table定 時 去 跑 :
netstat > > filename
但 是 UNIX系 統 早 已 考 慮 到 這 一 個 需 求 , 因 此 在 系 統 中 有 一 個 專 職 記 錄 系 統 事 件 的 Daemon: syslogd, 應 該 有 很 多 讀 者 都 知 道 在 UNIX系 統 的 /var/adm下 面 有 兩 個 系 統 紀 錄 檔 案 : syslog與 messages, 一 個 是 一 般 系 統 的 紀 錄 , 一 個 是 核 心 的 紀 錄 。 但 是 這 兩 個 檔 案 是 從 哪 邊 來 的 , 又 要 如 何 設 定 呢 ?
系 統 的 紀 錄 基 本 上 都 是 由 syslogd(System Kernel Log Daemon)來 產 生 , 而 syslogd的 控 制 是 由 /etc/syslog.conf來 做 的 。 syslog.conf以 兩 個 欄 位 來 決 定 要 記 錄 哪 些 東 西 , 以 及 記 錄 到 哪 邊 去 。 下 面 是 一 個 Linux系 統 所 附 上 的 syslog.conf檔 案 , 這 也 是 一 個 最 標 準 的 syslog.conf寫 法 :
格 式 就 是 這 樣 子 , 第 一 欄 寫 「 在 什 麼 情 況 下 」 以 及 「 什 麼 程 度 」 。 然 後 用 TAB鍵 跳 下 一 欄 繼 續 寫 「 符 合 條 件 以 後 要 做 什 麼 」 。 這 個 syslog.conf檔 案 的 作 者 很 誠 實 , 告 訴 你 只 能 用 TAB來 作 各 欄 位 之 間 的 分 隔 (雖 然 看 來 好 像 他 也 不 知 道 為 什 麼 )。
第 一 欄 包 含 了 何 種 情 況 與 程 度 , 中 間 小 數 點 分 隔 。 另 外 , 星 號 就 代 表 了 某 一 細 項 中 的 所 有 選 項 。 詳 細 的 設 定 方 式 如 下 :
1. 在 什 麼 情 況 : 各 種 不 同 的 情 況 以 下 面 的 字 串 來 決 定 。
auth 關 於 系 統 安 全 與 使 用 者 認 證 方 面
cron 關 於 系 統 自 動 排 程 執 行 (Cron Table)方 面
daemon 關 於 背 景 執 行 程 式 方 面
kern 關 於 系 統 核 心 方 面
lpr 關 於 印 表 機 方 面
mail 關 於 電 子 郵 件 方 面
news 關 於 新 聞 討 論 區 方 面
syslog 關 於 系 統 紀 錄 本 身 方 面
user 關 於 使 用 者 方 面
uucp 關 於 UNIX互 拷 (UUCP)方 面
上 面 是 大 部 份 的 UNIX系 統 都 會 有 的 情 況 , 而 有 些 UNIX系 統 可 能 會 再 分 出 不 同 的 項 目 出 來 。
2. 什 麼 程 度 才 記 錄 : 下 面 是 各 種 不 同 的 系 統 狀 況 程 度 , 依 照 輕 重 緩 急 排 列 。
none 不 要 記 錄 這 一 項
debug 程 式 或 系 統 本 身 除 錯 訊 息
info 一 般 性 資 訊
notice 提 醒 注 意 性
err 發 生 錯 誤
warning 警 告 性
crit 較 嚴 重 的 警 告
alert 再 嚴 重 一 點 的 警 告
emerg 已 經 非 常 嚴 重 了
同 樣 地 , 各 種 UNIX系 統 可 能 會 有 不 同 的 程 度 表 示 方 式 。 有 些 系 統 是 不 另 外 區 分 crit與 alert的 差 別 , 也 有 的 系 統 會 有 更 多 種 類 的 程 度 變 化 。 在 記 錄 時 , syslogd會 自 動 將 你 所 設 定 程 度 以 及 其 上 的 都 一 併 記 錄 下 來 。
例 如 若 你 要 系 統 去 記 錄 info等 級 的 事 件 , 則 notice、 err.warning、 crit、 alert、 emerg等 在 info等 級 以 上 的 也 會 一 併 被 記 錄 下 來 。 把 上 面 所 寫 的 1、 2項 以 小 數 點 組 合 起 來 就 是 完 整 的 「 要 記 錄 哪 些 東 西 」 的 寫 法 。 例 如 mail.info表 示 關 於 電 子 郵 件 傳 送 系 統 的 一 般 性 訊 息 。 auth.emerg就 是 關 於 系 統 安 全 方 面 相 當 嚴 重 的 訊 息 。 lpr.none表 示 不 要 記 錄 關 於 列 表 機 的 訊 息 (通 常 用 在 有 多 個 紀 錄 條 件 時 組 合 使 用 )。 另 外 有 三 種 特 殊 的 符 號 可 供 應 用 :
1. 星 號 (*)
星 號 代 表 某 一 細 項 中 所 有 項 目 。 例 如 mail.*表 示 只 要 有 關 mail的 , 不 管 什 麼 程 度 都 要 記 錄 下 來 。 而 *.info會 把 所 有 程 度 為 info的 事 件 給 記 錄 下 來 。
2. 等 號 (= )
等 號 表 示 只 記 錄 目 前 這 一 等 級 , 其 上 的 等 級 不 要 記 錄 。 例 如 剛 剛 的 例 子 , 平 常 寫 下 info等 級 時 , 也 會 把 位 於 info等 級 上 面 的 notice、 err.warning、 crit、 alert、 emerg等 其 他 等 級 也 記 錄 下 來 。 但 若 你 寫 =info則 就 只 有 記 錄 info這 一 等 級 了 。
3. 驚 嘆 號 (! )
驚 嘆 號 表 示 不 要 記 錄 目 前 這 一 等 級 以 及 其 上 的 等 級 。
記 錄 到 哪 邊 去
一 般 的 syslogd都 提 供 下 列 的 管 道 以 供 您 記 錄 系 統 發 生 的 什 麼 事 :
1. 一 般 檔 案
這 是 最 普 遍 的 方 式 。 你 可 以 指 定 好 檔 案 路 徑 與 檔 案 名 稱 , 但 是 必 須 以 目 錄 符 號 「 /」 開 始 , 系 統 才 會 知 道 這 是 一 個 檔 案 。 例 如 /var/adm/maillog表 示 要 記 錄 到 /var/adm下 面 一 個 稱 為 maillog的 檔 案 。 如 果 之 前 沒 有 這 個 檔 案 , 系 統 會 自 動 產 生 一 個 。
2. 指 定 的 終 端 機 或 其 他 設 備
你 也 可 以 將 系 統 紀 錄 寫 到 一 個 終 端 機 或 是 設 備 上 。 若 將 系 統 紀 錄 寫 到 終 端 機 , 則 目 前 正 在 使 用 該 終 端 機 的 使 用 者 就 會 直 接 在 螢 幕 上 看 到 系 統 訊 息 (例 如 /dev/console或 是 /dev/tty1.你 可 以 拿 一 個 螢 幕 專 門 來 顯 示 系 統 訊 息 )。 若 將 系 統 紀 錄 寫 到 印 表 機 , 則 你 會 有 一 長 條 印 滿 系 統 紀 錄 的 紙 (例 如 /dev/lp0)。
3. 指 定 的 使 用 者
你 也 可 以 在 這 邊 列 出 一 串 使 用 者 名 稱 , 則 這 些 使 用 者 如 果 正 好 上 線 的 話 , 就 會 在 他 的 終 端 機 上 看 到 系 統 訊 息 (例 如 root, 注 意 寫 的 時 候 在 使 用 者 名 稱 前 面 不 要 再 加 上 其 他 的 字 )。
4. 指 定 的 遠 端 主 機
這 種 寫 法 不 將 系 統 訊 息 記 錄 在 連 接 本 地 機 器 上 , 而 記 錄 在 其 他 主 機 上 。 有 些 情 況 系 統 碰 到 的 是 硬 碟 錯 誤 , 或 是 萬 一 有 人 把 主 機 推 倒 , 硬 碟 摔 壞 了 , 那 你 要 到 哪 邊 去 拿 系 統 紀 錄 來 看 呢 ? 而 網 路 卡 只 要 你 不 把 它 折 斷 , 應 該 是 比 硬 碟 機 耐 摔 得 多 了 。 因 此 , 如 果 你 覺 得 某 些 情 況 下 可 能 紀 錄 沒 辦 法 存 進 硬 碟 裡 , 你 可 以 把 系 統 紀 錄 丟 到 其 他 的 主 機 上 。 如 果 你 要 這 樣 做 , 你 可 以 寫 下 主 機 名 稱 , 然 後 在 主 機 名 稱 前 面 加 上 「 @」 符 號 (例 如 @ccunix1.variox. int, 但 被 你 指 定 的 主 機 上 必 須 要 有 syslogd)。
在 以 上 各 種 紀 錄 方 式 中 , 都 沒 有 電 子 郵 件 這 項 。 因 為 電 子 信 件 要 等 收 件 者 去 收 信 才 看 得 到 , 有 些 情 況 可 能 是 很 緊 急 的 , 沒 辦 法 等 你 去 拿 信 來 看 (BSD的 Manual Page寫 著 「 when you got mail, it’ s already too late...」 )。
以 上 就 是 syslog各 項 紀 錄 程 度 以 及 紀 錄 方 式 的 寫 法 , 各 位 讀 者 可 以 依 照 自 己 的 需 求 記 錄 下 自 己 所 需 要 的 內 容 。 但 是 這 些 紀 錄 都 是 一 直 堆 上 去 的 , 除 非 您 將 檔 案 自 行 刪 除 掉 , 否 則 這 些 檔 案 就 會 越 來 越 大 。 有 的 人 可 能 會 在 syslogd.conf裡 面 寫 :
*.* /var/log/everything
要 是 這 樣 的 話 , 當 然 所 有 的 情 況 都 被 你 記 錄 下 來 了 。 但 是 如 果 真 的 系 統 出 事 了 , 你 可 能 要 從 好 幾 十 MB 甚 至 幾 百 MB 的 文 字 中 找 出 到 底 是 哪 邊 出 問 題 , 這 樣 可 能 對 你 一 點 幫 助 都 沒 有 。 因 此 , 以 下 兩 點 可 以 幫 助 你 快 速 找 到 重 要 的 紀 錄 內 容 :
1. 定 期 檢 查 紀 錄
養 成 每 週 (或 是 更 短 的 時 間 , 如 果 你 有 空 的 話 )看 一 次 紀 錄 檔 的 習 慣 。 如 果 有 需 要 將 舊 的 紀 錄 檔 備 份 , 可 以 cp log log.1, cp log log.2...或 是 cp log log.971013, cp log log.980101...等 , 將 過 期 的 紀 錄 檔 依 照 流 水 號 或 是 日 期 存 起 來 , 未 來 考 察 時 也 比 較 容 易 。
2. 只 記 錄 有 用 的 東 西
千 萬 不 要 像 前 面 的 例 子 一 樣 , 記 錄 下 *.*然 後 放 在 一 個 檔 案 中 。 這 樣 的 結 果 會 導 致 檔 案 太 大 , 要 找 資 料 時 根 本 無 法 馬 上 找 出 來 。 有 人 在 記 錄 網 路 通 訊 時 , 連 誰 去 ping他 的 主 機 都 記 錄 。 除 非 是 系 統 已 經 遭 到 很 大 的 威 脅 , 沒 事 就 有 人 喜 歡 嘗 試 進 入 你 的 系 統 , 否 則 這 種 雞 毛 蒜 皮 的 小 事 可 以 不 用 記 錄 。 可 以 提 升 些 許 系 統 效 率 以 及 降 低 磁 碟 用 量 (當 然 也 節 省 你 的 時 間 )。
地 理 位 置 的 追 蹤
如 何 查 出 入 侵 者 的 地 理 位 置 ? 光 看 IP Address可 能 看 不 出 來 , 但 是 你 常 看 的 話 , 會 發 現 140.xxx的 很 多 都 是 台 灣 學 術 網 路 的 主 機 , 而 168.95. xxx.xxx的 一 定 是 HiNet的 主 機 (168.95.0為 HiNet Class B網 路 )。
在 固 接 式 的 網 路 環 境 中 , 入 侵 者 一 定 和 網 路 提 供 單 位 有 著 密 切 的 關 係 。 因 為 假 設 是 區 域 網 路 , 那 麼 距 離 絕 對 不 出 幾 公 里 。 就 算 是 撥 接 好 了 , 也 很 少 人 會 花 大 筆 錢 去 撥 外 縣 市 甚 至 國 外 的 撥 接 伺 服 器 。 因 此 , 只 要 查 出 連 線 的 單 位 , 入 侵 者 必 然 離 連 線 單 位 不 遠 。
撥 接 式 的 網 路 就 比 較 令 人 頭 疼 了 。 以 前 筆 者 申 請 HiNet的 hntp2.hinet.net帳 號 時 , 拿 了 自 己 的 身 分 證 和 印 章 , 跑 到 電 信 局 去 簽 了 一 堆 文 件 , 看 完 網 路 規 範 以 後 才 有 HiNet網 路 可 以 用 。 時 隔 多 年 , 現 在 hntp2早 沒 了 , 冒 出 一 大 堆 msxx.hinet.net以 及 民 營 ISP, 有 許 多 ISP為 了 吸 引 客 戶 , 賣 了 很 多 的 所 謂 小 時 卡 、 記 點 卡 … … 等 等 不 需 申 請 , 帳 號 密 碼 就 直 接 附 在 上 面 的 卡 片 。 User這 邊 只 要 買 了 固 定 的 小 時 數 , 不 需 須 另 外 向 ISP那 邊 提 出 申 請 , 就 可 以 按 照 卡 片 上 的 說 明 自 行 撥 接 上 網 。 這 樣 當 然 可 以 吸 引 客 戶 , 但 是 ISP就 根 本 無 從 得 知 是 誰 在 用 他 們 的 網 路 。
也 就 是 說 , 雖 然 以 小 時 卡 提 供 撥 接 服 務 給 撥 接 使 用 者 帶 來 相 當 大 的 便 利 , 但 卻 是 系 統 安 全 的 大 敵 , 網 路 管 理 員 的 惡 夢 。 如 果 入 侵 你 的 人 是 使 用 小 時 卡 來 上 網 , 那 … … , 要 從 撥 號 的 地 點 查 嗎 ? 筆 者 在 前 幾 期 的 系 統 安 全 專 欄 就 講 過 了 , 入 侵 者 可 以 不 要 用 自 己 家 裡 的 電 話 上 網 。 管 它 是 偷 是 搶 , 或 是 盜 打 090王 八 機 , 反 正 查 到 的 發 話 來 源 絕 不 是 入 侵 者 自 己 的 電 話 。
來 話 者 電 話 偵 測 (Caller ID)
各 位 讀 者 家 中 有 ISDN嗎 ? 如 果 你 用 過 ISDN的 Caller ID功 能 , 會 發 現 真 是 方 便 極 了 , 對 方 的 號 碼 馬 上 就 顯 示 出 來 給 你 看 。 看 到 女 朋 友 打 電 話 來 , 馬 上 就 接 了 起 來 ; 而 雜 誌 社 的 打 來 催 稿 , 就 打 開 電 話 答 錄 機 假 裝 不 在 家 … … 但 是 Caller ID依 然 有 失 效 的 時 候 。 筆 者 這 次 特 地 和 陳 冠 宇 先 生 (本 刊 作 者 )做 了 下 面 的 測 試 , 看 看 Caller ID可 以 顯 示 出 哪 些 號 碼 (受 測 機 種 為 Zyxel, 終 端 機 使 用 Windows NT的 Hyper Terminal): 要 顯 示 來 話 方 號 碼 的 前 提 是 , 對 方 必 須 是 透 過 數 位 交 換 機 打 到 你 這 邊 , 在 台 灣 有 某 些 地 區 仍 然 使 用 機 械 式 交 換 機 , 如 果 你 打 電 話 的 交 換 路 徑 中 , 有 經 過 這 些 機 械 式 的 交 換 機 , 那 麼 依 然 無 法 顯 示 出 號 碼 來 。 太 電 以 及 其 他 民 營 的 行 動 電 話 因 為 筆 者 手 邊 沒 有 , 所 以 無 法 測 試 。 而 國 際 電 話 因 一 時 找 不 到 國 外 的 朋 友 可 以 配 合 作 測 試 , 因 此 也 沒 有 辦 法 將 結 果 向 各 位 讀 者 報 告 (如 果 各 位 讀 者 手 邊 有 太 電 , 遠 傳 這 些 民 營 的 行 動 電 話 , 可 以 和 筆 者 聯 絡 測 試 )。
如 何 靠 IP Address或 Domain Name找 出 入 侵 者 位 置 ?
雖 然 電 話 不 一 定 查 得 出 來 , 但 是 至 少 你 會 知 道 他 的 IP Address。 IP Address的 使 用 必 須 向 InterNIC登 記 , 而 Domain Name要 向 當 地 直 屬 的 網 路 管 理 中 心 登 記 。 在 Internet上 的 網 路 管 理 中 心 共 有 三 個 層 級 (單 位 性 質 一 定 為 NET):
1. 國 際 等 級
國 際 等 級 只 有 InterNIC一 個 , 全 球 各 國 的 NIC以 及 洲 際 NIC均 由 其 管 理 。
http://www.i...nic .net)。
2. 洲 際 等 級
InterNIC並 不 直 接 管 理 整 個 Internet, 其 下 的 網 路 資 源 會 再 做 分 區 。 例 如 台 灣 、 日 本 、 香 港 等 亞 太 地 區 國 家 , 由 亞 太 洲 際 網 路 管 理 中 心 (Asian-Pacific NIC, APNIC, 位 於 日 本 )來 管 理 , 並 不 直 接 由 InterNIC管 理
http://www.a....net)。
3. 國 家 等 級
Domain Name後 面 不 掛 國 碼 的 不 是 由 InterNIC管 理 就 是 由 洲 際 的 NIC管 理 , 但 是 有 掛 國 碼 的 由 當 地 國 家 之 NIC管 理 , 慣 例 是 兩 位 國 碼 加 上 NIC就 是 該 國 NIC之 名 稱 。 例 如 台 灣 之 國 碼 為 TW, 則 台 灣 網 路 管 理 中 心 為 TWNIC
http://www.t....net), 但 由 於 InterNIC位 於 美 國 , 因 此 美 國 的 Domain Name由 InterNIC直 轄 。 有 一 個 特 別 的 例 外 是 掛 .mil的 美 國 軍 方 網 路 的 資 料 是 由 ddn.mil(美 國 軍 事 防 衛 網 路 )來 管 理 , 不 由 InterNIC管 理 , 當 您 得 到 某 個 Domain Name或 是 IP Address後 , 可 以 使 用 whois來 查 出 資 料 , 語 法 如 下 :
whois -h < whois 伺 服 器 > < 查 詢 對 象 >
例 如 向 whois.internic.net 查 詢 hp.com, 需 輸 入 :
whois -h whois.internic.net hp.com
whois 也 可 能 使 用 下 列 語 法 :
whois < 查 詢 對 象 > @< whois 伺 服 器 >
例 如 向 whois.twnic.net 查 詢 ntu.edu.tw 需 輸 入 :
whois
ntu.edu.tw@whois.twnic.net 目 前 在 Slackware Linux 附 上 的 為 後 者 。
Domain Name 命 名 的 三 種 情 況
雖 然 同 樣 是 Domain Name, 可 能 你 會 遇 到 三 種 命 名 的 不 同 情 況 。 在 許 多 國 家 *.edu.*是 由 NIC以 外 的 單 位 所 管 理 (如 教 育 部 ), 而 屬 性 也 不 一 定 是 三 個 字 母 , 甚 至 沒 有 屬 性 。 在 判 斷 單 位 性 質 時 讀 者 宜 多 加 注 意 , 以 免 找 不 到 資 料 。
1.標 準 國 碼 + 三 碼 屬 性 碼 (或 沒 有 國 碼 , 僅 有 屬 性 碼 )
普 遍 使 用 於 歐 洲 , 美 洲 國 家 以 及 部 份 東 南 亞 國 家 。 如 台 灣 常 見 *.edu.tw、 *.com.tw, 美 國 的 *.com、 *.edu。
2.標 準 國 碼 + 二 碼 屬 性 碼
以 離 我 國 最 近 的 日 本 、 中 華 人 民 共 和 國 為 例 , 公 司 屬 性 為 co, 社 團 屬 性 為 or, 和 三 碼 定 義 的 com、 org略 有 不 同 。 如 日 本 萬 代 公 司 之 Homepage為
bandai.co.jp..., 如 果 讀 者 要 使 用 公 司 名 稱 拼 湊 出 完 整 主 機 名 稱 時 , 需 注 意 日 本 為 僅 有 兩 碼 屬 性 碼 之 地 區 , 否 則 若 猜 測 其 為
bandai.com.jp...就 會 發 生 錯 誤 (註 : 在 國 際 通 信 範 例 中 , 無 論 是 無 線 電 通 信 、 國 際 越 洋 電 話 、 乃 至 於 網 際 網 路 等 , 均 將 台 灣 與 中 國 大 陸 劃 分 為 兩 個 不 同 國 家 。 筆 者 在 此 特 稱 中 華 人 民 共 和 國 除 突 顯 此 一 特 性 外 , 並 無 其 他 涵 義 , 讀 者 勿 需 自 行 揣 測 其 他 意 義 )。
3. 僅 有 標 準 國 碼 , 未 有 任 何 屬 性 碼
如 澳 洲 的 主 機 均 為 僅 有 *.au之 主 機 名 稱 , 未 有 任 何 其 他 的 com、 co、 或 任 何 單 位 屬 性 碼 後 面 直 接 接 上 單 位 名 稱 。
由 Domain Name查 出 連 線 單 位 資 料
在 Internet上 慣 例 由 whois服 務 來 查 詢 連 線 單 位 的 登 記 資 料 , whois本 來 應 該 是 用 來 查 某 人 的 電 話 或 是 其 他 資 料 的 (有 點 像 是 finger或 是 現 在 很 流 行 的 尋 人 服 務 , 像 是 whowhere、 bigfoot之 類 的 , 請 上
whowhere.com...一 探 究 竟 ), 但 是 在 NIC方 面 是 用 來 查 出 連 線 單 位 的 電 話 以 及 住 址 , 技 術 聯 絡 人 等 。 符 合 該 NIC管 理 權 限 的 單 位 資 料 會 存 放 於 該 單 位 的 whois主 機 中 , 慣 例 是 whois+ NIC名 稱 + net。 例 如 亞 太 地 區 網 路 管 理 中 心 whois server為 whois.apnic.net, 台 灣 網 路 中 心 whois server為 whois.twnic.net。
當 你 知 道 某 台 主 機 的 Domain Name以 後 , 可 以 依 照 下 面 順 序 查 出 連 線 單 位 的 電 話 住 址 等 資 料 。 第 一 步 , 先 看 有 沒 有 國 碼 。 沒 有 國 碼 的 , 向 whois.internic.net問 ; 有 國 碼 的 , 向 whois.國 碼 nic.net問 (ex. whois.twnic.net)。
另 外 , 如 果 你 要 查 美 國 軍 事 單 位 的 聯 絡 明 細 (假 如 某 天 你 發 現 有 人 利 用 美 國 海 軍 的 網 路 來 入 侵 你 的 電 腦 )則 你 需 要 向 nic.ddn.mil查 詢 , 方 可 查 到 資 料 。 例 如 查 出 美 國 陸 軍 的 資 料 : 但 FBI等 調 查 機 構 屬 政 府 單 位 , 非 軍 事 單 位 , 查 詢 時 需 注 意 :
由 Domain Name查 出 資 料
如 您 能 從 nslookup查 出 某 一 IP Address之 FQDN, 則 可 以 直 接 向 當 地 NIC查 出 入 侵 者 網 路 之 資 料 :
1.由 美 國 入 侵 的 例 子 :
由 xxx.aol.com入 侵 由 主 機 名 稱 發 現 未 有 國 碼 , 因 此 直 接 向 InterNIC查 詢 。 由 此 我 們 可 以 查 到 America Online的 技 術 負 責 人 以 及 電 話 、 傳 真 等 資 料 , 把 你 的 系 統 紀 錄 檔 準 備 好 , 發 封 傳 真 去 告 洋 狀 吧 !
2.由 台 灣 入 侵 的 例 子 :
由 Hope Net入 侵 (cded1. hope.com.tw) 由 於 TWNIC目 前 whois資 料 庫 不 知 怎 麼 的 不 見 了 , 故 請 改 由 dbms.seed.net.tw查 出 hope.com.tw之 中 文 名 稱 , 再 打 104詢 問 該 公 司 的 電 話 ! (圖 一 ) 現 在 如 果 直 接 由 whois.twnic.net查 詢 會 這 樣 :
只 有 IP Address的 查 法
若 某 天 您 發 現 由 168.95.109.222有 人 入 侵 , 假 設 您 不 知 道 這 是 HiNet的 網 路 , 而 這 個 IP Address也 沒 有 Domain Name的 話 , 則 須 先 將 IP Address分 等 級 , 再 向 InterNIC查 詢 :
(以 下 作 為 範 例 之 位 址 均 為 虛 構 , 如 有 雷 同 , 純 屬 巧 合 )。
1.由 15.4.75.2入 侵 的 例 子 :
此 IP Address是 15開 頭 , 為 一 個 Class A網 路 , 故 向 InterNIC查 詢 15.0: 查 出 此 IP Address為 惠 普 公 司 所 有
2. 由 203.66.35.1入 侵 的 例 子
這 是 一 個 Class C IP, 因 此 必 須 查 詢 至 少 二 次 , 一 般 是 三 次 。 順 序 為 國 際 - > 洲 際 - > 所 屬 國 家 。 先 查 203.0:
出 來 一 大 堆 , 怎 麼 辦 ? 有 的 情 況 只 好 再 追 問 Class B。 由 於 InterNIC將 部 份 Class C交 給 洲 際 管 理 機 構 來 負 責 配 給 , 因 此 有 些 Class C的 資 料 會 在 洲 際 管 理 機 構 , 此 時 先 向 InterNIC查 出 所 屬 洲 際 管 理 機 構 (用 Class B問 )。 問 到 203.66為 亞 太 地 區 洲 際 網 路 , 於 是 向 whois.apnic.net詢 問 203.66.35.0: 查 了 三 次 以 後 , 終 於 查 到 203.66.35.0為 :
在 一 堆 資 料 中 查 到 203.66.35.1, 此 一 IP Address為 Forwardness Technology Co. Ltd.所 有 , 電 話 地 址 也 一 併 附 在 上 面 (這 是 筆 者 朋 友 開 的 網 路 公 司 )。
由 以 上 的 查 法 , 可 以 由 任 一 主 機 名 稱 或 IP Address查 到 連 線 者 網 路 單 位 的 資 料 , 如 果 您 發 現 該 網 路 單 位 下 屬 主 機 對 您 的 網 路 有 攻 擊 行 為 , 請 檢 具 資 料 告 訴 對 方 的 系 統 管 理 員 (對 方 不 一 定 接 受 , 筆 者 就 碰 過 很 惡 劣 的 系 統 管 理 員 ! )。
下 面 是 Windows 95的 hosts檔 案 : 當 您 沒 有 DNS的 時 候 , 您 可 以 拿 這 個 來 將 Domain Name< - > IP Address的 對 應 工 作 做 好 。 寫 法 就 和 UNIX一 樣 。 Microsoft的 這 個 hosts檔 案 寫 的 是 給 chicago用 的 , 這 是 windows 95的 開 發 代 號 , 看 見 沒 ? (看 來 Microsoft出 windows 95時 太 趕 , 忘 了 修 正 這 些 小 東 西 ), 不 過 各 位 讀 者 要 注 意 的 是 , 原 先 的 hosts檔 案 檔 名 是 hosts.sam, 您 要 自 己 將 檔 名 改 成 hosts才 能 用 。