如何追踪入侵者.txt

当今

帐号时，拿了自己的身分证和印章，跑到电信局去签了一堆文件，看完网 
路规范以後才有HiNet网路可以用。时隔多年，现在hntp2早没了，冒出一 
大堆msxx.hinet.net以及民营ISP，有许多ISP为了吸引客户，卖了很多的 
所谓小时卡、记点卡……等等不需申请，帐号密码就直接附在上面的卡片 
。User这边只要买了固定的小时数，不需须另外向ISP那边提出申请，就可 
以按照卡片上的说明自行拨接上网。这样当然可以吸引客户，但是ISP就根 
本无从得知是谁在用他们的网路。 
　　也就是说，虽然以小时卡提供拨接服务给拨接使用者带来相当大的便 
利，但却是系统安全的大敌，网路管理员的恶梦。如果入侵你的人是使用 
小时卡来上网，那……，要从拨号的地点查吗？笔者在前几期的系统安全 
专栏就讲过了，入侵者可以不要用自己家里的电话上网。管它是偷是抢， 
或是盗打090王八机，反正查到的发话来源绝不是入侵者自己的电话。 
　　 
　　来话者电话侦测(CallerID) 
　　各位读者家中有ISDN吗？如果你用过ISDN的Caller ID功能，会发现真 
是方便极了，对方的号码马上就显示出来给你看。看到女朋友打电话来， 
马上就接了起来；而杂志社的打来催稿，就打开电话答录机假装不在家……:-P 
但是Caller ID依然有失效的时候。笔者这次特地和陈冠宇先生(本刊作者) 
做了下面的测试，看看Caller ID可以显示出哪些号码(受测机种为Zyxel， 
终端机使用Windows NT的Hyper Terminal)：要显示来话方号码的前提是， 
对方必须是透过数位交换机打到你这边，在台湾有某些地区仍然使用机械 
式交换机，如果你打电话的交换路径中，有经过这些机械式的交换机，那 
麽依然无法显示出号码来。太电以及其他民营的行动电话因为笔者手边没 
有，所以无法测试。而国际电话因一时找不到国外的朋友可以配合作测试， 
因此也没有办法将结果向各位读者报告(如果各位读者手边有太电，远传这 
些民营的行动电话，可以和笔者联络测试)。 
　　 
　　如何靠IPAddress或DomainName找出入侵者位置？ 
　　虽然电话不一定查得出来，但是至少你会知道他的IP Address。IP Address 
的使用必须向InterNIC登记，而Domain Name要向当地直属的网路管理中心 
登记。在Internet上的网路管理中心共有叁个层级(单位性质一定为NET)： 
　　 
　　1.国际等级国际等级只有InterNIC一个，全球各国的NIC以及洲际NIC 
均由其管理。(http://www.internic.net)。 
　　 
　　2.洲际等级InterNIC并不直接管理整个Internet，其下的网路资源会 
再做分区。例如台湾、日本、香港等亚太地区国家，由亚太洲际网路管理 
中心(Asian-PacificNIC,APNIC，位於日本)来管理，并不直接由InterNIC 
管理(http://www.apnic.net)。 
　　 
　　3.国家等级DomainName後面不挂国码的不是由InterNIC管理就是由洲 
际的NIC管理，但是有挂国码的由当地国家之NIC管理，惯例是两位国码加 
上NIC就是该国NIC之名称。例如台湾之国码为TW，则台湾网路管理中心为 
TWNIC(http://www.twnic.net)，但由於InterNIC位於美国，因此美国 
的DomainName由InterNIC直辖。有一个特别的例外是挂.mil的美国军方网 
路的资料是由ddn.mil(美国军事防卫网路)来管理，不由InterNIC管理，当 
您得到某个DomainName或是IPAddress後，可以使用whois来查出资料，语 
法如下： 
　　 
　　whois -h＜whois伺服器＞＜查询对象＞ 
　　例如向whois.internic.net查询hp.com，需输入： 
　　 
　　whois -h whois.internic.net hp.comwhois 
　　也可能使用下列语法： 
　　whois＜查询对象＞@＜whois伺服器＞ 
　　例如向whois.twnic.net查询ntu.edu.tw需输入： 
　　 
　　whois ntu.edu.tw@whois.twnic.net 
　　目前在SlackwareLinux附上的为後者。 
　　 
　　Domain Name命名的叁种情况 
　　虽然同样是Domain Name，可能你会遇到叁种命名的不同情况。在许多 
国家*.edu.*是由NIC以外的单位所管理(如教育部)，而属性也不一定是叁 
个字母，甚至没有属性。在判断单位性质时读者宜多加注意，以免找不到 
资料。 
　　 
　　1.标准国码＋叁码属性码(或没有国码，仅有属性码) 
　　普遍使用於欧洲，美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw 
， 
美国的*.com、*.edu。 
　　 
　　2.标准国码＋二码属性码 
　　以离台湾最近的日本、中华人民共和国为例，公司属性为co，社团属 
性为or，和叁码定义的com、org略有不同。如日本万代公司之Homepage为www.bandai.c 
o.jp， 
如果读者要使用公司名称拼凑出完整主机名称时，需注意日本为仅有两码 
属性码之地区，否则若猜测其为www.bandai.com.jp就会发生错误(注：在 
国际通信范例中，无论是无线电通信、国际越洋电话、乃至於网际网路等， 
均将台湾与中国大陆划分为两个不同国家。笔者在此特称中华人民共和国 
除突显此一特性外，并无其他涵义，读者勿需自行揣测其他意义)。 
　　 
　　3.仅有标准国码，未有任何属性码 
　　如澳洲的主机均为仅有*.au之主机名称，未有任何其他的com、co、或 
任何单位属性码後面直接接上单位名称。 
　　 
　　由DomainName查出连线单位资料 
　　在Internet上惯例由whois服务来查询连线单位的登记资料，whois本 
来应该是用来查某人的电话或是其他资料的(有点像是finger或是现在很流 
行的寻人服务，像是whowhere、bigfoot之类的，请上www.whowhere.com一 
探究竟)，但是在NIC方面是用来查出连线单位的电话以及住址，技术联络 
人等。符合该NIC管理权限的单位资料会存放於该单位的whois主机中，惯 
例是whois＋NIC名称＋net。例如亚太地区网路管理中心whois server为whois.apnic.n 
et， 
台湾网路中心whois server为whois.twnic.net。 
　　当你知道某台主机的DomainName以後，可以依照下面顺序查出连线单 
位的电话住址等资料。第一步，先看有没有国码。没有国码的，向whois.internic.net 
  
问；有国码的，向whois.国码nic.net问(ex.whois.twnic.net)。另外，如 
果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网 
路来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查 
出美国陆军的资料：但FBI等调查机构属政府单位，非军事单位，查询时需 
注意： 
　　由Domain Name查出资料 
　　如您能从nslookup查出某一IP Address之FQDN，则可以直接向当地NIC 
查出入侵者网路之资料： 
　　 
　　1.由美国入侵的例子：由xxx.aol.com入侵由主机名称发现未有国码， 
因此直接向InterNIC查询。由此我们可以查到America Online的技术负责 
人以及电话、传真等资料，把你的系统纪录档准备好，发封传真去告洋状 
吧！ 
　　 
　　2.由台湾入侵的例子：由HopeNet入侵(cded1.hope.com.tw)由於TWNIC 
目前whois资料库不知怎麽的不见了，故请改由dbms.seed.net.tw查出hope.com.tw 
之中文名称，再打104询问该公司的电话！(图一)现在如果直接由whois.twnic.net 
查询会这样： 
　　只有IP Address的查法若某天您发现由168.95.109.222有人入侵，假 
设您不知道这是HiNet的网路，而这个IP Address也没有Domain Name的话， 
则须先将IP Address分等级，再向InterNIC查询：(以下作为范例之位址均 
为虚构，如有雷同，纯属巧合)。 
　　 
　　1.由15.4.75.2入侵的例子： 
　　此IP Address是15开头，为一个ClassA网路，故向InterNIC查询15.0 
：查出此IP Address为惠普公司所有 
　　2.由140.111.32.53入侵的例子： 
　　此IP Address为Class B，需查询两次。先向InterNIC查询140.111.0 
：查出为中华民国教育部所有。再向whois.twnic.net查询140.111.32.0： 
很可惜的，由於TWNIC资料库不见了，因此您无法知道这是哪个学术单位。 
劳驾您打个电话去TWNIC问吧！ 
　　 
　　3.由203.66.35.1入侵的例子 
　　这是一个Class C IP，因此必须查询至少二次，一般是叁次。顺序为 
国际－＞洲际－＞所属国家。先查203.0：出来一大堆，怎麽办？有的情况 
只好再追问Class B。由於InterNIC将部份Class C交给洲际管理机构来负 
责配给，因此有些Class C的资料会在洲际管理机构，此时先向InterNIC查 
出所属洲际管理机构(用Class B问)。问到203.66为亚太地区洲际网路，於 
是向whois.apnic.net询问203.66.35.0：查了叁次以後，终於查到203.66.35.0 
为：在一堆资料中查到203.66.35.1，此一IP Address为Forwardness Technology 
Co.Ltd.所有，电话地址也一并附在上面(这是笔者朋友开的网路公司)。 
　　 
　　由以上的查法，可以由任一主机名称或IPAddress查到连线者网路单位 
的资料，如果您发现该网路单位下属主机对您的网路有攻击行为，请检具 
资料告诉对方的系统管理员(对方不一定接受，笔者就碰过很恶劣的系统管 
理员！)。下面是Windows 95的hosts档案：当您没有DNS的时候，您可以拿 
这个来将Domain Name＜－＞IP Address的对应工作做好。写法就和UNIX一 
样。Microsoft的这个hosts档案写的是给chicago用的，这是windows 95的 
开发代号，看见没？(看来Microsoft出windows 95时太赶，忘了修正这些 
小东西)，不过各位读者要注意的是，原先的hosts档案档名是hosts.sam， 
您要自己将档名改成hosts才能用。 
　　 

　　注一：几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等 
档案。这是所有TCP/IP系统的共通习惯(但只有Microsoft的软体会有lmhosts 
来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可 
以发现NovellNetware伺服器也有一个etc目录，还有hosts等档案！ 
　　 
  
--