چگونه هکر خود را شناسايي کنيم ؟!


اگر zonealarm را نصب كرده باشيد ، حتما متوجه شده ايد كه بعد از هر attack كه از طرف هكر به كامپيوتر شما انجام مي شود ، اين برنامه IP Address شخص حمله كننده را در اختيار شما قرار مي دهد. در اين هفته قصد دارم نحوه شناسايي ISP ي كه از طريق آن هكر به اينترنت متصل است را شرح دهم.


پس از اينكه IP هكر را از طريق برنامه zonealarm و يا هر برنامه ديگري بدست آورديد به آدرس زير برويد كه يك Whois ساده است.


http://www.ripe.net/perl/whois


در بالاي صفحه box خالي اي وجود دارد و در كنار آن دكمه submit query وجود دارد. IP را در box نوشته و بر روي دكمه كليك كنيد.

نتيجه اي كه پس از چند ثانيه خواهيد ديد ، چيري شبيه به اين است :


% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 213.217.40.0 - 213.217.43.255
netname: parsonline
descr: parsonline corp.
descr: Internet Service Provide
country: IR
admin-c: AF1351
tech-c: HOP1972
tech-c: SHP76-RIPE
status: ASSIGNED PA
notify: shirinp@xxxxxonline.net
mnt-by: RIPE-NCC-NONE-MNT
changed: hooman@xxxxxonline.net20010818
source: RIPE

route: 213.217.40.0/22
descr: ParsOnline Co.
descr: Announced by SMS for ParsOnline Co.
origin: AS13126
notify: networks@sms-internet.net
notify: afateh@xxxxxonline.net
mnt-by: AS13126-MNT
changed: darren.frowen@sms-internet.net 20020409
source: RIPE

person: Abdollah Fateh
address: Pars Online Co.
address: 224 Khoramshahr ave., No. 6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: afateh@xxxxxonline.net
nic-hdl: AF1351
changed: afateh@xxxxxonline.net20000628
changed: afateh@xxxxxonline.net20020130
source: RIPE

person: Hooman Parta
address: Pars Online Co.
address: 224 Khoramshahr Ave., #6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: hooman@xxxxxonline.net
nic-hdl: HOP1972
changed: hooman@xxxxxonline.net20000629
source: RIPE

person: Shirin Pourkashani
address: Pars Online Co.
address: 224 Khoramshahr Ave., #6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: shirinp@xxxxxonline.net
nic-hdl: SHP76-RIPE
changed: shirinp@xxxxxonline.net20010410
source: RIPE

... اين IP فقط يك مثال است....

xxxxxonline.net ISP فرضی است که بدلیل حفظ بعضی مسائل خودم اونرو سانسور كردم ..!!!

در اين نتيجه شما مي توانيد به راحتي نام ISP و Email شخصي كه اين IP Range در اختيار اوست را مشاهده نماييد.
اگر با جوابي مانند EU-ZZ-XXXX برخورد نموديد ، به آدرسهاي زير برويد و آنجا سعي در يافتن ISP هكر خود نماييد.


http://www.arin.net/whois/index.html

http://www.apnic.net/apnic-bin/whois2.pl


از اينجا به بعد شما كاري نمي توانيد انجام دهيد. فقط مي توانيد با ISP يا آدرس Email ي كه مشاهده مي كنيد ، تماس بگيريد و تاريخ و زمان و IP هكر را بدهيد و از آنها درخواست نماييد با اين كاربر خطاكار برخورد نمايند. ولي متاسفانه از آنجايي كه هيچ قانون مدوني در مورد جرايم الكترونيكي وجود ندارد ، و نيز معمولا ISP ها به علت داشتن تعداد كاربران زياد اطلاعات كاملي از IP هايي كه در زمانهاي مشخص در اختيار كاربران گذاشته اند ندارند ، عملا كاري از شما بر نمي آيد.

تنها ISP ي كه در اين زمينه من را كمك كرد شركت .......... بود !!!!! كه آن زمان تازه تاسيس شده بود و خلوت بود. در جواب نامه ام آمده بود كه با تشكر از تذكر شما ، IP ي كه به ما داده بوديد در زمان و تاريخ ذكر شده به كاربري تعلق داشت كه دسترسي او را قطع كرديم. به غير از اين يك مورد ما بقي ISP ها يا اصلا جوابي به نامه هايم ندادند و يا اظهار كردند كه كاري از دستشان بر نمي آيد.
در نظر داشته باشيد كه گاهي مواقع ZoneAlarm دستورهاي Ping و يا Routing را نيز به عنوان Attack معرفي مي كند. يا حتي احتمال دارد به صورت اتفاقي يك كاربر IP Sniffing انجام دهد بدون قصد هك كردن ولي ZoneAlarm همه را به عنوان Attack معرفي مي نمايد. پس پيشنهاد مي كنم اگر از يك IP بارها به شما Attack شد ، آنوقت سعي در يافتن هكر نماييد.

محمدرضا فرخی ( با اندكي تصرف )