Вы - дичь
Вы - охотник
К вопросу о маскировке IP адресов

Ну кто не знает про Защищенный разговор.

2. Сбор информации о том, на каких каналах вы находитесь, с последующей идентификацией вашей личности. Допустим, политический деятель, скрывающий свою гомосексуальную ориентацию, часто бывает в IRC. Будучи уверенным в свой анонимности, он частенько заходит на канал #russiangay или #blackleather. Общается с людьми. Вступает в переписку, не называя, понятное дело, своего реального имени. А потом находит все свои письма опубликованными в какой-нибудь вонючей бульварной газетенке типа альтернативный адрес. Вот, пожалуй, и все, что можно сделать. А теперь рассмотрим, что и как другие люди в IRC могут о вас узнать (или вы о них).

Вы - охотник

Оговорюсь, что мы будем исходить из предположения, что имя домена или IP адрес пользователя в IRC подделать очень сложно, и подавляющее большинство людей этим не занимаются, хотя такие методы и есть, и о них можно прочесть ниже.

1. Поиск пользователей по домену, имени, и userid. Довольно мощным средством поиска по какой-либо известной части информации о пользователе (или группе пользователей) является команда /who, о которой почему-то нет ни слова в mIRC'овском Help файле. Странно, правда;) Делая запрос о пользователе командой /whois, мы обычно получаем примерно такой текст:


ShowTime  [email protected]_12.linknet.net * May flower
ShowTime on #ircbar #newbies  
ShowTime using Oslo-R.NO.EU.Undernet.org [194.143.8.106] Scandinavia Online AS
End of /WHOIS list.

Команда /who позволяет задать маску для поиска пользователей по любой части их доменного имени, userid или имени (то, что в поле Real Name). Допустим, мы ищем людей из домена global.de. Синтаксис таков:


/who *global.de*

Или ищем всех пользователей из Сингапура:


/who *.sg*

Или мы уже общались с господином ShowTime, и хотим найти его опять:


/who *mouse*, или 
/who *flower*

Так же могут найти и вас, если вы не воспользуейтесь командой /mode $me +i, как было описано выше.

2. Определение адреса электронной почты. Задача довольно сложная, но иногда выполнимая. Начнем с "лобовой" атаки. Команда /ctcp ShowTime userinfo (или, проще, через меню) покажет нам e-mail address, указанный самим пользователем. Поскольку мало кто сообщает свой настоящий адрес, надежды на правдивый ответ мало. Если домен полученного адреса совпадает с тем, что следует за знаком @ в ответе, полученном на запрос /whois, то вероятность того, что адрес указан правдивый, повышается.

Следущая возможность - использовать информацию, содержащуюся в ответе на запрос /whois. Имя домена подделать крайне сложно, поэтому мы наверняка знаем, что пользователь ShowTime из домена linknet.net. Это первый шаг. Часто вместо буквенной строки после знака @ следует цифровой IP адрес, который по той или иной причине не определился при подключении пользователя к серверу. Его можно попытаться определить командой /DNS ShowTime. Если результат получен, то переходим к следующему абзацу. Если нет, то попробуем еще один способ. Воспользовавшись программой WS Ping32 (50K) или CyberKit (905K), сделаем TraceRoute с указанием цифрового адреса. Программа проследит путь от вашего IP адреса до искомого IP, принадлежащего ShowTime. Последний из определившихся по имени адресов укажет, скорее всего, на имя домена пользователя.

Едем дальше. У нас есть либо полное имя, соответствующее IP адресу пользователя под кличкой ShowTime (ml1_12.linknet.net), либо, в худшем случае, только имя домена (linknet.net). В первом случае мы можем попытаться, воспользовавшись командой finger (либо в одной из двух вышеупомянутых программ, либо прямо в mIRC, где есть кнопка Finger прямо на Tool Bar'е), определить всех текущих пользователей из домена linknet.net. Для этого мы делаем finger адреса @linknet.net (userid не указываем). При удачном стечении обстоятельств мы получим что-нибудь в этом роде:


Trying linknet.net
Attempting to finger @linknet.net

[linknet.net] 
Login       Name       TTY     When          Where
root     0000-Admin   console  Fri 16:27 
henroam  John Brown    pts/1   Tue 10:57  pckh68.linknet.net
pailead   Jack White   pts/2   Tue 11:03  ml4_17.linknet.net
oneguy  Michael Lee    pts/3   Tue 11:08  ml1_12.linknet.net
sirlead6 Joan Jackson  pts/4   Tue 11:05  ml4_16.linknet.net

End of finger session

Вот он наш ml1_12, принадлежит [email protected] Отметим, что иногда информация в ответ на finger-запрос может быть выдана только пользователю из того же домена, к которому принадлежит адрес, который вы хотите идентифицировать. Решение простое: найдите пользователя из искомого домена (/who *linknet.net* ), и попросите его сделать finger запрос.

И в первом, и во втором случае есть еще одна возможность. Если "охотнику" известно реальное имя или фамилия искомого пользователя, можно послать figer-запрос в виде имя@домен или фамилия@домен. Например, finger на [email protected] может нам дать список всех пользователей по имени John с их login'ами.

Вот, пожалуй, и все известные автору средства, которые есть у "охотника". А выяснив ваш e-mail адрес, "охотник" может может выяснить и ваше реальное имя. Как? Читайте в разделе Установление личности по известному адресу.

К вопросу о маскировке IP адресов

Долгий поиск информации на эту тему завершился успехом с любезной помощью Дениса Савельева, единственного читателя, отозвавшегося на мой призыв поделиться знаниями по этой теме. Если оставить в стороне IP spoofing, который весьма сложен и вряд ли осуществим на платформе Windows 95, остаются два способа маскировки реального IP адреса: использование специального прокси сервера, способного поддерживать IRC протокол, и использование SOCKS firewall на неком удаленном хосте.

Прокси
Итак, со всей ответственностью заявляю: IRC прокси серверы существуют и работают, все заверения на сайте Анонимайзера и в newsgroups, посвященных IRC, о том, что протокол IRC не может может работать через прокси, что свой IP адрес скрыть нельзя и т.д. и т.п. являются ПОЛНОЙ ЧУШЬЮ. Вокруг этого вопроса в Интернете какая-то стена молчания, даже и не знаю почему. Ну я ведь молчать не буду: я лично подсоединился к IRCNet через прокси сервер, и на запрос /whois всем гордо отвечал:

[email protected]y.in.asia

Адрес прокси вписывается вместо адреса IRC сервера. Прокси намертво связан с одной из IRC сетей, так что если вы нашли адрес прокси в DALnet, то только в далнет им и можно пользоваться. Теперь самое интересное: как найти подобный IRC прокси сервер. Это вполне возможно, хотя и довольно сложно. Пару адресов мне дали, один я нашел сам за час. "Не тяни резину, выкладывай адреса!", слышу я крики читателей. Не дам, не обижайтесь. Сотня обращений на один такой сервер в день из домена .ru - и удовольствие кончится. Некоторое время назад я попросил читателей присылать найденные ими адреса серверов с тем, чтобы опубликовать более-менее длинный список. Не откликнулся никто. Ну что же, спасение утопающих - дело рук самих утопающих. Не хотите делиться информацией - не надо. На письма с просьбой поделиться адресом отвечать НЕ БУДУ. Каждый желающий будет искать сам; рассказываю о том, как это делать.

Как говорил мой преподаватель матанализа, "в отличие от чисто механического процесса дифференцирования, интегрирование - процесс творческий". Тоже самое относится и к поиску IRC прокси. Постулат первый: похоже, что большинство прокси обитает в странах с различными кодировками национального алфавита, т.е. в Японии, Тайване, Сингапуре, России и т.д. Ищите пользователей из этих доменов, смотрите на их имена хостов, отбрасывайте заведомо нереальные для прокси адреса (dialup, ppp, и т.д.) и обращайте внимание на адреса короткие и "говорящие", вроде iso.aaa.com.tr, gateway.nuc.tw, win.irc.connect.jp, но только ими не ограничивайтесь, например по адресу loxnet.loxley.co.th тоже расположен прокси, но он пароль требует:( Постулат второй: IRC прокси обитают и в западных странах, причем часто имеют в имени хоста слово proxy. Итак, нашли адрес, попробовали подсоединиться (обычно порт 6667), что удобно делать во втором окне, не работает - ищите дальше. Короче говоря, чистое творчество, точного рецепта нет. Дерзайте, делитесь информацией.

SOCKS
В последнее время получила широкое распростанение программа Wingate, которая связывает несколько компьютеров в локальную сеть и позволяет работать с Интернетом через модем.При этом большинство пользователей удовлетворяется настройками "по умолчанию", не подозревая, что эти настройки позволяют любому человеку использовать их SOCKS прокси. Если найти IP адрес, по которому в данный момент расположен компьютер под Wingate, то можно поробовать подсоединится к IRC, настроив клиент на нужный IP адрес и порт 1080 (в mIRC Setup это в разделе firewall, как показано на иллюстрации). Заметим, что доступ к SOCKS дает не только Wingate, но и многие другие программные продукты, так что не удивляйтесь, если какой-нибудь web-сервер по адресу www.some.net позволяет подключиться к порту 1080. Остается чисто практический вопрос: как найти такой IP адрес. Очевидно, проверять в каком-нибудь диапазоне, причем предположительно богатом пользователями Wingate, все адреса на предмет отклика порта 1080. Инструментарий каждый выбирает сам, благо в сети есть выбор. Один из энтузастов-читателей даже благородно ведет список подобных IP адресов. Его страница находится здесь, так что если искать лень - заходите.

Пока все, дальнейшее зависит от вас, читатели.


home

Copyright © 1997-1998 MB