Archief - De topics van lang geleden

IP-adres poort scanner via whois niet traceerbaar

10-04-2005, 09:47 door Anoniem, 17 reacties
Ik heb wel eens een aantal portscanners via hun IP adres aan hun
ISP doorgegeven omdat ze continu aan het scannen waren. Meestal
werke de ISP mee en hielden ze hier mee op. Nou heb ik iemand die
werkelijk continu dagen achterelkaar soms per minuut 30 x poorten
scant (via blockpost van Agniyum Outpost gedecteerd) die ik niet kan
traceren want als ik zijn IP-adres : 38.117.175.32 via whois uitzoek
kom ik op RIPE adressen en dus niet op providergegevens. Tevens
geeft Outpost als DSN j.2004.cms.com op en deze URL blijkt zoals
verwacht niet te bestaan. Enig idee hoe ik de ISP van deze malloot kan
opsporen of hier iets aan kan doen ?
Reacties (17)
10-04-2005, 11:16 door Puk.vd.Pee
Dit ip-adres staat in mijn rules als PSI FAKE FILES BLOCK 7 AP2P.
Misschien moet je je bittorrentclient (of ander p2p-proggie) eens uitzetten.
;-)
10-04-2005, 14:02 door Anoniem
Als P2P gebruikte ik eDonkey. Die heb ik uitgezet, daarna alle security
tools en nog steeds vemeld Whois het volgende :

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places
in
remarks: the world and might therefore not be in the RIPE
database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
changed: [email]bitbucket@ripe.net[/email] 20010529
changed: [email]bitbucket@ripe.net[/email] 20020625
changed: [email]hostmaster@ripe.net[/email] 20031014
changed: [email]bitbucket@ripe.net[/email] 20040422
changed: [email]bitbucket@ripe.net[/email] 20040504
source: RIPE
10-04-2005, 16:49 door Puk.vd.Pee
in de whois zul je niets tegenkomen.
o.a. dit adres wordt gebruikt om, denk ik, neppe bestanden
op p2p-netwerken te zetten.
10-04-2005, 21:06 door Anoniem
Ten eerste vind ik het zeuren over portscans in het algemeen
overspannen flauwekul, die begrijpen niet helemaal hoe
TCP/IP functioneert, aangenomen dat het hierbij om een
gewone scan gaat. In wezen doe jezelf een 'portscan' zodra
je contact met een andere machine zoekt, zoals bijvoorbeeld
met het bezoeken van deze site. Ik heb overwegend nuttiger
dingen te doen dan naar firewalllogs te kijken. In principe
heb je pas serieus reden actie te ondernemen wanneer je
achter de firewall ongewenste zaken bespeurt. En dat zou er
op haar beurt op kunnen duiden dat je een configuratiefout
hebt gemaakt.

Ten tweede verbaas ik mij over de hierboven getoonde
whois-query, het bijbehorende record luid inclusief het
bijbehorend abuse-adres alsvolgt:

OrgName: Performance Systems International Inc.
OrgID: PSI
Address: 1015 31st Street, NW
City: Washington
StateProv: DC
PostalCode: 20007
Country: US

NetRange: 38.112.0.0 - 38.119.255.255
CIDR: 38.112.0.0/13
NetName: COGENT-NB-0002
NetHandle: NET-38-112-0-0-1
Parent: NET-38-0-0-0-1
NetType: Reallocated
NameServer: AUTH1.DNS.COGENTCO.COM
NameServer: AUTH2.DNS.COGENTCO.COM
Comment: ReferralServer: rwhois://rwhois.cogentco.com:4321/
RegDate: 2003-08-20
Updated: 2004-03-11

OrgAbuseHandle: COGEN-ARIN
OrgAbuseName: Cogent Abuse
OrgAbusePhone: +1-877-875-4311
OrgAbuseEmail: [email]abuse@cogentco.com[/email]

OrgNOCHandle: ZC108-ARIN
OrgNOCName: Cogent Communications
OrgNOCPhone: +1-877-875-4311
OrgNOCEmail: [email]noc@cogentco.com[/email]

OrgTechHandle: IPALL-ARIN
OrgTechName: IP Allocation
OrgTechPhone: +1-877-875-4311
OrgTechEmail: [email]ipalloc@cogentco.com[/email]
10-04-2005, 22:41 door Anoniem
Door Anoniem
...als ik zijn IP-adres : 38.117.175.32 via whois uitzoek
kom ik op RIPE adressen en dus niet op providergegevens

Als je even verder had gekeken had je gezien dat het
38.*.*.* block niet binnen RIPE valt maar binnen ARIN ;)

whois.arin.net
dan krijg je inderdaad dit hierboven
10-04-2005, 23:23 door Anoniem
Dank je wel voor jullie reacties.
11-04-2005, 12:58 door Peter_
op http://www.dnsstuff.com kun je diverse DNS queries uitvoeren.
Probeer hte daat eens.
11-04-2005, 15:54 door Jeroen Wijnands
En cogentco doet helemaal niets tegen netwerkmisbruik,
15-04-2005, 12:28 door Anoniem
ik had een vraagje ik krijg als ik sommige sites open een
alert waarin staat: operation timed out when connecting to
j.2004.cms.com. Ik snap niet waarom ik deze melding krijg en
ik kan tevens ook nie meer naar www.yousendit.com. Ik denk
dat beide gevallen iets met elkaar te maken hebben, kan
iemand mij hierbij helpen of heeft iemand enig idee wat er
aan de hand is? Alvast bedankt.
16-04-2005, 11:24 door Anoniem
Door Anoniem
Ten eerste vind ik het zeuren over portscans in het algemeen
overspannen flauwekul, die begrijpen niet helemaal hoe
TCP/IP functioneert, aangenomen dat het hierbij om een
gewone scan gaat. In wezen doe jezelf een 'portscan' zodra
je contact met een andere machine zoekt, zoals bijvoorbeeld
met het bezoeken van deze site. Ik heb overwegend nuttiger
dingen te doen dan naar firewalllogs te kijken. In principe
heb je pas serieus reden actie te ondernemen wanneer je
achter de firewall ongewenste zaken bespeurt. En dat zou er
op haar beurt op kunnen duiden dat je een configuratiefout
hebt gemaakt.

Blijkbaar weet je het zelf ook niet helemaal ... als je een
site bezoekt ga je gericht naar een poort,
hoogstwaarschijnlijk 80. Bij een poortscan gebruik je
diverse methoden om te achterhalen welke poorten open zijn
op een machine. Ik mag hopen dat mijn browser geen poortscan
doet op iedere site die ik bezoek .... en als hij dat wel
doet ben ik erg benieuwd naar de resultaten van die scans :-)
17-05-2005, 13:53 door Anoniem
FoRzA Laat die mensen met rust ANONIEM voor dat ze jou pakken ip is
toevallig van een prof die altijd op zoek is HIJ KAN EEN VERITAS
GEBRUIKEN een neppe poorte maker dus.....
17-05-2005, 14:48 door SirDice
En nu graag in het Nederlands...
17-05-2005, 16:17 door Anoniem
Door Anoniem
Blijkbaar weet je het zelf ook niet helemaal ... als je een
site bezoekt ga je gericht naar een poort,
hoogstwaarschijnlijk 80. Bij een poortscan gebruik je
diverse methoden om te achterhalen welke poorten open zijn
op een machine.
Dat er meerdere methoden bestaan
misken ik niet.
De meeste opgevangen scans, als zij al plaatsvinden,
proberen normaal te connecten. Dat is vergelijkbaar met
normaal gebruik, zoals bijvoorbeeld door het bezoeken van
een site.
Waar het hier om gaat is dat zodra mensen enkel 'portscan'
brullen dat vrijwel altijd een storm in een glas water is.
Wanneer er wel reden is om uberhaupt geluid te maken noem je
het beestje bij de naam, zoals bijvoorbeeld een Xmas scan.
Dàn heb je reden tot beklag, niet eerder.
26-05-2005, 19:38 door Anoniem
ik wil nou wel eens iets weten over ip's traceren. ik heb een panda internet
security die alles tegen houd virussen hackers enz. maar kunnen ze dan
nog je adres en gegevens vinden. en dan nog iets. ik heb gehoord dat ip
adress niet van adres zelf maar van je provider.

ps. krijg ik iedre keer een andere ip adress....ik heb isdn????????
04-06-2005, 19:12 door Anoniem
Door Anoniem
FoRzA Laat die mensen met rust ANONIEM voor dat ze jou pakken ip is
toevallig van een prof die altijd op zoek is HIJ KAN EEN VERITAS
GEBRUIKEN een neppe poorte maker dus.....

wat is het nut van een fake poorten maker?
05-06-2005, 00:00 door Anoniem
Door Anoniem
ik wil nou wel eens iets weten over ip's traceren. ik heb
een panda internet
security die alles tegen houd virussen hackers enz. maar
kunnen ze dan
nog je adres en gegevens vinden. en dan nog iets. ik heb
gehoord dat ip
adress niet van adres zelf maar van je provider.

ps. krijg ik iedre keer een andere ip adress....ik heb
isdn????????

Je krijgt je IP adres automatisch toegewezen van je provider
als je (in het geval van ISDN) inbelt. En als je pech hebt
is het IP adres dat je eerst had al in gebruik door iemand
anders. Dus krijg je een nieuw IP.
13-06-2005, 01:36 door Anoniem
"Wanneer er wel reden is om uberhaupt geluid te maken noem je
het beestje bij de naam, zoals bijvoorbeeld een Xmas scan.
Dàn heb je reden tot beklag, niet eerder."

Toevallig heeft mijn firewall een Xmas scan genoteerd en geblokt. Daar
zou ik geen aandacht aan besteed hebben.
Maar nu vraag ik me af.................is een Xmas scan dan zo erg?
Ik zit achter een router trouwens en ben niet al te technisch.


Elisa
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.