via http://www.ripe.net kun je de whois database raadplegen.

Onderstaand de "eigenaar"
Click here for the RIPE NCC E-Learning Centre
Next Section

Query the RIPE Whois Database
Search for
Query Options: IP address Lookups
-d Reverse Delegations
Query Options: Inverse Lookups
-i Inverse attributes
Query Options: IP address Lookups
Search level
-s Alternative database
-T Objects types

Query Support Tools
-G Disable grouping by relevance
-B Disable e-mail filtering
-r Disable recursive lookups
-K Primary keys only
-R Disable domain name referral

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the
"-B" flag

% Information related to '61.156.0.0 - 61.156.255.255'

inetnum: 61.156.0.0 - 61.156.255.255
netname: CNCGROUP-SD
descr: CNCGROUP Shandong province network
country: CN
admin-c: CH444-AP
tech-c: XZ14-AP
status: ASSIGNED NON-PORTABLE "status:" definitions
remarks: transferred 20021224
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-SD
source: APNIC # Filtered

person: CNCGroup Hostmaster
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
country: CN
phone: +86-10-82993155
fax-no: +86-10-82993144
e-mail: [email]abuse@cnc-noc.net[/email]
nic-hdl: CH444-AP
mnt-by: MAINT-CNCGROUP
source: APNIC # Filtered

person: XIAOFENG ZHANG
address: Jinan,Shandong P.R China
country: CN
phone: +86-531-6666666
fax-no: +86-531-6666666
e-mail: [email]ip@pub.sd.cninfo.net[/email]
nic-hdl: XZ14-AP
mnt-by: MAINT-ZXF
source: APNIC # Filtered

Hoop dat je chinees goed is

Wat bedoel je met "inbraakpoging"? En "poortscan"?

Gokje wat er gebeurd is: er zijn een aantal UDP pakketten
van flinke grootte gestuurd naar een aantal (waarschijnlijk
ca. 4) poortnummers, ergens vlak boven 1024. Zo ja dan
bevatten die hoogstwaarschijnlijk zogenaamde "messenger spam".

De betrokken messenger service heeft niets met MSN
messenger te maken, maar is een systeem waarmee o.a. in
bedrijfsnetwerken boodschappen rondgestuurd kunnen worden
zoals "svp opslaan en uitloggen, de server gaat zo plat".
Het is belachelijk dat Microsoft deze service by default aan
zet. Mocht je Windows draaien dan kun je bijv. hier een
tooltje downloaden om deze uit te zetten:
http://grc.com/stm/shootthemessenger.htm, of je
kunt de aanwijzingen van Microsoft zelf volgen:
http://www.microsoft.com/windowsxp/using/security/learnmore/stopspam.mspx.

N.B. veel van deze messenger spam vertelt je hoe je deze
vorm van spam kunt voorkomen, nl. door hun programma
te downloaden en te installeren. Doe dat nooit, deze kosten
of geld, of hebben bijwerkingen (adware/spyware, en sommigen
versturen vanaf jouw PC dezelfde junk naar derden).

Volgende punt: bij UDP messages is er geen sprake van een
echte bi-directionele verbinding, d.w.z. in een deel van de
gevallen is het niet nodig dat jouw computer een antwoord
stuurt. Zo ook in het geval van de messenger spam; juist om
traceren erg moeilijk te maken wordt dan vaak het source
IP-adres gespoofed. Dus ook al "weet" je het IP-adres, dat
zegt niet zoveel. Wel kun je vaak iets zeggen over de
regio waar het vandaan kwam, want nette providers
blokkeren uitgaande pakketten met source-IP adressen van
buiten hun domain.

En als ik 61. nog iets lees, dan ga ik meteen uit van Azie.
Je kunt de provider achterhalen door het adres op te vragen
met "whois". Hier vind je een fraaie webpage waarmee dat
kan: http://www.completewhois.com/.

Maar stel dat het IP-adres wel klopt: dan weet je nog steeds
niet wie daarvan de eigenaar is; er zijn namelijk maar heel
weinig providers die jou gegevens van hun klanten willen
vertellen (zie bijv. de recente Pessers-Lycos zaak). Lastig
is bovendien dat IP-adressen dynamisch kunnen zijn; zonder
exacte tijdsaanduiding weet je niet welke PC er aan hing.

Bovendien is de kans groot dat de eigenaar van de PC met dit
IP-adres niet zelf jouw PC aanvalt, maar dat de PC gecracked
is (bijv. deel uitmaakt van een botnet), en dus de eigenaar
zich van geen kwaad bewust is.

De grote kunst van firewall logs analyseren is het kunnen
onderscheiden van echte aanvallen en ruis c.q. "voelen of de
deur op slot zit" (wat nog niet wil zeggen dat een inbraak
volgt of andere structurele schade onstaat).

Erik van Straten

Prima uitleg Erik! En om daaraan (maar weer een keer) toe te
voegen: Nee, je kunt niet achterhalen welke persoon er
achter een bepaald IP adres zit. Hooguit vanaf welke
Internet Provider het afkomt.

Dat is niet altijd waar... soms is Google je vriend en kun
je allerlei leuke informatie vinden over de eigenaar van het
IP adres (als ie in forums heeft gepost om maar eens wat te
noemen). Werkt alleen bij (semi-) statische IP adressen
natuurlijk.

Hmm. nog niet eens aan gedacht (Google). Is het proberen best eens
waard. Maar afgaand aan het feit dat de hosting provider ergens in China
zit, doet mij het ergste vrezen. Dit betekent dat de kans op een actie van de
ISP daar nihil kan zijn. Wat ze daar doen lijkt op bullet proof hosting

google is altijd mijn vriend! ;-)

En wat ik ook mis in het verhaal;
Waarom wil je weten wie er achter zit? En wat ga je dan met
die info doen? Terug 'pesten'?

En stel dat dit niet het juiste ip is wat je hier post! Dan
gaat de eigenaar daarvan jouw adres weer proberen te
achterhalen enzovoorts enzovoorts en het einde is zoek!

T

Wie zegt dat prunnella geen onbekwaam overspannen software
gebruikt dat bij elk onbetekenend wissewasje begint te gillen?

61.156.238.238 is waarschijnlijk een gecrackte pc.
Ik heb mijn "Messenger" uitgeschakeld staan en mijn Firewall ontvangt al
weken Portscans en traffic van dat adres.

Ik ontvang ook veel portscans van dit adres.
Is daar niets aan te doen?

ik heb het adres IP 61.156.238.238 voor de grap gegoogled,
in 5 talen klachten over poortscans en dergelijke afkomstig
van dit adres....

3x raden welk ip in deze top10 staat?
http://www.dshield.org/top10.html

Ik ben het niet helemaal eens met ieder van jullie. Ik krijg elke dag van mijn
router meer dan 40 e-mail berichten met het verkeer van en naar mijn IP.
het verkeer van mijn IP af omvat 3 a 4 email berichten. de overige berichten
bevatten IP adressen en Poort nummers van buitenaf welke allemaal
gebloked worden. Ik ben ook benieuwd wie mij allemaal probeert te
hacken! De enige manier om erachter te komen is door die who is
database te raadplegen en een e-mail te sturen naar de "eigenaar" van het
IP adres.

Het lijkt me ten alle tijden WIJS om dit te doen. Als het IP namelijk gebruikt
is voor illegale praktijken wijst het er meestal op dat er wat mis is met de
beveiliging bij de "eigenaar" toch?