Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Visual Trace Route vraagje

07-01-2013, 15:38 door Anoniem, 8 reacties
Gepost door Jos.

Vroeger heb ik eens een tool gehad waarmee men kon uitvinden waar een website's zich bevond.
Ben nu even aan het zoeken, en kom op volgende website uit.
http://www.yougetsignal.com/tools/visual-tracert/


Als ik daar onder achter Remote Address invul www.samair.ru dan kom ik op het volgende
adres uit:

94.76.239.85 (140 ms)
samair.ru
Maidenhead, P9
United Kingdom


Is deze site nu uit de Uk of uit Rusland? Of word deze enkel gehost in de UK?

Ga ik vervolgens naar http://whois.domaintools.com/samair.ru
En dan via de tab's naar Server Stats dan staat daar IP Location: - Czech Republic - 2 Connect A.s.

Dus ik krijg twee verschillende locaties, echter welke is nu de juiste locatie?

Wat zijn trouwens goede website's voor uit te vinden waar een site daarwerkelijk zit?


Thanks :-)
Groet, Jos
Reacties (8)
07-01-2013, 16:25 door SirDice
Het gaat om een Russisch domein (.ru) geregistreerd door iemand (niet te achterhalen wie) en de site word in het VK gehost.
07-01-2013, 16:44 door Anoniem
Door SirDice: Het gaat om een Russisch domein (.ru) geregistreerd door iemand (niet te achterhalen wie) en de site word in het VK gehost.


En waarom kreeg hij dan een ander uitkomst bij de andere site?
Zo te zien dus een bullet hoster? Ik dacht dat ze daar een stokje voor gingen steken.

Ik ben trouwens ook nieuwsgierig naar enkele goede trace site's.
Enig idee Peter? Of iemand anders dan maar?
07-01-2013, 16:50 door KwukDuck
De domein naam hoeft niets te zeggen over de locatie van de aansluiting, vaak wel het geval maar absoluut geen garantie. Je kan prima een .ru domein kopen en er een server in Nederland achter hangen.
07-01-2013, 17:18 door Anoniem
Door KwukDuck: De domein naam hoeft niets te zeggen over de locatie van de aansluiting, vaak wel het geval maar absoluut geen garantie. Je kan prima een .ru domein kopen en er een server in Nederland achter hangen.

Haai, maar hoe weet je dan welke site het bij het juiste eind heeft?
07-01-2013, 17:44 door SirDice
Door Anoniem:
Door KwukDuck: De domein naam hoeft niets te zeggen over de locatie van de aansluiting, vaak wel het geval maar absoluut geen garantie. Je kan prima een .ru domein kopen en er een server in Nederland achter hangen.

Haai, maar hoe weet je dan welke site het bij het juiste eind heeft?
whois en dig zijn de tools die je moet (leren) gebruiken.
07-01-2013, 18:10 door Anoniem
Door SirDice:
Door Anoniem:
Door KwukDuck: De domein naam hoeft niets te zeggen over de locatie van de aansluiting, vaak wel het geval maar absoluut geen garantie. Je kan prima een .ru domein kopen en er een server in Nederland achter hangen.

Haai, maar hoe weet je dan welke site het bij het juiste eind heeft?
whois en dig zijn de tools die je moet (leren) gebruiken.

Spreken we nu over programma's
Waar te downloaden, en wat bedoel je met dig?

thx :-)
08-01-2013, 08:50 door SecOff
De ip adressen voor het domein samair.ru worden verstrekt door 2 dns servers: ns2.oli-h.com & dns1.ispconf.com (dit is te vinden via een dns lookup https://www.ultratools.com/tools/dnsLookup)

De eerste dns server (dns1.ispconf.com) verwijst naar 94.76.239.85, dit is in de UK
De tweede dns server (ns2.oli-h.com) verwijst naar het ip adres 31.170.179.200, dit is in CZ.

Als je het echter direct aan de dns servers van ns2.oli-h.com (ns.parktons.com) gaat vragen dat krijg je weer een ander adres terug nl : 31.170.179.197, maar ik denk dat dat een oude entry is die nog niet geupdate is.

Waar je naar toe gaat hangt er dus af van van welke server je een dns response krijgt. Dit is in ieder geval geen standaard dns configuratie

Het zou kunnen dat ze via een proxy op één van de adressen zorgen dat je atijd op dezelfde server komt maar dat heb ik niet gecontroleerd.


Bij RIPE kun je dan opzoeken aan wie (welke internet provider, hoster of bedrijf) het ip adres is toegewezen.

https://apps.db.ripe.net/search/query.html
08-01-2013, 11:19 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem:
Door KwukDuck: De domein naam hoeft niets te zeggen over de locatie van de aansluiting, vaak wel het geval maar absoluut geen garantie. Je kan prima een .ru domein kopen en er een server in Nederland achter hangen.

Haai, maar hoe weet je dan welke site het bij het juiste eind heeft?
whois en dig zijn de tools die je moet (leren) gebruiken.

Spreken we nu over programma's
Beiden zijn tools.

Waar te downloaden, en wat bedoel je met dig?

Beide tools zijn standaard aanwezig in de meeste Linux distibuties en BSDs.

En dig is een tool voor domain lookups, werkt vele malen beter dan nslookup:

dice@maelcum:~> dig

; <<>> DiG 9.8.3-P3 <<>>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24674
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14

;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 184305 IN NS e.root-servers.net.
. 184305 IN NS b.root-servers.net.
. 184305 IN NS g.root-servers.net.
. 184305 IN NS f.root-servers.net.
. 184305 IN NS d.root-servers.net.
. 184305 IN NS c.root-servers.net.
. 184305 IN NS a.root-servers.net.
. 184305 IN NS m.root-servers.net.
. 184305 IN NS h.root-servers.net.
. 184305 IN NS k.root-servers.net.
. 184305 IN NS l.root-servers.net.
. 184305 IN NS j.root-servers.net.
. 184305 IN NS i.root-servers.net.

;; ADDITIONAL SECTION:
a.root-servers.net. 184305 IN A 198.41.0.4
a.root-servers.net. 184305 IN AAAA 2001:503:ba3e::2:30
b.root-servers.net. 184305 IN A 192.228.79.201
c.root-servers.net. 184305 IN A 192.33.4.12
d.root-servers.net. 114242 IN A 199.7.91.13
d.root-servers.net. 184305 IN AAAA 2001:500:2d::d
e.root-servers.net. 184305 IN A 192.203.230.10
f.root-servers.net. 184305 IN A 192.5.5.241
f.root-servers.net. 184305 IN AAAA 2001:500:2f::f
g.root-servers.net. 184305 IN A 192.112.36.4
h.root-servers.net. 184305 IN A 128.63.2.53
h.root-servers.net. 184305 IN AAAA 2001:500:1::803f:235
i.root-servers.net. 184305 IN A 192.36.148.17
i.root-servers.net. 184305 IN AAAA 2001:7fe::53

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jan 8 11:20:45 2013
;; MSG SIZE rcvd: 512

dice@maelcum:~> dig google.com ANY
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.8.3-P3 <<>> google.com ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50605
;; flags: qr rd ra; QUERY: 1, ANSWER: 18, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.com. IN ANY

;; ANSWER SECTION:
google.com. 86400 IN SOA ns1.google.com. dns-admin.google.com. 2013010300 7200 1800 1209600 300
google.com. 600 IN MX 40 alt3.aspmx.l.google.com.
google.com. 600 IN MX 50 alt4.aspmx.l.google.com.
google.com. 600 IN MX 10 aspmx.l.google.com.
google.com. 600 IN MX 20 alt1.aspmx.l.google.com.
google.com. 600 IN MX 30 alt2.aspmx.l.google.com.
google.com. 3600 IN TXT "v=spf1 include:_netblocks.google.com include:_netblocks6.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
google.com. 300 IN AAAA 2a00:1450:4013:c01::8b
google.com. 300 IN A 74.125.136.113
google.com. 300 IN A 74.125.136.138
google.com. 300 IN A 74.125.136.139
google.com. 300 IN A 74.125.136.100
google.com. 300 IN A 74.125.136.101
google.com. 300 IN A 74.125.136.102
google.com. 15476 IN NS ns1.google.com.
google.com. 15476 IN NS ns2.google.com.
google.com. 15476 IN NS ns3.google.com.
google.com. 15476 IN NS ns4.google.com.

;; AUTHORITY SECTION:
google.com. 15476 IN NS ns3.google.com.
google.com. 15476 IN NS ns4.google.com.
google.com. 15476 IN NS ns2.google.com.
google.com. 15476 IN NS ns1.google.com.

;; ADDITIONAL SECTION:
ns1.google.com. 15476 IN A 216.239.32.10
ns2.google.com. 15476 IN A 216.239.34.10
ns3.google.com. 15476 IN A 216.239.36.10
ns4.google.com. 15476 IN A 216.239.38.10

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jan 8 11:21:57 2013
;; MSG SIZE rcvd: 623

dice@maelcum:~>
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.