Alex Messo Malex

Scovare un indirizzo IP

Cos'è un IP

    Un indirizzo IP è un indirizzo che identifica univocamente un computer connesso alla rete.

	Il formato degli indirizzi IP è XXX.XXX.XXX.XXX dove XXX sta per un numero compreso tra 0 e 255.

	Si usa anche questa forma XXX.XXX.XXX.XXX:YYYY ed è un modo per sintetizzare che significa indirizzo IP XXX.XXX.XXX.XXX sulla porta YYYY.

	Le porte sono un modo per rendere disponibili su un unico server (e quindi su un solo IP) tanti servizi diversi come POP3, SMTP, HTTP, FTP, TelNet, ecc...

	Ad un IP corrisponde un HOST (che è anch'esso univoco) e viceversa, le due cose viaggiano in parallelo (ad esempio all'host pippo.it può corrispondere l'IP 212.216.100.140 e viceversa)

	Il tuo indirizzo IP in questo momento è 3.129.247.175

	I metodi per scoprire l'IP di un computer sono molti, i più comuni sono questi:

Metodo Chat

	Tramite un programma per chattare (ad esempio con IRC o ICQ), quando inviate una immagine, un programma, un messaggio o altro rendete visibile il vosto indirizzo IP direttamente dal programma per chattare.

	Con IRC basta digitare il comando /dns nomeutente (dove nomeutente è il nickname del tizio) e sara fornito l'IP di quella persona.

	Con ICQ sapere il vostro IP è facile basta vedere su "User's details" di un utente; nel caso abbia occultato il suo IP esistono dei tools che ricavano l'IP dato l'UIN (Universal Icq Number) ma sono abbastanza scettico sulla loro affidabilità perchè non ne ho mai visto uno funzionare, quindi spiegerò come ottenterlo utilizzando solo gli strumenti che mamma Microsoft ci mette a disposizione:

	Se state parlando con l'altro, cioè se vi ha inviato un messaggio o se siete in chat o se state trasferendo files, andate nel promt di Ms-Dos e digitate netstat -a -n (chiudete prima browser o client di posta che vi confonderebbero), vi apparirà la lista di tutte le connessioni attive con i relativi indirizzi IP, quella con il numero di porta alto (solitamente oltre il 1000) sarà quella del utente con cui siete connessi.

Metodo SS (Site Sniffer)

	Altro modo per ottenere l'IP è creando un sito che cattura i vostri dati; in genere catturare i vostri dati serve solo per le statistiche dei visitatori del sito.

	Ad esempio adesso io so che il tuo indirizzo IP è 3.129.247.175 quindi potrei salvarlo in un database ed utilizzarlo in qualche modo.
	Alcune volte gli hackers vedono gli indirizzi IP degli utenti collegati ad un provider e vedono quali campi degli indirizzi IP sono univoci per tutte le persone collegate (ad esempio IOL ha come campi univoci 212.52.6x.xxx 212.52.7x.xxx, oppure TIN 212.216.xxx.xxx); in questo modo se l'hacker conosce con quale provider vi collegate dovrà fare una scansione di pochi indirizzi IP per ritrovarvi (Netbus fa la scansione automatica degli indirizzi IP). E' indispensabile fare una scansione ogni volta che il computer infetto si ricollega ad internet in quanto ad ogni connessione viene assegnato un indirizzo diverso.
	

Metodo Expert

	Altro modo (per hackers esperti) è quello di utilizzare programmi per la gestione avanzata degli indirizzi IP come Netlab il quale riesce ad individuare anche la lista degli utenti collegati ad un provider. Non basta, con questo programma un hacker può dirvi anche il vostro indirizzo di casa. Altri programmi per intercettare una persona sono forniti gratuitamente con Windows 95 o superiore e sono TRACERT e NETSTAT (Si lanciano da Start - Esegui...).

	Esistono comunque molti altri metodi che sfruttano bug (errori) di sistema dei server, bug dei firewall o programmi specifici, esiste un sito che vi spiega come fare.

NetLab

	Questo programma non non fa nulla di suo, racchiude semplicemente in un'interfaccia user-friendly i comandi che la stessa mamma Microsoft ci fornisce assieme a Windows (anche se molti non lo sanno).

	E' soltanto molto utile per velocizzare i tempi perchè si fa tutto da una sola finestra senza eseguire troppi comandi MS-DOS.

	Mi limito a spiegare le funzioni più importanti :

		Per le nozioni fondamentali leggetevi le guide di Lord Shinva che vi infarineranno per bene; per NetLab nello specifico invece proseguite la lettura...
	
		NetLab 1.3.7
	
		FINGER
		E' un servizio che permette di ricavare informazioni su un utente connesso ad un certo host se si inserisce nomeutente@nomehost o di avere la lista degli utenti connessi ad un host se si inserisce solo il nomehost.
	
		WHO IS
		Il servizio di WhoIs è usato per ottenere le informazioni dai server di Network Information Center. Fornisce il database degli utenti e dei calcolatori centrali registrati in tutto il mondo. Permette di cercare un sistema per nome o per il suo gestore.
	
		TIME
		E' un altro servizio che ritorna l'ora del sistema remoto. La funzione Syncronize serve per allineare l'ora del vostro PC con quella del sistema remoto (ad esempio molti osservatori navali usano degli orologi atomici e quindi ti permettono di avere l'ora esatta)
	
		QUOTE
		Serve per ottenere la "quota" del giorno da un elaboratore remoto.
	
		PING
		Verifica se un determinato host è online.
	
		TRACE
		Sfrutta il servizio traceroute per fornirvi il percorso che vi divide dall'host specificato. In pratica vedrete la strada che un pacchetto percorre per arrivare fino all'host remoto passando per ogni router hop (salto).
	
		DNS
		Sta per Domain Name Server e risolve un IP in HOST e viceversa fornendo anche i possibili alias.
	
		PORT SCAN
		E' usato per ottenere una lista dei servizi attivi (compresi da WinSock) sul proprio computer.
In altre parole fa uno scan delle porte locali.
	
	Inutile far notare che un servizio funziona solo se quell'host lo ha attivato, in caso contrario tutte queste belle cose che vi ho detto rimarranno solo un miraggio (i grossi provider ad esempio non attivano mai il servizio finger).

Tips & Tricks

	Tramite il vostro indirizzo IP chiunque può sapere con quale provider vi collegate e addirittura la posizione geografica del server con cui siete collegati in quel momento; un programma in grado di fare ciò è Visual route.
	Se un hacker vuole colpire un utente del suo stesso provider basta che si colleghi ad internet più volte e ad ogni connessione lanci il programma fornito con Windows 95/98 chiamato Winipcfg.exe, il quale fornirà lindirizzo IP del suo computer; l'hacker a questo punto si segnerà i campi fissi assegnati dal server, in genere sono i primi tre (o i primi due se il provider è molto grande), in questo modo gli basterà fare una scansione dei vari indirizzi inserendo consecutivamente i campi non fissi fino a trovare un computer infettato (Netbus fa la scansione automatica inserendogli la gamma di indirizzi da scandire).

Come rintracciare un IP (whois)

	Il primo passo da compiere è l'analisi dell'intestazione (header) del messaggio di posta. Al suo interno, nelle proprieta', sono - di norma - riportati l'indirizzo IP del mittente, la data e l'orario d'invio: l'incrocio di queste informazioni individua in modo univoco un utente (UserID) della rete di partenza del messaggio stesso.

	In pratica, si deve trasformare l'indirizzo IP del mittente in forma verbosa.

	E' possibile sapere a chi appartiene un indirizzo IP su diversi siti web (ARIN WHOIS USA, RIPE WHOIS Europa, APNIC WHOIS Asia, UXN Spam Combat) che, attraverso la propria interfaccia, rendono accessibili numerosi strumenti di indagine.

	Inserendo nella maschera "IP Whois" la stringa xxx.xxx.xxx.xxx (il quartetto di x diviso da punti corrisponde all'indirizzo IP mittente), si ottengono le coordinate del proprietario dell'indirizzo IP, un po' come avviene con i numeri di targa degli autoveicoli.

	UXN Spam Combat esegue automaticamente la ricerca (query) presso tutti i servizi Whois dei tre Regional Internet Registries (RIR) - RIPE NCC (Europa), ARIN (America) e APNIC (Asia e Pacifico) - che si dividono geograficamente le competenze sugli indirizzi IP della Rete.

	L'interrogazione mostra che il proprietario dell'indirizzo IP è, ad esempio, Libero-Infostrada e indica il recapito - abuse@libero.it - cui rivolgersi per la segnalazione degli abusi. È comunque possibile consultare direttamente il servizio Whois di un singolo RIR, ma si corre il rischio di dover reiterare l'interrogazione presso gli altri Registries.

	Individuata la rete di origine dell'abuso, è necessario contattare via email la casella anti-abuso del provider specificando la natura del problema (posta commerciale non sollecitata, contenente virus, eccetera) allegando il messaggio dello spammer in forma completa (compreso l'header) e riportando il risutato della ricerca Whois appena compiuta. Gli operatori del servizio faranno il resto, impedendo al malintenzionato, se necessario, ulteriori connessioni ad internet.

Conclusioni

    Non ho reso disponibili i programmi che ho citato al fine di scoraggiarvi nel compiere azioni dannose nei confronti di un qualsiasi innocuo pesciolino che nuota ignaro degli squali che ci sono nel mare di internet.

	Vi consiglio di cercare qui qualsiasi tipo di programma (non solo crack).