依靠域名或IP地址查找入侵者位置

　　因为网络通讯皆有数据发送者与数据接收者，所以只要有人和你的主机进行通讯(发 E-mail、Telnet、FTP等)，你都能知道对方的IP地址，即使对方从防火墙后与你通讯也至少能够知道对方防火墙的地址。如果对方是通过一台机和你通讯，那么你还可以通过一台UNIX主向和你通讯，那么你还可以通过ident查出对方是谁。

　　既然我们可以通过网络通讯记录下对方的IP如何靠IP地址或域名找出入侵者呢?这其中要涉及到IP与域名管理的问题了，关于IP地址和域名我们已经在本书第二章介绍过了，在这里我们要对IP地址与域名管理的相磁知识补上一小课。

　　1. 互联网上IP地址与域名管理

　　IP地址的使用必须向InterNIC(国际网络管理中心)登记，而域名要向当地直属的网络管理中心登记。在Internet上的网络管理中心共有三个层级：国际等级、洲际等级、国家等级。

　　国际等级只有 InterNIC 一个，各国的 NIC(网络管理中心)以及洲际 NIC 均由其管理(http：

　　//www.internic.net)。洲际等级InterNIC并不直接管理整个Internet，其下的网络资源会再做分区，例如中国、日本、香港等亚太地区，由亚太洲际网络管理管理(http：//www.apnic.net)。

　　后面不挂国码的国家等级域名，不是由InterNIC管理就是由洲际的NIC管理，挂国码的则由各个国家的NIC 理，惯例上某个国家的NIC名称是两位国码加上NIC，例如中国的国码为CN，则中国网络管理中心为Cwww.cnnic.net.cn)。由于InterNIC位于美国，因此美国域名由InterNIC直辖，还有一个例外是挂.mil的美国军方网络的资料是由ddn.mil(美国军事防卫网络)来管理，而不由InterNIC管理，当得到某个域名或是IP地址后，就可以使用whois命令来查出资料，其语法如下：

　　whois -h<查询对象>

　　例如向whois.internic.net查询hp.com，需输入： whois -h whois.internic.net hp.comwhois

　　也可能使用下列语法：

　　whois<查询对象>@

　　例如向whois.twnic.net查询ntu.edu.tw需输入： whois ntu.edu.tw@whois.twnic.net

　　域名命名的三种情况：

　　这里要介绍一下三种特殊域名命名的情况。

　　(1)在许多国家.edu.是由NIC以外的单位所管理(如教育部)，而属性也不一定是三个字母甚至没有，所以在查询判断某个与黑客活动相关域名的性质时要多加注意。

　　(2)标准国码+三码属性码(或没有国码，仅有属性码)：普遍使用于欧洲，美洲国家以及部份东南亚

　　国家。如美国的*.com、*.edu。

　　(3)标准国码+二码属性码： 以日本为例，公司属性为co，社团属性为or，这与三码定义的com、org

　　略有代公司的网址为www.bandai.co.jp，如果读者要使用某公司名称拼凑出完整主机名称时，需注意日本是仅有两码属性码的地区，比如www.bandai.com.jp这样的域名是错误的：。

　　我国的域名体系也遵照国际惯例，包括类别域名和行政区域名两套。

　　(1)类别域名是指com、org、net、edu、gov、mil等六个域名(详细内容见第二章介绍)。

　　(2)行政区域名是按照中国的各个行政区划划分而成的，其划分标准依照原国家技术监督局发布的国家标用于我国的各省、自治区、直辖市。

　　那CN下域名又是如何管理的呢?受原国务院信息化工作领导小组办公室的委托，中国科学院在中国科学院计算机网络信息中心组建了中国互联网络信息中心(CNNIC)，行使国家互联网络信息中心的职责。

　　CNNIC 的一项主要业务就是域名注册服务。CNNIC 对域名的管理严格遵守《中国互联网络域名注册暂行管理办法》和《中国互联网络域名注册实施细则》的规定。

　　有些地区的域名仅有码。如澳洲仅有*.au的主机名称，并没有其他的如com、co、或其他形式的主机名称。

　　2. 利用域名与IP地址进行追踪查询

　　(1)根据域名查询

　　在Internet上，一般用whois服务来查询连线单位的登记资料。whois本来应该是用来查某人的电话或是其他资料的，这有点像是 finger 或是现在很流行的寻人服务，比如像 whowhere、bigfoot 之类的(感兴趣的读者可以登陆www.whowhere.com查阅)，但目前NIC用whois来查询连线单位的电话以及住址，技术联络人等位资料会存放于该单位的whois主机(whois+NIC名称+net)中。例如亚太地区网络管理中心whois server为whois.apnic.net。

　　当你知道某台主机的域名以后，可以依照下面顺序查出连线单位的电话住址等资料。第一步，先看有没有国码。没有国码的，向“whois.internic.net”查询;有国码的就可以向“whois.国码 nic.net”查询。美国军事单位的是例外，其联络明细需要向“nic.ddn.mil”查询。

　　当你通过域名查询入侵者的资料时，如你能从 nslookup 查出某一 IP 地址的 FQDN，则可以直接向当地NIC查出入侵者的资料。

　　下面举个从美国入侵的简单例子：

　　比如有人由 xxx.aol.com 入侵，其主机名中没有国码，因此就直接向 InterNIC 查询，由此我们可以查到

　　America Onli 的技术负责人以及电话、传真等资料，发个传真去告洋状!

　　(2)通过IP 方法

　　注意! 以下作为范例之 IP 地址均为虚构，如有雷同，纯属巧合。读者不许擅自利用这些地址进行非法活动，否则后果自负。

　　首先我们来看几个小例子。

　　由168.95.109.222的例子：假设你不知道这是HiNet的网络，而这个有域名的话，则须先将IP地址分等级，再向InterNIC查询()。

　　由15.4.75.2子：首先IP地址进行分析：此IP地址是15开头，为一个Class A网络，故向InterNIC查询： 查出此惠普公司所有。

　　由203.66.35.1入侵的例子：这是一个Class C IP，因此必须查询至少二次，一般是三次。顺序为国际→洲际→所属国家。先查203.0：结果是出来一大堆数据，怎么办?只好再追问Class B，由于InterNIC将部份Class C交给洲际管理机构来负责配给，因此有些Class C的资料会在洲际管理机构，此时先向InterNIC查出所属洲际管理机构(用 Class B 问)。可以调查到 203.66 为亚太地区洲际网络，于是向whois.apnic.net 询问203.66.35以查询到是Forwardness Technology Co.Ltd.所属IP，从结果数据中，我们还可以查询到电话等信息。

　　在以上的查询方法中，可以由任一主机名称或IP地址查到连线者所属的网络资料，如果你发现该网络单位下属主机对你的网络有攻击行为，就可以将资料告诉对方的系统管理员。

　　注意!

　　几乎所有使用TCP/IP通讯协定的计算机都会有hosts、network等档案。这是所有TCP/IP系统的共同习惯(只有Microsoft的软件会有lmhosts 来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可以发现Novell Netware伺服器也有一个etc目录，还有hosts等档案!