海外ip精准定位(数据)基础篇 定位反共黑客

2014年5月2日 写评论

小编注:本文纯属胡编乱造闲的没事瞎扯淡,十句话有十一句是假话,如有雷同纯属巧合。

为了弥补近期文章更新太慢,小编决定将定位技术中的基础篇拿出来和大家扯一扯,顺便拉个广告横幅:习科业务范围的反入侵部分中,海外ip精准定位业务绝不只是吹吹牛而已。

1|风景|1_1|794x496像素

 

很多人都知道海外存在一个神秘的组织,反共黑客。这个名词其实很敏感,但毕竟其影响力让我们无法无视他们的存在。小编以这个为例,希望看官不要太介意。

 

从红十字会微博被黑之前,到phpcms和现在各种的struts2,小编觉得你们还真是坚持不懈有原则。对此,小编只想说,从多大到约克,Downtown到Chinatown,Bloor到CN Tower,从Eaton Center到太古,密西沙加到士嘉堡,哪个地方是小编没有去过的呀,多伦多才巴掌大的地方,比纽约小多了。

甘肃卫生和计划生育委员会电子政务平台还没被大家玩嗨,站点就关闭了,不过没关系,我们定位只需要5分钟足矣。服务器被入侵的原因是struts2-2010的漏洞,不需要登录服务器,只需要一个netstat -ano命令就可以看到3条PID为0,状态为TIME-WAIT,ip为 67.204.16.151 的加拿大连接(麻烦你下次增加点难度,挂个VPN好吗)。

知道了ip,物理位置还远吗?只需要三点基础。

 

基础部分1 同段ip定位即精准ip定位

拥有一个庞大的数据系统是基础部分1,习科和PRISM肯定是比不了的。但某个城市的骨干网络和数据库被控制,查个ip还是挺容易的。

 

1|风景|1_2|502x748像素

 

习科在反共黑客每次使用ip段上大约能找到40个左右上网的华人,经过大量数据筛选,基本上排除这些人有交集的可能性。

定位ip精准位置的最精准的方法也许跟这些数据无关,但是最快的方法还是定位同段ip的位置。

根据加拿大街区的ip分部规律,通常一个街区内会存在两到三个ip段,分别是最大的网络运营商Rogers的ip段,多伦多地区巨头Bell和电视网络服务商Shaw的地址段。

Shaw的ip从来没出现过,原因是Shaw的网络采用固定电视线路接入。公用网络例如麦当劳、星巴克基本上都是Bell的线路,这些可以使用穷举法。另外通过3G或者4G上网的Rogers无线网卡的ip可能会与所属街区有线网络ip不同,但是仍然有规律可循。

不管怎样,同街区也许会有不同段ip,但是同段ip通常都会在同街区。这些就是第一部分。

 

基础部分2 大数据基础

习科并不怎么喜欢跟风某些商业炒作,因为大数据并不代表数据量一定大。同ip下的40多个华人中,都在哪些网站发表过什么信息,邮箱都有什么东西,这些数据量可能并不大,但处理的复杂程度可能要超过某些商业炒作中的几千万几亿条数据的复杂程度。

 

1|风景|1_3|1365x575像素

 

在北美,大多是:代购,二手,搬家,接送,约炮。 每一样都涉及到物理位置,如果没有物理位置,电话总是有的。

加拿大每天下午6点到早上7点电话任打,但是诈骗电话很少。如果没有地址只有电话号码的话,想查个位置也并不难,电话社会工程学可比Email钓鱼的社会工程学简单的多。

加拿大的ip基本上都是静态的,而且是几十年不变的。第二部分基础就是通过ip段下筛选数据库中的帖子和短消息,关键是时间一定要和ip匹配上。

67.204.16.*的某用户曾经在1月下旬发布一个帖子表示其正在居住的公寓要出租,帖子发布后该用户就没登陆过,公寓位于Markham Rd和Ellesmere Rd交界。那么,呵呵。

 

基础部分3 地理基础

在加拿大通常可以用6位字符(邮编)表示一个街区,格式是:字母数字字母 空格 字母数字字母,共6位。

定位到街区的概念基本上就是,我在街区这头喊话,你在街区那头就能听到并回话(谁这么蛋疼街区两头喊话)。

近期的某一天,反共黑客使用的ip为:66.49.190.*,这个ip通过数据库比对,最终被定位在:M6M 5A7这个街区。

1|风景|1_4|407x289像素

 

 

从Apnic查询该ip显示为多伦多密西沙加区的地址段,但通过实际定位发现其地理位置较为偏西,与北约克交界,此区域共有2大1小共3处公寓楼,中间大公寓楼即其地理位置。卫星图如下:

1|风景|1_5|498x322像素

 

那么这个公寓的地址就是:75 Emmett Avenue, Toronto, ON, Canada

 

其实海外ip定位远没有基础部分123讲的那么容易,复杂的定位还有两种,分别是挂马定位和ip段出口定位。

挂马定位

所谓的挂马定位并不是指真正的种后门远控,HTML5允许无线设备(笔记本无线网卡、3G网卡、wifi路由和智能手机等)的GPS定位模块向网页传递经纬度。

通过Apnic的数据首先可以查到ip所属地区,通过篡改当地买卖交易、房产楼市、生活社区等网站的页面,大量收集通过html5传递来的经纬度数据,分析同段ip所处经纬度可得出ip的大致经纬位置。

上级出口定位

上级出口定位的第一步寻找整个段中存活的主机,发现存活的机器后进行路由追踪,根据子网划分找到上级网络出口。目标ip的主机不一定存活,但是其上级网络出口一定存活。

通过控制同个城市中多个已知物理位置的网络设备后,进行数据传输时间进行数学运算。

假设,注意是假设。同城市中有三台已知物理位置的网络设备对目标ip的上级出口进行传输时间计算分别为100ms,200ms和300ms,在城市地图中用圆规在三个物理点按比例画圆,交集区域即可能的物理位置。

真正定位可能需要8个以上的点(误差仍然很高)才能定位,时间大概耗时4到15天左右。

 

总结

不管身处何地,只要联网,我们就有不止一种方法定位你的上网地点,而且方法同样适用于机房物理位置定位。

通过数据库的比对来定位也许不是最牢靠的,但是肯定是最快的。

篡改页面收集html5传递的经纬度的方法虽然时效性很差,但是准确度极高。

所有办法行不通的时候,最后上级网络出口一定是存活的,ip段出口的定位一定是可以用的。

顺便说一句,反共黑客的ip一般用一次以后马上就不存活了。排除法中,Shaw的网络需要固定的电视线路(而且是固定ip),公用无线网络(如麦当劳、星巴克、酒店等)可能防ping但一定不会关闭设备,同理如果蹭网家用路由,也没有用完就关闭掉的理由,那么只有一种可能。。。猜猜习科哪天会将某某人照片发出来?

最后,如果有海外ip定位的业务需要请联系。。。

来源://Silic.Org

发表评论

电子邮件地址不会被公开。 必填项已用*标注