اگر مطالب هفته هاي گذشته من را خوانده باشيد ، حتما متوجه شده ايد که در ابتدا هک را توضيح دادم و هکر را معرفي کردم و پس از آن نحوه نصب و راه اندازي برنامه ZoneAlarm را توضيح دادم (که يک Firewall خانگي است) و كمي در مورد IP ها صحبت كردم.
اگر zonealarm را نصب كرده باشيد ، حتما متوجه شده ايد كه بعد از هر attack كه از طرف هكر به كامپيوتر شما انجام مي شود ، اين برنامه IP Address شخص حمله كننده را در اختيار شما قرار مي دهد. در اين هفته قصد دارم نحوه شناسايي ISP ي كه از طريق آن هكر به اينترنت متصل است را شرح دهم.

(اگر مرتبه اولي است كه از صفحه اينترنت بازديد مي نماييد ، پيشنهاد مي كنم كه مطالب هفته هاي پيش را حتما بخوانيد و بعد اين مقاله را مطالعه كنيد.)

پس از اينكه IP هكر را از طريق برنامه zonealarm و يا هر برنامه ديگري بدست آورديد به آدرس زير برويد كه يك Whois ساده است.

http://www.ripe.net/perl/whois

در بالاي صفحه box خالي اي وجود دارد و در كنار آن دكمه submit query وجود دارد. IP را در box نوشته و بر روي دكمه كليك كنيد.

نتيجه اي كه پس از چند ثانيه خواهيد ديد ، چيري شبيه به اين است :

% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 213.217.40.0 - 213.217.43.255
netname: parsonline
descr: parsonline corp.
descr: Internet Service Provide
country: IR
admin-c: AF1351
tech-c: HOP1972
tech-c: SHP76-RIPE
status: ASSIGNED PA
notify: shirinp@parsonline.net
mnt-by: RIPE-NCC-NONE-MNT
changed: hooman@parsonline.net 20010818
source: RIPE

route: 213.217.40.0/22
descr: ParsOnline Co.
descr: Announced by SMS for ParsOnline Co.
origin: AS13126
notify: networks@sms-internet.net
notify: afateh@parsonline.net
mnt-by: AS13126-MNT
changed: darren.frowen@sms-internet.net 20020409
source: RIPE

person: Abdollah Fateh
address: Pars o­nline Co.
address: 224 Khoramshahr ave., No. 6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: afateh@parsonline.net
nic-hdl: AF1351
changed: afateh@parsonline.net 20000628
changed: afateh@parsonline.net 20020130
source: RIPE

person: Hooman Parta
address: Pars o­nline Co.
address: 224 Khoramshahr Ave., #6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: hooman@parsonline.net
nic-hdl: HOP1972
changed: hooman@parsonline.net 20000629
source: RIPE

person: Shirin Pourkashani
address: Pars o­nline Co.
address: 224 Khoramshahr Ave., #6C
address: Tehran 15337
address: Iran
phone: +98 21 875 7277
fax-no: +98 21 874 9595
e-mail: shirinp@parsonline.net
nic-hdl: SHP76-RIPE
changed: shirinp@parsonline.net 20010410
source: RIPE

)اين IP فقط يك مثال است.(

در اين نتيجه شما مي توانيد به راحتي نام ISP و Email شخصي كه اين IP Range در اختيار اوست را مشاهده نماييد.
اگر با جوابي مانند EU-ZZ-XXXX برخورد نموديد ، به آدرسهاي زير برويد و آنجا سعي در يافتن ISP هكر خود نماييد.

http://www.arin.net/whois/index.html

http://www.apnic.net/apnic-bin/whois2.pl

از اينجا به بعد شما كاري نمي توانيد انجام دهيد. فقط مي توانيد با ISP يا آدرس Email ي كه مشاهده مي كنيد ، تماس بگيريد و تاريخ و زمان و IP هكر را بدهيد و از آنها درخواست نماييد با اين كاربر خطاكار برخورد نمايند. ولي متاسفانه از آنجايي كه هيچ قانون مدوني در مورد جرايم الكترونيكي وجود ندارد ، و نيز معمولا ISP ها به علت داشتن تعداد كاربران زياد اطلاعات كاملي از IP هايي كه در زمانهاي مشخص در اختيار كاربران گذاشته اند ندارند ، عملا كاري از شما بر نمي آيد.

تنها ISP ي كه در اين زمينه من را كمك كرد شركت ParsOnline بود كه آن زمان تازه تاسيس شده بود و خلوت بود. در جواب نامه ام آمده بود كه با تشكر از تذكر شما ، IP ي كه به ما داده بوديد در زمان و تاريخ ذكر شده به كاربري تعلق داشت كه دسترسي او را قطع كرديم. به غير از اين يك مورد ما بقي ISP ها يا اصلا جوابي به نامه هايم ندادند و يا اظهار كردند كه كاري از دستشان بر نمي آيد.
در نظر داشته باشيد كه گاهي مواقع ZoneAlarm دستورهاي Ping و يا Routing را نيز به عنوان Attack معرفي مي كند. يا حتي احتمال دارد به صورت اتفاقي يك كاربر IP Sniffing انجام دهد بدون قصد هك كردن ولي ZoneAlarm همه را به عنوان Attack معرفي مي نمايد. پس پيشنهاد مي كنم اگر از يك IP بارها به شما Attack شد ، آنوقت سعي در يافتن هكر نماييد.