[HaBo]

kklaus1 · 11.07.03, 09:26

Hallo ich hatte heute einen Angriff auf meinen Rechner, ich konnte die IP Adresse des Angreifers feststellen.
Giebt es eine möglichkeit oder ein Tool mir dem ich die IP zurrückverfolgen kann ?
Ideal währ mit Karte und perfekt nätürlich alle deteils wie Anschlussnümmer (des Modems) Name Adresse und so....
giebt es sowas nettes ?

Flou · 11.07.03, 09:44

Hat dir Zone Alarm den Angriff gemeldt?
Dann war es sicherlich kein Angriff!

Mit der IP kannst du nur den Provider herausfinden, dieser könnte dann feststellen welche Person zu welcher Uhrzeit mit der IP unterwegs war.
Allerdings wird ein Provider dir nicht einfach so personenbezogene Daten geben, da ist sicherlich ein richterliche Anordnung notwendig.

HaBo Ads

Crux · 11.07.03, 10:48

@kklaus1

Hast du nicht in deinem Ersten Posting gesagt das du Admin einer Firma bist? Und als ein Admin musst du wissen das sowas nicht geht.

du kannst bei www.ripe.net mit der IP herausfinden bei welchen Provider er ist. Mehr aber auch nicht. Schreib einfach an den Provider eine Mail mit deinem Anliegen. Der kann dir an weiter helfen

MfG

Crux

Medic · 11.07.03, 12:38

Ts, das einzige, was an deinem Posting nicht völlig sinnfrei ist, ist wohl die Signatur.

Du kannst ja mal mit dem netten DOS Dienstprogramm tracert (tracert Ip-Adresse) dein Glück versuchen (gibt es übrigens auch unter Linux/UNIX und heißt traceroute), das ist allerdings nur dann sinnvoll, wenn die entsprechende IP-Adresse noch vorhanden bzw. dem Angreifer zugehörig ist (wenn du das nicht verstehst dann beschäftige dich mit DHCP oder dem BOOTP-Protokoll).
Ob das letztendlich für deine Zwecke nützlich ist musst du selbst entscheiden. Mehr wie Netzknotenionformation gibt es damit nämlich auch nicht, ansonsten halte dich an www.ripe.net wie crux freundlicherweise schon erwähnt hat.

Corex · 11.07.03, 19:23

Du könntest dir auch NeoTrace und somit den Standort des "Angreifers" rausfinden. Wenn du dann Glück hast,siehst du auch die adresse! Es gibt natürlich jede Menge andere solcher "Tracer" nur die wollte ich jetzt nicht extra aufzählen.

sm0g · 25.07.03, 13:42

Zitat:

Original von Corex
Du könntest dir auch NeoTrace und somit den Standort des "Angreifers" rausfinden. Wenn du dann Glück hast,siehst du auch die adresse! Es gibt natürlich jede Menge andere solcher "Tracer" nur die wollte ich jetzt nicht extra aufzählen.

LoL ... Du siehst nicht den Standort des "Angreifers" sondern mit viel Glueck den Standort seines Kontenpunktes.

Regards,
sm0g

nitro_1 · 25.07.03, 23:52

Hallo erstmal, ein gute chance um evtl. den geographischen standort herauszufinden, bietet das programm "Neo Trace".
Die addresse zum download ist mir leider entfallen, aber über google bekommst du mit sicherheit etwas heraus...

bye

sm0g · 26.07.03, 12:53

Zitat:

Original von nitro_1
Hallo erstmal, ein gute chance um evtl. den geographischen standort herauszufinden, bietet das programm "Neo Trace".
Die addresse zum download ist mir leider entfallen, aber über google bekommst du mit sicherheit etwas heraus...

bye

Hallo?!?

Hast du gelesen, was in den Replys vor deinem stand? Ich glaube damit waere dein Posting ueberfluessig gewesen....

Regards,
sm0g

26.07.03, 17:22

1) wie smog schon sagte

@medic
deine Empfehlung von traceroute bringt ihm nichts, ausser die anzahl und adressen seiner hops.
neotrace ist btw. genau das selbe nur mit etwas grafik aufgepeppt.

2) bekommt niemand die Adresse einer Person, wenn sie angezeigt wird, ausser es ist erheblicher sach/kapitalschaden entstanden.

@kklaus1
Schau dir lieber den Angriff an und versuche rückschlüsse auf eine evtl. Dir noch unbekannte Schwachstelle zu ziehen und handle danach. Einen Angriffsversuch anzuzeigen bringt nichts, ausser kosten, sofern nicht
wirklich etwas beschädigt/gestohlen worden ist.

mfg Thomas

c-geek-c · 30.07.03, 19:45

dazu muss man aba sagen, dass ZA, wie auch viele andere IDs, gerne mal einen angriff anzeigen, nur weil jemand zu einem port connectet hat, durch nen fehler bei der ip übertragung oder sowas ähnliches.
Ansonsten kann ich da nur gulliver beipflichten.

nowonda · 31.07.03, 22:28

Der Begriff "Angriffsversuch" ist ziemlich vage!

Die meisten von Firewalls oder IDS erkannten, sogenannten Angriffsversuche gehen von Filesharing Tools aus, oder von durch Viren, Trojanern oder Würmern infizierten Rechnern, die (zufällige) IP-Ranges nach möglichen Infektionsmöglichkeiten, oder halt einem Filesharing Tool abscannen.

Die Möglichkeit die IP zurück zu verfolgen wirst Du bei einem "wirklichen" Angreifer nicht haben, es sei denn es handelt sich um ein DAS (Dümmstes Anzunehmendes Scriptkiddy) und selbst dann landest Du höchstens beim ISP, denn nach einer gewissen Zeit dürfte die von Deiner Firewall angezeigte IP bereits einem anderen User zugeteilt sein.

cu

nowonda

31.07.03, 23:39

@c-geek-c

Dasz eine verbindung durch einen Fehler im IP Protokoll "aus versehen" aufgebaut wird ist (sag niemals nie) mehr als unwahrscheinlich.

mfg

c-geek-c · 01.08.03, 00:06

@gulliver
so meinte ich das auch net *g* das protokoll versieht sich net, aba nehmen wir mal an, jemand nutzt z.b. emule, ungefähr 3000 clients haben mal zu ihm connectet, durch quellenaustausch, etc. wenn er jetzt emule beendet connecten die clients aber immernoch zu ihm, weil ja emule nach was-weiß-ich für einer zeit checkt, ob die quelle noch da ist, bzw. wie weit man in der warteliste vorantgeschritten is, wieviel punkte auf der warteliste etc. pp.. wenn der jemand jezzt aber vom inet disconnectet steht dem isp deine ip zur verteilung an jemand anders zur verfügung.
der isp hat die ip jezzt z.b. an kklaus vergeben, die 3000, naja, in der zwischenzeit vielleicht 2000 leute

haben aber immernoch diese ip in emule und nach einer zeit connectet mal wieder einer zu dieser ip um zu checkn....und nu zeigt ihm dei firewall einen angriff an....punkt

BornToDie · 18.08.03, 22:47

Das habe ich auch manchmal das ich die IP-adresse von dem angreifer haben.
Du kannst dir am besten die FIREWALL von Norton kaufen.
Die haben Visual Tracking und mit dem kannst du die IP bis auf den Ort zurück verfolgen!! Dabei bekommst du auch noch die E-Mail adresse und andere daten raus!!

Mfg
BornToDie

Chris · 18.08.03, 23:36

Neeeee! Lies doch mal was da oben steht!!!!!!
Tip: Ich rede von smogs post...

Es ist Unsinn zu behaupten, dass man anhand einer IP den genauen Standpunkt eines Users ausfindig machen kann. Die IP enthaelt naemlich keine diesbezueglichen Daten. Wenn ich von hier aus ueber einen japanischen Proxy auf eine Site gehe, dann zeigt Dir neoTrace oder son Kram Japan an. Ich hock aber hier in London *g* Dann kannste ja mal in Hochjapanisch eine Anzeige erstatten, viel Spass noch!

Empfehlung

11.07.03, 09:26	#1 (permalink)
kklaus1 Registriert seit: 10.07.03 Likes: 0	IP zurrück verfolgen !?! Hallo ich hatte heute einen Angriff auf meinen Rechner, ich konnte die IP Adresse des Angreifers feststellen. Giebt es eine möglichkeit oder ein Tool mir dem ich die IP zurrückverfolgen kann ? Ideal währ mit Karte und perfekt nätürlich alle deteils wie Anschlussnümmer (des Modems) Name Adresse und so.... giebt es sowas nettes ?

25.07.03, 23:52	#7 (permalink)
nitro_1 Registriert seit: 23.07.03 Likes: 0	RE: IP zurrück verfolgen !?! Hallo erstmal, ein gute chance um evtl. den geographischen standort herauszufinden, bietet das programm "Neo Trace". Die addresse zum download ist mir leider entfallen, aber über google bekommst du mit sicherheit etwas heraus... bye

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bildverarbeitung - welche Algorithmen um Markierung zu verfolgen	lightsaver	Code Kitchen	8	18.03.09 07:08
Net Send Ziele verfolgen	powvorti	(In)security allgemein	11	12.03.04 19:11

11.07.03, 09:44	#2 (permalink)
Flou Senior Member Registriert seit: 02.10.01 Likes: 0	Hat dir Zone Alarm den Angriff gemeldt? Dann war es sicherlich kein Angriff! Mit der IP kannst du nur den Provider herausfinden, dieser könnte dann feststellen welche Person zu welcher Uhrzeit mit der IP unterwegs war. Allerdings wird ein Provider dir nicht einfach so personenbezogene Daten geben, da ist sicherlich ein richterliche Anordnung notwendig.

11.07.03, 10:48	#3 (permalink)
Crux Registriert seit: 26.09.02 Likes: 0	@kklaus1 Hast du nicht in deinem Ersten Posting gesagt das du Admin einer Firma bist? Und als ein Admin musst du wissen das sowas nicht geht. du kannst bei www.ripe.net mit der IP herausfinden bei welchen Provider er ist. Mehr aber auch nicht. Schreib einfach an den Provider eine Mail mit deinem Anliegen. Der kann dir an weiter helfen MfG Crux

11.07.03, 12:38	#4 (permalink)
Medic Registriert seit: 17.06.03 Likes: 0	Ts, das einzige, was an deinem Posting nicht völlig sinnfrei ist, ist wohl die Signatur. Du kannst ja mal mit dem netten DOS Dienstprogramm tracert (tracert Ip-Adresse) dein Glück versuchen (gibt es übrigens auch unter Linux/UNIX und heißt traceroute), das ist allerdings nur dann sinnvoll, wenn die entsprechende IP-Adresse noch vorhanden bzw. dem Angreifer zugehörig ist (wenn du das nicht verstehst dann beschäftige dich mit DHCP oder dem BOOTP-Protokoll). Ob das letztendlich für deine Zwecke nützlich ist musst du selbst entscheiden. Mehr wie Netzknotenionformation gibt es damit nämlich auch nicht, ansonsten halte dich an www.ripe.net wie crux freundlicherweise schon erwähnt hat.

11.07.03, 19:23	#5 (permalink)
Corex Registriert seit: 07.07.03 Likes: 0	Du könntest dir auch NeoTrace und somit den Standort des "Angreifers" rausfinden. Wenn du dann Glück hast,siehst du auch die adresse! Es gibt natürlich jede Menge andere solcher "Tracer" nur die wollte ich jetzt nicht extra aufzählen.

26.07.03, 17:22	#9 (permalink)
Gulliver Guest Likes:	1) wie smog schon sagte @medic deine Empfehlung von traceroute bringt ihm nichts, ausser die anzahl und adressen seiner hops. neotrace ist btw. genau das selbe nur mit etwas grafik aufgepeppt. 2) bekommt niemand die Adresse einer Person, wenn sie angezeigt wird, ausser es ist erheblicher sach/kapitalschaden entstanden. @kklaus1 Schau dir lieber den Angriff an und versuche rückschlüsse auf eine evtl. Dir noch unbekannte Schwachstelle zu ziehen und handle danach. Einen Angriffsversuch anzuzeigen bringt nichts, ausser kosten, sofern nicht wirklich etwas beschädigt/gestohlen worden ist. mfg Thomas

30.07.03, 19:45	#10 (permalink)
c-geek-c Registriert seit: 20.07.03 Likes: 0	dazu muss man aba sagen, dass ZA, wie auch viele andere IDs, gerne mal einen angriff anzeigen, nur weil jemand zu einem port connectet hat, durch nen fehler bei der ip übertragung oder sowas ähnliches. Ansonsten kann ich da nur gulliver beipflichten.

31.07.03, 22:28	#11 (permalink)
nowonda Registriert seit: 07.05.03 Likes: 0	Der Begriff "Angriffsversuch" ist ziemlich vage! Die meisten von Firewalls oder IDS erkannten, sogenannten Angriffsversuche gehen von Filesharing Tools aus, oder von durch Viren, Trojanern oder Würmern infizierten Rechnern, die (zufällige) IP-Ranges nach möglichen Infektionsmöglichkeiten, oder halt einem Filesharing Tool abscannen. Die Möglichkeit die IP zurück zu verfolgen wirst Du bei einem "wirklichen" Angreifer nicht haben, es sei denn es handelt sich um ein DAS (Dümmstes Anzunehmendes Scriptkiddy) und selbst dann landest Du höchstens beim ISP, denn nach einer gewissen Zeit dürfte die von Deiner Firewall angezeigte IP bereits einem anderen User zugeteilt sein. cu nowonda

31.07.03, 23:39	#12 (permalink)
Gulliver Guest Likes:	@c-geek-c Dasz eine verbindung durch einen Fehler im IP Protokoll "aus versehen" aufgebaut wird ist (sag niemals nie) mehr als unwahrscheinlich. mfg

01.08.03, 00:06	#13 (permalink)
c-geek-c Registriert seit: 20.07.03 Likes: 0	@gulliver so meinte ich das auch net g das protokoll versieht sich net, aba nehmen wir mal an, jemand nutzt z.b. emule, ungefähr 3000 clients haben mal zu ihm connectet, durch quellenaustausch, etc. wenn er jetzt emule beendet connecten die clients aber immernoch zu ihm, weil ja emule nach was-weiß-ich für einer zeit checkt, ob die quelle noch da ist, bzw. wie weit man in der warteliste vorantgeschritten is, wieviel punkte auf der warteliste etc. pp.. wenn der jemand jezzt aber vom inet disconnectet steht dem isp deine ip zur verteilung an jemand anders zur verfügung. der isp hat die ip jezzt z.b. an kklaus vergeben, die 3000, naja, in der zwischenzeit vielleicht 2000 leute haben aber immernoch diese ip in emule und nach einer zeit connectet mal wieder einer zu dieser ip um zu checkn....und nu zeigt ihm dei firewall einen angriff an....punkt

18.08.03, 22:47	#14 (permalink)
BornToDie Registriert seit: 09.08.03 Likes: 0	Das habe ich auch manchmal das ich die IP-adresse von dem angreifer haben. Du kannst dir am besten die FIREWALL von Norton kaufen. Die haben Visual Tracking und mit dem kannst du die IP bis auf den Ort zurück verfolgen!! Dabei bekommst du auch noch die E-Mail adresse und andere daten raus!! Mfg BornToDie


HaBo Ads HaBOT

18.08.03, 23:36	#15 (permalink)
Chris Senior Member Registriert seit: 27.01.02 Likes: 1	Neeeee! Lies doch mal was da oben steht!!!!!! Tip: Ich rede von smogs post... Es ist Unsinn zu behaupten, dass man anhand einer IP den genauen Standpunkt eines Users ausfindig machen kann. Die IP enthaelt naemlich keine diesbezueglichen Daten. Wenn ich von hier aus ueber einen japanischen Proxy auf eine Site gehe, dann zeigt Dir neoTrace oder son Kram Japan an. Ich hock aber hier in London g Dann kannste ja mal in Hochjapanisch eine Anzeige erstatten, viel Spass noch!

[HaBo]

IP zurrück verfolgen !?!