             |
 |
|
|
|
|
|
|
|||
 Kan jeg spore opp eieren av en IP adresse? Internett er i utgangspunktet ikke laget for at man skal kunne spore IP adresser sånn uten videre. Adressene er kun ment for usynlig bruk slik at nettverksenheter kan kommunisere seg imellom. Det er kun ISPen (Internet Service Provideren (Telenor, UPC osv)) som har informasjonen om hvem som har forskjellige IP adresser til enhver tid. Lokal vs. global IP Alle enheter som kobles til et nettverk må ha en IP adresse. Enheten får dette av den nærmeste DHCP-tjeneren (Domain Host Configuration Protocol-server) i det nettverket den blir tilkoblet. DHCP-tjeneren får sin IP adresse av routeren, og routeren får sin IP adresse av modemet som har fått sin IP adresse fra ISPen (som har kjøpt rettighetene til IP adressen av ARPA / InterNIC). Det er kun IP adressen til routeren du ser hos en bruker på internett, og det er denne IP adressen som er den "globale" IP adressen til brukeren. Den globale IP adressen er altså adressen til modemet i et nettverk. Innad i nettverket kan Per Olsen ha tilkoblet en laptop, en stasjonær maskin, en IP-telefon, en printer og et nettverkskamera, (eller en usikret trådløs router som tillater at 256 enheter kobler seg til nettverket og bruker hans globale IP adresse). Alle får hver sin adresse av DHCP-tjeneren, og disse lokale IP adressene er like for de fleste hjemmenettverk. (Typisk lokaladresse: 192.168.1.2). For å sjekke din egen IP adresse i WinXP kan du gjøre følgende: - klikk Start - Velg Kjør / run - skriv inn CMD og klikk ok / trykk ENTER I kommandovinduet (DOS prompt) som kommer opp skriver du inn: ipconfig og trykker ENTER. Du får nå opp en liste over din aktive nettverkskobling omtrent slik: Windows IP Configuration Ethernet adapter Wireless Network Connection: Connection-spesific DNS Suffix..: IP Address......................: 192.168.1.3 Subnet mask.....................: 255.255.255.0 Default gateway.................: 192.168.1.1 IP adressen din er i så fall 192.168.1.3. Nettverkskoblingen du bruker heter "Wireless Network Connection" (heter kanskje "Telenor Internett" hos deg?) Listen ellers sier ikke allverdens, men man kan anta at ettersom Default gateway (sannsynligvis DHCP-tjeneren) har adressen 192.168.1.1, finnes minst en annen enhet tilkoblet nettverket (på adressen 192.168.1.2). Ettersom routeren / DHCP-tjeneren (ofte en og samme fysiske boks) skal identifisere alle enheter i nettverket unikt, må den ha en liste over alle enhetene med unike navn. Ettersom det blir for vagt å identifisere enheter med navn (Per sin maskin / per sin printer) er dette løst ved at alle nettverksadaptere (altså alle nettverkskort) i _hele verden_ har en unik MAC-adresse (Media Access Control-adresse). MAC-adressen din står fysisk skrevet på nettverkskortet ditt inni maskinen din, i tillegg til å være oppført hos den routeren / DHCP-tjeneren du kobler til nettverket igjennom. For å finne din MAC-adresse (hvis den ikke står skrevet på undersiden av din Laptop / annet sted på din maskin / enhet) gjør du følgende: - klikk Start - Velg Kjør / run - skriv inn CMD og klikk ok / trykk ENTER I kommandovinduet (DOS prompt) som kommer opp skriver du inn: ipconfig/all (evt. ipconfig / all. Mellomrom blir oversett) og trykker ENTER. Du får nå opp en komplett liste over alle dine aktive nettverkskoblinger inkludert MAC-adresse omtrent slik: Windows IP Configuration Host Name.......................: INSPIRON9200 Primary Dns Suffix..............: Node Type.......................: Mixed IP Routing Enabled..............: No WINS Proxy Enabled..............: No Ethernet adapter Wireless Network Connection: Connection-spesific DNS Suffix..: Description.....................: Intel(R) PRO/Wireless 2200BG Network Connection Physical Address................: 00-2R-87-EE-09-76 Dhcp Enabled....................: Yes Autoconfiguration Enabled.......: Yes IP Address......................: 192.168.1.3 Subnet mask.....................: 255.255.255.0 Default gateway.................: 192.168.1.1 DHCP Server.....................: 192.169.1.1 DNS Server......................: 192.169.1.1 Lease Obtained..................: 11. juli 2006 08:11:33 Lease Expires...................: 12. juli 2006 08:11:33 Ethernet adapter Local Area Connection: Media State.....................: Media Disconnected Description.....................: Broadcom 440x 10/100 Intergrated Controller Physical Address................: 00-22-34-5A-43-44 Vi vil ikke gå i dybden på alle punktene over, men verdien "Physical Address" er MAC-adressen til en gitt nettverksadapter. På testmaskinen (som heter INSPIRON9200) finnes to nettverkskort (to fysiske adresser). De fysiske adressene er 12 siffer sortert parvis med bindestrek mellom hvert par. Mac-adressen kan også skrives uten bindestrekene. Et lite hjemmenettverk kan se slik ut:  Hver enhet har minst en MAC-adresse. I eksempelet over figuren er det Laptop2 som er testmaskinen, og den er tilkoblet vha trådløs forbindelse og har ip: 192.168.1.3 (LAN-adresse) og det trådløse nettverkskortet har MAC-adressen / fysisk adresse: 00-2R-87-EE-09-76. Hvordan fungerer det egentlig? Som man ser av figuren over er veien allerede ganske kompleks fra en gitt maskin og ut mot internett, og kompleksiteten fortsetter på samme måte utover internettet. Når Laptop2 surfer på nettet, er det ikke slik at routeren kobler direkte til en internettside og viser frem innholdet, men mer en slags "tja.. -vi roper høyt ut hvilken side vi vil se på, og så venter vi til en eller annen maskin der ute svarer". "Kortversjonen" - teknisk: Laptop2 sin bruker skriver inn f.eks: http://www.vg.no i sin nettleser og trykker ENTER. Ila. sekunder kommer VG sine nettsider opp på skjermen til Laptop2. Det som egentlig skjer er at Laptop2 ber sin nærmeste overordnede hente informasjon over HTTP (Hyper Text Transfer Protocol) fra serveren med kallenavnet "www.vg.no". Laptop2 sin nærmeste overordnede er i dette tilfellet en router, som ikke gjør annet enn å videresende forespørselen til sin nærmeste overordnede som er et modem. Modemet er konfigurert (fortalt vha. innstillinger) til å sende forespørsler om alle "kallenavn" til en bestemt DNS-server (Domain Name Service-server). Dette er en maskin på internett som har en oppdatert liste over "kallenavn" (f.eks: "www.vg.no"). Modemet sender forespørselen til DNS-serveren (ISP bestemmer hvilken DNS-server man skal bruke). I listen til DNS-serveren står det at "kallenavnet" www.vg.no = IP: 193.69.165.21. Forespørselen fra Laptop2 blir derfor sendt til WAN-adressen 193.69.165.21, som er en datamaskin med serverprogramvare (Unix, Linux, Windows) som er satt opp til å ha en HTML-formattert tekst tilgjengelig på (vanligvis) TCP (Transmission Control Protocol) port 80. (Alle datamaskiner har porter fra port 0 til port 65535. De første 1023 portene brukes til bestemte oppgaver. Port 21 brukes f.eks. til FTP (File Transfer Protocol) og port 80 brukes til HTTP (Hyper Text Transfer Protocol). Fra port 1023 til port 49151 finnes registrerte porter (firmaer søker om å få bruke dem til sine programmer) og fra 49152 til 65535 finnes de privat tilgjengelige / lokale portene (virusprodusenter kan bruke dem fritt). I tillegg til TCP benyttes UDP (User Datagram Protocol) for å sende trafikk over IP. Forskjellen på TCP/IP og UDP/IP er først og fremst at UDP er laget for å annonsere budskap uten å motta respons (Hvis man bare vil fortelle hva man heter roper man det over UDP, -hvis man vil hilse på noen gjør man det over TCP)). Altså: Laptop2 blir koblet til www.vg.no, men all informasjon mellom Laptop2 og www.vg.no går via routere, modem og servere på internett. Man kan sjekke hvordan denne forbindelsen ser ut ved å Trace (spore opp) www.vg.no direkte fra Kommandolinjen i WinXP vha kommandoen Tracert (kort for TraceRoute) slik: - klikk Start - Velg Kjør / run - skriv inn CMD og klikk ok / trykk ENTER I kommandovinduet (DOS prompt) som kommer opp skriver du inn: tracert www.vg.no Trykk ENTER. Maskinen din sender nå en forespørsel ut i verden etter serveren som skjuler seg bak kallenavnet "www.vg.no", og måler tiden det tar før din forespørsel blir besvart på de forskjellige punktene. Det ser omtrent slik ut: Tracing route to www.vg.no [193.69.165.21] over a maximum of 30 hops: 1 5 ms 1 ms 1 ms my.router [192.168.1.1] 2 8 ms 8 ms 6 ms cm-84.213.120.001.chello.no [84.213.120.1] 3 9 ms 7 ms 7 ms cm-80.111.241.198.chello.no [80.111.241.198] 4 * 11 ms 7 ms no-oslxxx-xxx-aorta.net [213.46.177.45] 5 8 ms 9 ms 8 ms no-osl01a-ra2-ge-2-1-0-aorta.net [213.46.191.26] 6 13 ms 8 ms 9 ms ge-0-3-0.br3.gaus.no.catchbone.net [193.156.60.3] 7 9 ms 11 ms 6 ms ge-0-1-0-85.cr1.sand.no.catchbone.net [193.75.3.230] 8 11 ms 11 ms 8 ms v202.rs1.sand.no.catchbone.net [193.75.3.62] 9 11 ms 9 ms 12 ms 193.69.165.11 10 8 ms 10 ms 10 ms www.vg.no [193.69.165.21] Trace complete. TraceRouten viser at Laptop2 er innom 8 andre maskiner før den når www.vg.no. De andre maskinene er routere av forskjellige slag, ofte kalt Noder. Av TraceRouten kan man se at Laptop2 er koblet til internett via Chello, og at www.vg.no leier sine linjer av Catch. De eneste to routerene i midten er fra hovednettet Aorta (klingende navn :). Tracert gir både maskinnavn og IP-adresse (IP i klammer). Hvis maskinen ikke har et navn, vises kun IP adresse. Asterisk (stjerne) betyr "intet svar" og i dette tilfellet er det Aorta som ikke klarte å svare på Laptop2 sin forespørsel (men bare den første av tre ganger). Hvis du har lest litt i tabloidene i det siste har du kanskje fått med deg at "nettet er sprengt" i Norge fordi Telenor ikke har besørget nok utbygging av hovednettet? Det er i så fall i Aorta-nettet man får problemer. Jeg har selv opplevd å få veldig trege og ustabile svar fra Aorta, antakelig vis pga. overbelastning (Les: Aorta-routerene har så mye å gjøre at de ikke rekker å svare på forespørsler). Det er altså en myriade av IP adresser involvert i kontakten mellom to endestasjoner på nettet, og det kan være vanskelig å verifisere at den IP adressen du har er den faktiske adressen til en gitt bruker. Det har ikke blitt enklere av at åpne trådløse nettverk dukker opp som aldri før i tett befolkede områder. Bare tenk på at Bredbåndsfabrikken ba restauranten Qba på Grünerløkka i Oslo om å registrere brukerene av nettverket, men ble stanset av Datatilsynet i 2002. Nettverket var altså helt åpent for allverdens kriminelle som kunne (kan fremdeles) benytte seg av nettverket til hva som helst, og politiet får ikke tilgang til informasjon uten kjennelse fra en domstol. Under etterforskningen av NOKAS-ranet fikk politiet en kjennelse fra Stavanger tingrett som tillot overvåking av nettcafeene QBA og WTE. Overvåkningen ble kalt Kommunikasjonskontroll (KK) og innbefattet avlytting av trafikk på routeren samt utskrift av logger tilbake til september 2004. (Dette var første gang politien benyttet KK, men det blir nok ikke den siste). En typisk trådløs router kan dele ut 256 LAN IP-adresser vha DHCP. Teoretisk sett kan hver av de 256 maskinene dele sin internettforbindelse igjen, og vips så er det umulig uten et absurd stort etterforskningsarbeid å bestemme hvilken bruker som har gjort hva igjennom et åpent trådløst nettverk. MAC adresser Selv om det kan være vanskelig å bestemme hvor en gitt trafikk kommer fra, vil det være forholdsvis enkelt å sjekke hvilke MAC adresser som får tildelt hvilke IP-adresser, og MAC adressene kan teoretisk spores tilbake til kjøper av maskinen med det bestemte nettverkskortet. Lurt å tenke deg godt om før du gjør noe bøll på naboens nettverk med andre ord... IP adresser er og blir heldigvis anonyme Ettersom det bare er ISPer som har oversikt over hvem som bruker hvilke IP adresser til enhver tid, og de bare utleverer denne informasjonen til politi (sannsynlig vis etter godkjennelse av domstol / dommer) er det ikke mulig for oss vanlig dødelige å spore opp eieren av en IP adresse. Etter vår mening er det en bra ting. Husk at IP adressen din blir registrert overalt hvor du går, og tenk deg hvor absurd det hadde vært om alle i hele verden kunne følge dine digitale fotspor... Detektivarbeid Selv om du ikke kan finne ut hvem som har en gitt IP adresse i ettertid, er det flere ting man kan gjøre for å finne ut mer om den skjuler seg bak en gitt avsender i sanntid. For å kunne finne mer informasjon må i hovedsak en av to kriterier oppfylles. 1: Vedkommende er online (og har ingen / dårlig sikkerhet) og du vet hvilken IP adresse han / hun har. 2: Vedkommende er offline (og har ingen aktiv IP adresse) men du kan fremprovosere brukerens maskin til å røpe for deg hvilken IP adresse han / hun får når han / hun går online. 1: Vedkommende er online Hvis en maskin er online og du vet hvilken IP adresse maskinen har, kan du (merk "kan") finne ut bl.a. følgende om maskinen: - Maskinens navn - Operasjonssystemet på maskinen - Lokal dato og tid - Delte elementer (Shares) - Hvilken konto som brukes (merk at kontoer ofte er personnavn) - Hvilke programmer vedkommende bruker som er knyttet til nettet - Evt. trojanske virus på maskinen - Maskinens ISP (internettleverandør) Som vi nevnte tidligere har datamaskiner 65535 (sekstifemtusenfemhundreogtrettifem) porter -eller "dører" som vender ut mot internett når en maskin er online. Forskjellige programmer bruker portene til forskjellige aktiviteter på nettet. De første 1023 portene er fast tilknyttet visse tjenester uavhengig av plattform (Operativsystem). Ettersom TCP er en universal plattformuavhengig protokoll, og portene ikke bryr seg om OS, kan man ved å sjekke forskjellige porter lese forskjellig informasjon. For å forstå hvordan dette fungerer, vil vi nedenfor kort oppsummere logikken i TCP/IP-kommunikasjon (som ble standarden lenge før noen tenkte på sikkerhet). TCP/IP - "Three-Way handshake"  Laptop2 og Server må gjennom en verifiseringsprosess som kalles "Three-Way handshake", hvor de over TCP/IP gir hverandre referansenumre og inngår en avtale om hvordan de skal kommunisere. Prosessen består av Syn og Ack-flaggede TCP-pakker. Etter at maskinene har hilst på hverandre kan overføring av data starte. Hvis Server ikke er en server men en vanlig brukermaskin (for eksempel Laptop1) vil prosessen være lik, bortsett fra at Laptop1 antagelig vis ikke svarer positivt på forespørselen:  Laptop1 har ingen tjeneste tilgjengelig, og kommunikasjon kan ikke starte. Laptop1 har allikevel svart på forespørselen. Mye teknisk babbel? Når du for eksempel kobler til nettbanken din, oppretter din maskin en forbindelse til bankserverens port 80 (HTTP) vha Three-Way Handshake. Du må heldigvis verifisere at du er du hvis du vil logge inn og bruke pengene dine (din maskin oppretter en egen kryptert forbindelse via SSL (Secure Socket Layer) til bankens server) vha angangspassord. Grunnen til at du må bekrefte med passord og opprette en kryptert forbindelse er at et vanlig angrep på servere er såkalte Man in the middle-angrep, hvor noen avlytter Three-Way Handshaket og hopper inn og tar over samtalen din med serveren. På den måten kan en angriper enten lure deg til å oppgi informasjon, eller lure banken til å behandle inntrengeren som om han var deg. Kevin Mitnick brukte IP spoofing (forfalskning av IP adresse) for å overta forbindelser på 90-tallet ved å gjette seg til ISN (Initial Sequence Number) i Two-Way Handshake mellom to maskiner (før denne nummereringen ble ekte tilfeldig i 1999). Fingerprinting Selv om maskiner er satt opp til å avvise trafikk på porter som ikke har tjenester tilgjengelig, holder det at maskinen svarer i det hele tatt hvis man vil undersøke den nærmere. En vanlig prosess i scanning av maskiner er å først forsøke å bestemme hva slags OS (Operativsystem) maskinen har. Dette kalles OS Fingerprinting, og kan gjøres på forskjellige måter. Typisk sendes en ICMP (Internet Control Message Protocol) Echo PING-forespørsel fra Laptop2 til Laptop1 for å se om port 80 (webserverport) er åpen (Webservere plaprer gladelig ut om hvem de er og hva slags OS de er installert på). Deretter scannes kjente Netbios-porter / navneidentifiseringsporter (typisk de rundt 20) til man har fått svar fra minst en åpen og en lukket port. Falske TCP-pakker (for eksempel en uten meldingsflagg eller en med flagget SFPU (SYN, FIN, PUSH, og URGENT) sendes deretter til portene og Laptop2 "tar opp" og analyserer innholdet i svarpakkene fra Laptop1 for å bestemme (med stor sannsynlighet) hvilket OS som brukes basert på forhåndsdefinerte kriterier. Du kan selv teste en Online OS Fingerprinting variant for å se hva din maskin avslører om seg selv (uten at du har bedt om det, -og på tross av evt. brannmurer) ved å gå hit. OS Fingerprinting er bare en av mange muligheter man kan identifisere et system. ICMP har flere kommandosett som maskiner sladrer om hverandre på, og ved å studere de forskjellige svarene kan man altså bygge opp en profil av et system (les mer på engelsk her). Det finnes flere programmer som foretar slike scanninger og bygger opp rapporter av systemer, og det er ikke ulovlig å bruke dem etter avtale eller i eget nettverk. Husk allikevel at dette er typiske verktøy som brukes av Crackere i forberedelsene til et Hack. Å kjøre slike prgrammer kan sammenlignes med å overvåke banken din, sjekke hvem som jobber der, overvåke daglige rutiner og sikkerhetstiltak og kjenne etter hvilke dører som er låst. -altså ikke noe du burde drive med i særlig grad :) Husk også på at mange maskiner er beskyttet med brannmurer som ikke bare blokkerer slike Portscanninger / Fingerprinting, men også sladrer til eieren av nettverket. Hvis du vil se hvordan din maskin ser ut for andre maskiner på internett kan du få gjort en analise av ditt system helt gratis her. Sikrere Windows skaper nye trusler Ettersom de fleste (etter innføring av brannmur i Windows XP) er ganske godt beskyttet, vil vi i de nærmeste årene antakelig se en voldsom oppblomstring av Trojanske virus både av ondsinnet karakter og i flittig bruk i reklamesammenheng. Selv om man kanskje er mest bekymret for de ondsinnede variantene (når noen spesifikt prøver å bryte seg inn i ditt system) tror jeg sleipe multimilliondollarforetak som selger reklame blir den største syndebykken fremover. Bare tenk på Cookies i browsere. De kan inneholde utrolig mye informasjon om deg og dine surfevaner og er ikke bare lovlige, men helt nødvendige for å få surfet nettet. Den som samler mest informasjon om deg og dine surfevaner tjener mest på sine annonser... (-sorry... -liten digresjon). Programmer kan altså scanne en hvilken som helst maskin som er online basert på IP adresse og finne ut veldig mye om en maskin eller til og med om en person. 2: Vedkommende er ikke online En av egenskapene til Trojanske hester er at de åpner porter på infisert maskin og rapporterer til et styringsprogram at et system er oppe og klar for angrep. Viruskoden ligger skjult i systemet og starter automatisk når maskinen startes. Når maskinen så får tildelt en IP adresse formidles IP adressen til en person, en tjeneste eller pr. mail. Det samme prinsippet brukes av annonsører i reklamemail, men ofte på en så finurlig måte at det ikke er ulovlig. Tracking En annen artig trend som følge av sikrere Windows og mer opplyste brukere er sporing via mail. Spammere er ikke lenger avhengig av at du klikker på noe i en mail for å vite at adressen din er aktiv og for å få din IP adresse, -det holder lenge at du leser mailen og ser bildene i den. Den samme teknikken har fungert i årevis og fungerer fremdeles. Hvis Laptop2 sender en mail til Laptop1 med et bilde (kan være en transparent GIF på 1x1 pixel), og dette bildet (eller linken til det) er unikt navngitt til Laptop1, vil Laptop1 uten viten og vilje røpe både at adressen er i bruk og hvilken IP addresse man har (hadde da man leste mailen). I sp fall trenger man bare e-post adressen til en man lurer på IP adressen til for å kunne starte prosessene beskrevet i pkt 1 over. Du kan teste selv ved å f.eks. laste opp en transparent GIF til ditt webområde og kalle den "bekreftelsesgif.gif" og sende en mail med dette bildet (linket fra webområdet ditt) som bakgrinnsbilde. Hvis du har statistikk på webområdet ditt, kan du sjekke om noen har sett på det transparente bildet (og (abhengig av statistikken) evt. hvilken IP adresse de har). Man kan også legge ved et bilde som man har lokalt på sin maskin (til og med et bilde som ikke eksisterer) hvis man manuelt linker det til en IP adresse man overvåker trafikken på (egen maskin). Grunnen til at dette fungerer er at de fleste fortsatt lar mailprogrammene sine åpne hele meldinger i eget "preview-felt" og at man ikke har skrudd av HTML-visning av mail. Har du fått en mail av noen er det sannsynlig at du også har fått deres IP adresse. Når mail sendes blir de nemlig "stemplet" med unik identifiseringsinformasjon. Hvis mailen er sendt fra lokalt mailprogram er en del av dette stempelet brukerens IP adresse. (Selv om du ikke oppgir navnet ditt i mailen du sender, eller bruker falsk avsenderadresse / epost avslører Meldingshodet et par småting som man kan sette sammen til logisk informasjon). Litt av informasjonen i et meldingshode i en epost: 1: Received: from thomas (ti122110b081-7835.bb.online.no [85.166.94.151]). (evt X-Originating-IP: [85.166.94.151] hvis mailen er sendt fra "anonymt" mailprogram som Hotmail) 2: X-Mailer: Microsoft Outlook Express 5.00.2800.2769 3: Message-ID: <000841c6a549$a1484c20$0a01a8c0@thomas> Basert på denne infoen kan man slutte at: 1: Mailen er sendt fra en maskin som heter "thomas". Jeg antar at eieren også heter Thomas 2: Thomas sin maskin kalles ti122110b081-7835.bb.online.no og har IP: 85.166.94.156 3: IPen 85.166.94.151 er registrert på Telenor Business Solutions AS hos RIPE (og dessuten er alle *bb.online.no-navn Telenorkunder) 4: Thomas bruker Microsoft Outlook Express (v.5.0) og derfor også Internet Explorer 5.0 5: Hvis jeg vil anmelde Thomas for noe i mailen, holder det lenge at Telenor får Message-IDen. 6: Men det gidder jeg ikke fordi Internet Explorer 5.0 er så virusutsatt at maskinen snart knekker sammen allikevel :) Merk deg også at Hotmail-adresser ikke er mer anonyme enn andre mail. Hotmail-systemet legger inn din lokale IP adresse i mailens meldingshode. Avslutning Hvis du bare har IP adressen kan du enkelt søke opp ISPen f.eks fra Geektols.com, og ta det derifra. (Hvis du er fryktelig nysgjerrig på hva slags informasjon man kan lure ut av en maskin som ikke er beskyttet med brannmur, kan du sette deg litt inn i hva programmet Sam Spade gjør. Du kan også laste ned og teste GFI LanGuard Network Security Scanner for en mer seriøs snoking på IPer) Jeg prøvde å Trace IPen til thomas-maskinen for å se om jeg kunne finne ut hvor i landet Thomas bodde (Telenor sine routere er navngitt og plassert forskjellige steder i landet), men etter 30 hops hvorav de siste 20 var ubesvarte ga jeg opp. (Du kan teste en Visual Traceroute for å se et meget unøyaktig men artig TraceRoute som plasserer routere og IP adresser fysisk på jordkloden (prøv NeoTrace Pro)). Maskinen til Thomas eller routeren til Telenor nektet å svare på forespørsler. En brannmur eller en IP som ikke lenger er i bruk kan være forklaringen. Når en maskin ikke svarer på forespørsler (Ping) fordi den er beskyttet med en brannmur eller fordi maskinen er skrudd av og IP adressen er frigitt, er det ikke mer man kan gjøre uten å forsøke å bryte seg inn i nettverket til Thomas for å få mer informasjon. Man kan evt. rapportere feil osv til telenor som har lister over hvem som har brukt hvilke IP adresser når, men de skal ikke oppgi denne informasjonen annet enn til Politiet. Konklusjon: Vi kan finne ut mye om en nettbruker basert på IP-adresser, men det er ofte tilfeldigheter som avgjør om man finner logisk informasjon. Man kan heldig vis ikke knytte ukjente IP-adresser til enkeltpersoner på privat basis uten å bryte seg inn på en maskin via nettverk.. -og det måtte man i så fall gjøre med en netverksscanner / sikkerhetssjekk (Microsoft Baseline Security / LanGuard Network Security Scanner), men slike programmer skal man bare bruke til lovlige aktiviteter (sjekke sitt eget nettverk / maskin)... |
|||||||||
|
|
||||||||
|
|||||||