IP-Adresse verfolgen

infra-rot · 18. Januar 2008 um 14:07

Also ich hab hier mal ne frage, ob ich im internet die IP-Adresse irgendwie zurückverfolgen kann. Also vielleicht weiß es ja jemand, auf welcher Seite es sowas gibt oder irgendwelche Tipps.

Danke im Vorraus

Infra-Rot

cspiegl · 18. Januar 2008 um 14:24

also so ganz habe ich zwar nicht verstanden was du meinst aber da gibts ne suche die nennt sich google da findet man sowas.

Aber weil ich selbst derartige Antworten hasse, hier ein Link (hoffentlich hilfts dir): ip-lookup.net/

myPages · 18. Januar 2008 um 14:25

Moin,

ich habe mal kurz gegoogelt und Hinweise auf etwas namens Tracerout gefunden - danach googlen darfst du jetzt …

MfG
myPages

kla_kal · 18. Januar 2008 um 14:29

also ich nehm immer ip-adress.com da bekomt man den groben standort der ip in google angezeigt. wirklich bringen tuts das ganze aber eh nur mit fester ip denk ich mal

TrekWork · 18. Januar 2008 um 14:33

Also von WEM willst du denn die IP-Adressen zurückverfolgen?
Und was willst du am Ende erhalten? Die IP oder den dahinter?
Umfangreichere Statistiktools können die IP-Adressen der Besucher
einer Seite auffangen, kenne sowas z.B. für Joomla! (Joomla!Stats).

Gruß,
TrekWork

Xonea · 19. Januar 2008 um 08:18

So, weil ich gerade einigermassen viel Zeit habe bekommt auch dieses Thema malwieder eine etwas längere Antwort; ich gebe zuerst mal meine Interpretation der Frage ab und dann wie man das macht (und warum das so geht; die Antwort ist also vor alem für die Leute interessant, die die IP-Adressvergabepraxis im Internet etwas interessiert, die davon aber keine Ahnung haben; der Rest kann das hier alles getrost ignorieren; irgendwelche tollen neuen Erkenntnisse wird der Beitrag nicht liefern).

Also, ich nehme mal an, dass Du eine IP-Adresse hast und den Menschen dahinter identifizieren willst. Ich mache das ganze mal mit einem Beispiel, das ist interessanter und nehme die IP-Adresse… 152.152.94.201.

Ok, das erste was ich normalerweise ganz gerne mache ist, den DNS-Namen rauszufinden. wie heiss der Domainname, unter dem 152.152.94.201 erreichbar ist. Jetzt gibt es natürlich hunderte von tools, in die man die IP eintragen kann und die einem den Namen sofort geben, aber weil das jetzt langweilig ist die Erklärung wie die das machen

Das DNS-System ist hierarchisch aufgebaut, das weiss jeder; es gibt z.B. .net, dann .bplaced.net und dann forum.bplaced.net und Adressen werden genau in der Reihenfolge abgefragt. (Also man Frägt erst den Server von .net dann den von bplaced.net nach der ip; forum.bplaced.net könnte rein theoretisch auch noch einen eigenen DNS-Server haben, das wird aber kaum der Fall sein).

IPs werden jetzt natürlich auch über das DNS-System in Namen zurückverwandelt, aber wie geht das?
Ganz einfach, wir schreiben die IP erstmal in einen Speziellen dns-Namen um. Dazu schreiben wir sie rückwärts und hängen was an… und es kommt 201.94.152.152.in-addr.arpa raus. Und auf diese Adresse machen wir jetzt einen lookup mit einem Domainprogramm und fragen nach dem PTR-Record (PTR = der Record, der Namen mit IPs verknüpft). (Ausprobieren kann man das z.B. unter digwebinterface.com/ ).

Die Antwort sieht dann ca. so aus:

[code][xonea@Chimaera ~]$ dig PTR 201.94.152.152.in-addr.arpa

; <<>> DiG 9.3.3 <<>> PTR 201.94.152.152.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1646
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 14

;; QUESTION SECTION:
;201.94.152.152.in-addr.arpa. IN PTR

;; ANSWER SECTION:
201.94.152.152.in-addr.arpa. 603650 IN PTR www.hq.nato.int.
[/code]

Aha, also gehört die IP dem Server hq.nato.int.

Aber wir können der Angabe nicht wirklich trauen, also sollte man danach noch einen lookup auf hq.nato.int machen u zu sehen ob auch die IP rauskommt; ausserdem sind nicht alle IPs im DNS eingetragen.

Was können wir also noch machen, wenn wir nur eine IP haben?

Wir können im whois nachsehen, auf wen die Adresse 152.152.94.201 registriert ist. Wenn man einen unixrechner hat kann man fast immer einfach whois (adresse) auf der Kommandozeile eingeben; wenn nicht kann man es auch manuell machen und geht auf arin.net und kopiert die IP in die schöne Box auf der rechten Seite

Zuerst mal eine kleine Information, darüber wie IP-Adressen vergeben werden; Es gibt eine schöne Organisation mit dem namen IANA (Internet Assigned Numbers Authority). Die Verteilt IP-Adressen in großen Blöcken an z.B. die ARIN (Amerikanische registry) oder an RIPE (die Europäische registry), von wo aus man sich selbst welche beantragen kann.

Naja, beim whois kommt dann etwas raus wie:

[code]whois 152.152.94.201

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 152.152.0.0 - 152.152.255.255
CIDR: 152.152.0.0/16
NetName: RIPE-ERX-152-152-0-0
NetHandle: NET-152-152-0-0-1
Parent: NET-152-0-0-0-0
NetType: Early Registrations, Transferred to RIPE NCC
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2004-03-03
Updated: 2004-03-03

ARIN WHOIS database, last updated 2008-01-18 19:10

Enter ? for additional hints on searching ARIN’s WHOIS database.

% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘152.152.0.0 - 152.152.255.255’

inetnum: 152.152.0.0 - 152.152.255.255
netname: NATO-HQ
descr: NATO Headquarters
descr: Leopold III ln
descr: 1110 Brussels
country: BE
admin-c: EV431-RIPE
tech-c: EV431-RIPE
status: EARLY-REGISTRATION
mnt-by: ERX-NET-152-152-MNT
mnt-lower: ERX-NET-152-152-MNT
mnt-routes: ERX-NET-152-152-MNT
source: RIPE # Filtered

person: Eddy Vanderstraeten
address: NATO Headquarters
address: 1110 Brussels
address: BE
phone: +32 2 7075150
e-mail: e.vanderstraeten@hq.nato.int
nic-hdl: EV431-RIPE
mnt-by: RIPE-ERX-MNT
source: RIPE # Filtered

% Information related to ‘152.152.0.0/16AS8220’

route: 152.152.0.0/16
descr: COLT customer PI
origin: AS8220
mnt-by: AS12640-MNT
source: RIPE # Filtered
[/code]

Wir sehen also, dass die IP bei Ripe registriert ist und wem der Adressbereich gehört. Ausserdem sehen wir noch, dass der Adressbereich aus dem Early-adopter Programm kommt, also vor der Zeit als es die Ripe gab vergeben wurde und dieser erst nachträglich übertragen wurde

Wenn wir jetzt die Staatsanwaltschaft wären und der Inhaber der IP was verbrochen hätte wüssten wir, an wen wir uns wenden könnten um dem weiter nachzugehen.

Naja, ums noch komplett zu machen können wir auch noch einen traceroute machen; da sehen wir welchen weg die Pakete (so ungefähr) durch das Netz nehmen, bis sie die IP erreichen; das ist ganz interessant, weil man da die Provider sieht (unter windows heisst das Programm tracert und kann über die Kommandozeile aufgerufen werden).

Raus kommt dann so ca.:

[xonea@Chimaera ~]$ traceroute 152.152.94.201 traceroute to 152.152.94.201 (152.152.94.201), 64 hops max, 40 byte packets 1 * * * 2 217.0.69.122 (217.0.69.122) 48.896 ms 48.619 ms 48.963 ms 3 f-ea2.F.DE.net.DTAG.DE (62.154.16.190) 53.903 ms 54.815 ms 54.893 ms 4 62.156.139.146 (62.156.139.146) 53.942 ms 54.131 ms 54.623 ms 5 fe3-0-0-ar1.BRU.router.colt.net (212.74.68.54) 69.908 ms 69.553 ms 67.890 ms 6 nato-1082-u.customer.be.colt.net (62.72.121.154) 68.392 ms 70.353 ms 69.907 ms 7 * * * 8 * * * 9 * * * ...

Also gehen unsere Pakete über colt.net, vielleicht ist das interessant. (Das stand im whois vorhin aber auch schon drinnen).

Seiten wie ip-adress.com machen im Prinzip das gleiche wie wir gerade; teilweise haben sie auch noch genauere Datenbanken über die Positionen von IPs. Und es ist natürlich praktischer, das alles von einer Seite erledigen zu lassen.

So, vielleicht hat das ja jetzt irgendjemanden interessiert

cspiegl · 19. Januar 2008 um 08:42

thx, Xonea:
Ich fand deinen Eintrag wirklich aufschlussreich (ok, ich wusste einiges schon) und es sind für mich trotzdem einie neue Infos dabei rumgekommen…

Allso nochmal Danke.

blauer-affe · 21. Januar 2008 um 22:55

Gehört zwar nicht direkt zur Frage aber will an dieser stelle mal nen link loswerden:

[size=150]http://www.uberwach.de/[/size]

Die seite zeigt find ich ganz gut auf wie leicht es is jemandem im web über die schulter zu schaun!
Und ganz nebenbei find ich den politischen Hintergedanken auch klasse.

PS: da das hier mein erster Post is mal ein dickes Danke für den service! der mit abstand beste freewebspace den ich kenne! Hoffe das bleibt noch ne zeit so.