lookup ip

[giovaneamministratore]

Salve a tutti! Come si evince dal mio nick sono un giovane amministratore di forum
considerato che prima avevo amministrato un forum con dominio forumup e, ho avuto spiacevoli sorprese con utenti a dir poco maleducati ho deciso di ''indagare'' sugli ip dei miei nuovi utenti che si iscrivono nel mio nuovo forum con dominio di mia proprietà.Questa sera si è registrato un utente che a mio modo di vedere ha un ip piuttosto ambiguo..


cliccando su whois dal mio pannello di amministrazine mi viene fuori questo:

IP whois per 151.**.***.73

#
# Query terms are ambiguous. The query is assumed to be:
# "n 151.**.***.73"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=151.8 ... ARIN=false
#

RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 (NET-151-1-0-0-1) 151.1.0.0 - 151.100.255.255
RIPE Network Coordination Centre RIPE-ERX-151 (NET-151-0-0-0-0) 151.0.0.0 - 151.255.255.255


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

secondo me è qualcuno che vuole fare il furbo..mi sbaglio?
Grazie anticipatamente

[Riverside]

secondo me è qualcuno che vuole fare il furbo..mi sbaglio?

Bah .... rete universitaria della Sapienza di Roma.

[giovaneamministratore]

secondo me è qualcuno che vuole fare il furbo..mi sbaglio?

Bah .... rete universitaria della Sapienza di Roma.

cioè?

[giovaneamministratore]

Scusatemi, sonoun po' ignorante in merito..se controllo il mio ip mi vieni fuori il mio provider, cioè..che vuol dire?? Che questo si connete dall'Universita di Roma?? Usa qualcosa per mascherarsi?

[giovaneamministratore]

Davvero nessuno puo' spiegarmi come mai risulti Universita di Roma, quando da ip-adress vedo che il signore fa risultare si a Palermo?

[zello]

il post originario riporta un estratto di un whois ad ARIN:

Codice: Seleziona tutto

# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=151.8 ... ARIN=false
#
RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 (NET-151-1-0-0-1) 151.1.0.0 - 151.100.255.255
RIPE Network Coordination Centre RIPE-ERX-151 (NET-151-0-0-0-0) 151.0.0.0 - 151.255.255.255


Beh, ARIN semplicemente risponde che il blocco di IP è assegnato al RIPE, che è l'organismo che attribuisce gli IP in Europa.
Se - come qualcuno ha detto, e io non ho verificato - interrogando il RIPE salta fuori che l'ip è dell'Università La Sapienza, i casi sono due:
- è connesso direttamente da un IP della Sapienza
- usa un proxy della Sapienza; per come la vedo io, il fatto che ci sia un proxy aperto all'Università La Sapienza è piuttosto improbabile. Secondo me ha un accesso legittimo all'Università.

Davvero nessuno puo' spiegarmi come mai risulti Universita di Roma, quando da ip-adress vedo che il signore fa risultare si a Palermo?

E se fosse di Palermo ma studiasse a Roma?
Ripeto, in termini di connessione mi sembra tutto tracciabile e legittimo. Se volesse nascondersi, direi che userebbe - che so io - un proxy malese...

[Riverside]

Se - come qualcuno ha detto, e io non ho verificato - interrogando il RIPE salta fuori che l'ip è dell'Università La Sapienza, i casi sono due:
- è connesso direttamente da un IP della Sapienza
- usa un proxy della Sapienza; per come la vedo io, il fatto che ci sia un proxy aperto all'Università La Sapienza è piuttosto improbabile.

Buona la prima (ma non escluderei a priopri la seconda).

Secondo me ha un accesso legittimo all'Università.

Da escludere: studenti, docenti e personale della Sapienza possono utilizzare una rete wi-fi aperta (quindi sarebbe un non-sense cercarsi inutili grane).

[zello]

Riverside, intendevo esattamente questo: secondo me sta regolarmente utilizzando il suo account alla Sapienza.
Anche avendo in mano una coppia user/pwd di qualcun altro sarebbe da pirla olimpionici bruciarsela per dire due stupidaggini su un forum...

[Riverside]

Anche avendo in mano una coppia user/pwd di qualcun altro sarebbe da pirla olimpionici bruciarsela per dire due stupidaggini su un forum...

Sei troppo buono Zello altro che pirla olimpionici ..... cog***ni universali (pensa, di gente come questa, in passato ne ho conosciuta diversa ).
Concordo sul fatto che sia uno studente.

[massimo2543]

Buona sera a tutti mi chiamo Massimo il mio nome utente è massimo2543. Da un po' di tempo ormai diciamo cosi reggo una 'battaglia' contro le famose io le chiamo SPAM/SCAMMER....è arrivato il momento davvero di fare qualcosa di + dato che adesso non le incontri soltanto se vai in siti che appartengono a cat.di ragazze russe o ucraine ecc. adesso si insinuano nelle community meno adatte a loro, realizzate per far tenere uno scambio legittimo e civile oltre che alla ricerca della propria anima gemella. Adesso sono in contatto con ben 13 di loro che hanno fatto danni come la grandine e svuotato portafogli di persone ingenue ma comunque sempre persone che credevano in qualcosa e la cosa mi fa tristezza oltre che rabbia. Leggo i loro headers per poi inoltrare le intestazioni ai relativi abuse oltre che a segnalarle sulle community anche se poi non fanno molto anche loro per respingerle....va bè questo è un altro capitolo. Mi capita spesso di leggere e in parte ne sono cosciente questo caso che vi riporto: Received from: [indirizzo IP] ( nome del dominio@indirizzo IP with plain). Adesso ammettiamo come mi capita spesso che tra le parentesi quadre l'indirizzo è privato, oppure corrisponde come nell'ultimo caso a Yosha-Ola-Russia, e quello nelle tonde with plain corrisponde in Germania. La lettura avviene sempre andando a ritroso, ovvero sta usando adesso per connettersi un luogo della GERMANIA ma l'indirizzo IP è di una registrazione avvenuta in Russia? Salendo su poi vedo che gli altri IP corrispondono ad es.a YAHOO che è la mia posta, arrivando piu in alto che il sender è permesso da un?altro IP russo e ancora primo dal mio Yahoo.
Potrei lasciarvi pubblicato una intestazione naturalmente togliendo l'indirizzo email? Avrei bisogno di alcune delucidazioni, vorrei fare una cosa un po piu definita anche se come sappiamo, gli IP possono essere falsificati comunque non tutte queste truffatrici pensano a questo anzi....GRAZIE PER L'ASCOLTO e scusatemi se il mess.l'ho pubblicato in uno spazio errato o è troppo lungo. Massimo da Livorno!!

[nikita75]

E' una brutta piaga lo spam/scam

Su questo sito governativo tuuti i consigli per difendersi dalle frodi su internet !

http://www.onguardonline.gov/about-us/overview.aspx

OnGuardOnline.gov fornisce consigli pratici da parte del governo federale e il settore della tecnologia per aiutarvi a stare in guardia contro le frodi su Internet, proteggere il computer e proteggere le informazioni personali.

[zello]

Posta un esempio completo di headers togliendo i riferimenti alla tua mail, perché, sono sincero, non ci ho capito molto.

Ne approfitto per sfatare un mito:

gli IP possono essere falsificati

No. Non che sia totalmente impossibile, ma fare pacchetti con un IP di mittenza falso usando il TCP (e la posta usa il TCP) non è per niente banale (se usi un ip falso in mittenza, le risposte arriveranno all'ip falso. Questo sarebbe già un problema per altri protocolli connectionless, ma la natura del TCP è tale per cui senza le risposte nemmeno riesci ad iniziare la connessione. Cerca Initial Sequence Number o Three Way Handshake su google e capisci subito il perché).

La verità è che la provenienza della mail si presta ad essere manipolata. Ci si può connettere tramite un proxy aperto (e in tal caso l'ip è quello del proxy), si può delegare la distribuzione ad una botnet (cioé un insieme di macchine su cui gira - all'insaputa dell'utente - un trojan controllato dallo spammer; questo tra l'altro credo sia particolarmente di moda proprio nell'est europeo), si possono manipolare gli headers, si può banalmente postare da un Internet Café o da un Autogrill (l'ultima volta che ho controllato, gli Autogrill avevano una wireless completamente aperta), oppure girare per la città a cercare una wireless aperta.
Mica vale la pena di mettere su la baracca necessaria a fare ip spoofing per mandare via qualche mail..

[massimo2543]

Ok sono contento che avete deciso di aiutarmi, sto girando come un matto a segnalare queste ospiti scomode, attualmente mi hanno contattato in 9 di loro, e quando sono in grado di evincere che si tratta di truffatrici, non mi danno la possibilità di segnalarle. Devo pagare avete capito? Offrono un servizio per prevenzione e devo pagare!! Incredibile, allora se volete aiutarmi vi posto le intestazioni email di queste ragazze con i loro headers dividendole in categoria per nome, cosi ad ogni contatto posso registrare il loro dati con il vostro aiuto e quando c'è la richiesta di denaro con i loro estremi posso procedere piu completamente........vado a scannerizzare gli header e vi mostro il primo contatto...GRAZIE faccio subito!!

[Riverside]

Come Zello, di questa storia ho capito nulla.

sto girando come un matto a segnalare queste ospiti scomode ....

Girando dove?

....attualmente mi hanno contattato in 9 di loro, e quando sono in grado di evincere che si tratta di truffatrici, non mi danno la possibilità di segnalarle. Devo pagare avete capito? Offrono un servizio per prevenzione e devo pagare!

Pagare chi?.

E poi scusa (non che mi interessi che siti frerquenti):

adesso non le incontri soltanto se vai in siti che appartengono a cat.di ragazze russe o ucraine ecc. adesso si insinuano nelle community meno adatte a loro, realizzate per far tenere uno scambio legittimo e civile oltre che alla ricerca della propria anima gemella. Adesso sono in contatto con ben 13 di loro che hanno fatto danni come la grandine e svuotato portafogli di persone ingenue ma comunque sempre persone che credevano in qualcosa e la cosa mi fa tristezza oltre che rabbia

ma per le truffe, ci si rivolge alla Polizia Postale, non si chiede aiuto su un Forum.

[massimo2543]

Non so come pubblicare questo headers mi viene detto che non posso pubblicare ancora niente con il mio account....
Spero di farvi una domanda chiara...
Nelle intestazioni delle email, la cosa che a me interessa capire è questa:
nell'ultima riga dei received, alcune volte dalla stessa utente mi arriva che l'ultima riga è composta cosi':
Ricevuto da: [indirizzo IP privato]+( indirizzo IP che risulta francese, with plain)
Altre volte invece dallo stesso utente mi risulta:
Ricevuto da: senza indirizzo IP tra le parentesi quadre, soltanto quello ( IP tedesco with plain )
Allora vi chiedo, quale è la differenza tra quando l'ultima riga risulta provenire dalla Germania e non ha prima del with plain un IP privato tra le parentesi quadre, e quando arriva da un indirizzo IP della Francia e ha prima del with plain un IP privato tra le parentesi quadre?
Ce ne è uno dei due attendibile dato che l'IP Germania non ha l'inserzione di un IP privato?
Volevo capire questo!!
Spero che in seguito posso pubblicare gli headers altrimenti è un problema, sono 30 minuti che cerco di pubblicarli decimandoli ma non me lo permette!!
GRAZIE!!

[massimo2543]

ho letto adesso la risposta e....rispetto cio che mi viene detto....purtroppo la polizia postale non accoglie una denuncia del genere, l'unico modo per interrompere queste truffe è risalire pressochè il piu possibile alla fonte e eseguire il famoso LART...non mi sono rivolto a un forum qualsiasi, ma sono fermamente convinto che una persona che ha una conoscenza di un ambito puo'non dico deve, aiutare a far si che il suo ambiente sia il piu pulito possibile. Non sono neanche io un eroe non voglio esserlo ma...se posso fare anche una minima cosa sento che è giusto farlo. Cmq non vi disturbo piu chiedo scusa e...forse era meglio se vi facevo una domanda secca senza spiegare il motivo....a volte essere sinceri non paga molto ma è cosi e io non posso cambiare niente.
Un saluto a tutti e buon proseguimento, sperando che nessuno dei nostri amici o cari sia mai coinvolto in quello che cerco di ostacolare.

[zello]

Premessa: qui non è banale spam. Se c'è dietro una truffa seria, l'unico organo competente è la Polizia. Fai pure chiudere tutti gli account del mondo, ne apriranno altrettanti in un nanosecondo.

I received e la loro struttura dipendono dal server di posta, non sono standardizzati (magari lo fossero, sarebbe molto più semplice farne il parsing automaticamente).
Quindi, non posso che andare ad occhio.

Di solito, i server di posta sono impostati così:

Received: from nome_dell_host (ip_dell_host) [helo string] by ....

Se hai degli ip (non so cosa intendi con "ip privato", tra l'altro) prendi quelli, direi che è più semplice.
Da quelli, vai a riga di comando e dai un

nslookup x.x.x.x

Dove x.x.x.x è ovviamente l'indirizzo ip. Ti tornerà - se esiste - il nome dell'host, che di solito è un bell'indizio sulla provenienza della mail.

Quel 'with plain' mi fa pensare che si connettano usando Auth-Smtp (che prevede diversi metodi di identificazione, tra cui - appunto - plain).
Che poi inviino da ip tedeschi o francesi nulla dice sulla loro provenienza. Potrebbero essere macchine compromesse, oppure proxy aperti, ecc ecc. Certo è che - una volta trovato chi è l'abuse department competente per quell'ip - l'account si può fare chiudere.
Per trovarlo, puoi andare sul ripe, che è l'ente che gestisce l'attribuzione degli ip europei (arin per quelli americani,apnic per quelli asiatici, lacnic per i sudamericani e afrnic - credo, questo è di costituzione recente - per quelli africani), mettere nel riquadro "Ripe Database" "-B " seguito dall'indirizzo ip, e premere search.
Tra i dati in output ci dovrebbero essere i recapiti mail dell'Abuse Dep.

[massimo2543]

Grazie intanto nell'arco di due ore ho potuto far chiudere gli account a due di loro, inoltre avendo anche il loro nominativo poichè avevo portato loro a far credere che ero propenso a spedir loro i soldi per farle venire, ognuna di loro all'inizio naturalmente voleva il trasferimento moneygram o westrn union, ma io le ho detto che posso solo fare tramite banca e loro accanite non hanno saputo dire di no alla somma di 2000 euro, hanno rischiato pensando che dopo il trasferimento avrebbero chiuso baracche e burattini, ma la banca quando ha chiamato la polizia locale di quella città russa, mi ha detto che le servivano le prove per poter procedere ad un controllo preventivo, grazie a quello che mi hai detto ho inviato i dettagli all'abuse sottoscrivendo il LART e ho fornito i dettagli alle oilizie locali. Hai ragione in pieno a riguardo dell'apertura e della chiusura di un account in 5 minuti ma monitorarle e avere dimestichezza in questo mi permette di far si che una volta fermate, non le basta cambiare account perchè davvero io non do loro respiro.
A me serviva solo essere un attimo piu capace di leggere dato che poi quando vuoi sporgere una denuncia internazionale, le polizie difendono quasi sempre i loro concittadini specialmente in Russia, poi sono loro che le stuprano ecc.ma agli occhi degli stranieri le ragazze vengono sempre protette.
Adesso finisco gli altri 15 personaggi che stavo diventando matto per perdere tempo.
Grazie di nuovo e....buona giornata e buon forum.

[nikita75]

http://wiresharkdownloads.riverbed.com/ ... wireshark/

http://www.wireshark.org/