Nie możesz ukryć swojego adresu IP w internecie. Nie są tajemnicą.

Prawie to, co powiedział @DeerHunter. Skanowanie całego internetu jest trywialne. Jeśli chcą, mogą kierować reklamy na wszystkie znane cyfrowe kropelki oceaniczne, które są online.

Mogą to zrobić z zegarem, dzięki czemu po przejściu do trybu offline lub online będą próbować dalej, ponieważ mogą to być cele o dużej wartości, które mogą stać się podatne na ataki w jednej chwili.

Podam bardzo przybliżony przykład kodowania. Załóżmy, że Twój adres IP to 104.16.25.255 . Uzyskajmy adres IP www.digitalocean.com , abyśmy mogli łatwo sprawdzić powiązane adresy IP. www.digitalocean.com zwraca 104.16.25.4 . Przeskanujmy wszystko: 104.16.25.*”

Skanowanie jest niezwykle łatwe z programistycznego punktu widzenia

Załóżmy, że chcemy znaleźć wszystko pobliskie powiązane adresy IP. Załóżmy, że programy bardzo dobrze radzą sobie z liczbami i wzorami. Oto przykład zwiększanej liczby całkowitej:

  i ++;  

To zwiększa bieżącą wartość i o 1 . Załóżmy, że i zaczyna się jako 1 . Po i ++ otrzymasz 2 . Sprawdź tę boleśnie prostą pętlę:

  for (int i = 1; i < 256; i ++) {scanIpAddress ("104.16.25." + I);}  

Alternatywny jednowierszowy wariant bash wyglądałby następująco:

  dla ip w `seq 1 255`; wykonaj scan_thingy_command 192.168.0. $ ip --options -oG lol.txt; gotowe  

Właśnie zeskanowałeś 104.16.25.1 i zmieniłeś i z 0 na 1 . W miarę kontynuowania całej pętli nastąpi zmiana z 104.16.25.0 do 104.16.25.255 . Nie mam teraz czasu na skanowanie i szukanie, jednak możliwe, że ten mały klocek nie tylko należy do digitalocean .

Aby znaleźć więcej celów w DigitalOcean, programista może jeszcze bardziej zmienić liczby. Na przykład wprowadź kolejną pętlę, która zagnieździ wspomnianą pętlę wewnątrz, i dodaj j : scanIpAddress ("104.16." + J + "." + I); . Umożliwi im to zeskanowanie 104.16.1-255.1-255 .

Stamtąd mogą cofać się i zagnieżdżać pętle, aż uzyskają cały internet. Są na to inne, bardziej wydajne sposoby, takie jak masscan, ale jest to najbardziej podstawowy sposób.

Ponownie, można to również zrobić w wierszu poleceń za pomocą jednej linii:

  dla oct1 w „seq 1 255”; wykonaj dla oct2 w `seq 1 255`; wykonaj dla oct3 w `seq 1 255`; wykonaj dla oct4 w `seq 1 255`; wykonaj skanowanie $ oct1. $ oct2. $ oct3. $ oct4 --stuff; Gotowe; Gotowe; Gotowe; gotowe 

Inne metody

Powyższy przykład był naprawdę przybliżonym przykładem. Mogą robić więcej, ich kod może być inny i mogą używać zupełnie innych metod i / lub programów. Jednak koncepcja jest prawie taka sama.

Możliwe jest również, że programy, o których mowa, są skierowane tylko do wszystkich masowo.

Jak więc mogę ukryć swoje rzeczy w sieci?

Jeśli to jest online, cokolwiek ukrywasz, znajdą to ... lub spróbują to znaleźć.

Jednak w zależności od serwera WWW możesz wypróbować kontrole dostępu http, takie jak .htaccess . Jeśli używasz kontroli dostępu - znowu zależy to od twojego serwera WWW - wtedy prawdopodobnie będziesz w stanie uniemożliwić innym przeglądanie / uzyskiwanie dostępu do stron.

To nie ochroni Cię jednak przed próbami logowania poza witryną. A jeśli odmawiasz im dostępu do nieistniejących stron internetowych, teraz wiedzą, że naprawdę jesteś online i mogą łatwiej skoncentrować swoje ataki! Jednak nadal jest to dobre ćwiczyć.

Oto przykład odmowy .htaccess dla Apache (2.4 i nowsze):

  Wymagaj adresu IP 192.168.1.100  

W powyższym przykładzie odmawiasz wszystkim dostępu do tego folderu poza Twoim adresem IP. Pamiętaj, że 192.168.1.100 to lokalny adres IP. Będziesz musiał zastąpić to swoim publicznym adresem IP.

Pamiętaj też, że jeśli atakujący korzysta z serwera proxy / VPN na Twoim komputerze, może uzyskać dostęp do tych stron. Jeśli osoba atakująca ma już dostęp do witryny, może edytować plik .htaccess lub go usunąć. Nic nie jest w 100%.

Po prostu nie umieszczaj niczego w Internecie, jeśli nie jesteś gotowy na skanowanie. Każdy ma plan, dopóki nie zostanie zeskanowany w jamie ustnej.

Przestrzeń adresowa IPv4 jest ograniczona do 4 294 967 296 adresów. ^{[uwaga 1]} Biorąc pod uwagę wystarczającą przepustowość, skanowanie każdego adresu IP w sieci staje się trywialne, zwłaszcza jeśli jesteś właścicielem botnetu składającego się z tysięcy zhakowanych urządzeń.

Z IPv6 ^{[uwaga 2]} sprawy są nieco trudniejsze: z ponad 300 000 000 000 000 000 000 000 000 000 000 000 000 adresów, wyliczenie ich wszystkich staje się niepraktyczne. Jednak nadal istnieją różne sposoby wykrywania adresów; na przykład w niedawnym przypadku wyszukiwarka Internetu rzeczy Shodan została złapana przy użyciu serwerów NTP do wykrywania nowych hostów IPv6 podczas synchronizacji zegarów.

Istota tego: jeśli nie jesteś gotowy na badanie, nie powinieneś być w Internecie. Skanowanie całego internetu IPv4 można wykonać w ciągu kilku dni, a Twój adres IPv6 również zostanie wykryty - chyba że w ogóle go nie używasz.

_{Uwaga 1: Niektóre z nich nie są dostępne, ponieważ zostały zarezerwowane do specjalnych celów.
Uwaga 2: IPv6 jest dostępny tylko dla użytkowników Digital Ocean kiedy włączyli ją.}

Ale skąd wiedzą, że ja istnieję?

Nie wiedzą, że ty istnieje. Nie wiedzą, że rozmawiają z tobą : po prostu wiedzą, że rozmawiają z komputerem o określonym adresie IP. Adresy IP są bardzo podobne do numerów telefonów. Jeśli wybierzesz prawidłowy numer kierunkowy, a po nim losowy numer z odpowiednią liczbą cyfr, istnieje spora szansa, że ​​z kimś porozmawiasz, zwłaszcza jeśli numer kierunkowy ma wielu abonentów. Nie oznacza to, że „wiedziałeś, że ta osoba istnieje”: oznacza to po prostu, że dowiedziałeś się, że jej numer telefonu jest połączony.

Skąd ma adres IP?

Nie dostają tego skądkolwiek. To tylko liczba 32-bitowa i nie ma ich zbyt wiele. 134.183.96.2, to jest adres IP. Mam to przez zacieranie mojej klawiatury (i usuwanie nieprawidłowych cyfr). Prawdopodobnie należy do kogoś, ponieważ prawie wszystkie adresy IP tak. Złoczyńcy po prostu systematycznie skanują przestrzeń adresową; znajdą dowolny adres IP, ponieważ „znalezienie” oznacza po prostu „wygenerowanie wystarczającej liczby prawidłowych numerów”.

Ale skąd wiedzą, że ja istnieję?

Wiedzą, że coś istnieje pod tym adresem IP, ponieważ ich skaner mówi im o tym. Najprawdopodobniej nie przyszli cię szukać, po prostu natknęli się na ten adres IP, skanując duże fragmenty lub cały internet.

http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html

1. Adresy IP są ograniczone.
2. Adresy IP są przydzielane w blokach.

Możesz więc przeskanować wszystkie adresy IP z domowego komputera w ciągu około roku, chociaż Twój dostawca usług internetowych może to zauważyć i zapytać, co Próbuję ciągnąć. Niektóre bloki częściej zawierają słabo chronione serwery, w szczególności bloki przypisane dostawcom usług hostingowych. Skanowanie tylko tych bloków jest bardzo tanie, szybkie i łatwe, a prawdopodobieństwo sukcesu jest stosunkowo wysokie.

Skanowanie z jednego adresu IP jest problematyczne, ponieważ Twój adres IP zostanie wkrótce zablokowany, więc te osoby używają botnetów lub komercyjny odpowiednik: usługi w chmurze. Nie musisz tworzyć własnego botnetu. Zamiast tego możesz wypożyczyć botnet.

Najprawdopodobniej nie wiedzą, że dany adres IP należy w szczególności do Ciebie. Ale znają pulę adresów IP należącą do Twojej firmy hostingowej i wykorzystują te informacje do skanowania w poszukiwaniu aktywnych hostów. Możesz użyć iptables, aby poprawić bezpieczeństwo swojej skrzynki lub ograniczyć liczbę połączeń i typów połączeń, ale poza tym nic więcej nie możesz zrobić. Internet miał służyć do wymiany informacji. Jeśli nie chcesz udostępniać, po prostu odłącz pudełko (moduł deweloperski). Jeśli jest to skrzynka programistyczna, dobrym pomysłem byłoby przeniesienie jej lokalnie i brak dostępu do niej poza siecią LAN.

Ponieważ skanowanie adresów IP w poszukiwaniu otwartych portów jest łatwym zadaniem.
Wiele narzędzi, takich jak ZMAP ( 1300x szybciej niż NMAP), może skanować cały internet za pomocą kilka godzin, jeśli masz przyzwoite połączenie internetowe.

Na przykład, jeśli chcesz przeskanować cały internet na porcie 80 (może poprosić usługodawca internetowy):

  sudo zmap -p 80 0.0.0.0/0  

A ZMAP nie będzie skanować prywatnych adresów IP (tak jak są w pliku blacklist.conf)