Пособия к практике

В помощь разведчику: Как обнаружить информационный центр


Публикуем гайд от товарищей из Англии, как обнаружить вражеский центр обработки данных. Что делать с ним дальше – решать вам.

Товарищи предлагают использовать ping и traceroute. Оба эти приложения для командной строки используют протокол (ICMP) который не работает под Tor. Предлагаемый метод работает с  Tails.

ШАГ 1. ВЫБЕРИ ЦЕЛЬ

Подойдет все, что содержит URL или IP-адрес. Что такое IP-адрес? Это набор из 4 чисел, который работает как почтовый индекс для огромной почтовой системы Интернета. IP – это сокращение от Internet Protocol (Протокол Интернета), который представляет собой набор правил, написанных в первые дни существования Интернета, чтобы гарантировать, что ваши запросы и ответы в конечном итоге попадут туда, куда нужно, даже если они движутся по сети разными путями.

ШАГ 2: ПОЛУЧИТЕ СВОЙ IP

Если у вас еще нет IP-адреса, мы начнем с этого. Это способ как бы “постучаться в дверь” веб-сайта, получить его IP-адрес и проверить, дома ли он.

Мы можем получить IP-адрес, зайдя на сайт, который запускает для нас ping, и введя там URL.

Посетите веб-сайт, например https://check-host.net/check-ping, который прогонит для вас ping с сервера. Обратите внимание, что иногда возвращается несколько IP-адресов, в зависимости от того, из какого места был запущен ping. Если это так, то ваш объект обслуживает свой сайт из разных центров обработки данных в зависимости от местоположения посетителя.
Введите адрес castlefieldgallery.ru (или другого интересующего вас сайта) и нажмите “Ping”.
Четыре числа, отмеченные точками (51.89.229.122 – это адрес Каслфилда), – это IP-адрес. Теперь у вас есть их цифровой почтовый адрес!

ШАГ 3: ГЕОЛОКАЦИЯ IP-АДРЕСОВ

Однако, в отличие от почтовой системы, IP-адреса не указывают на очевидное физическое место, куда вы можете сбросить свою физическую почту. Тем не менее, существует след из информации о регистрации доменов, на который мы можем натолкнуться, чтобы получить некоторые подсказки о том, где в мире могут быть размещены эти данные. Для этого мы обратимся к нескольким бесплатным поисковым сервисам.

Перейдите по адресу https://www.ipaddress.com/ip-lookup, https://www.ip2location.com/demo или https://www.maxmind.com/en/geoip-demo. Введите IP-адрес в поле поиска.
Найдите широту и долготу (51°30′31″N 0°5′34″W – это Каслфилд) и введите их в GoogleMaps (или другую картографическую программу, например https://www.openstreetmap.org).
Скорее всего, это приведет вас в центр, где нет очевидного центра обработки данных. Поэтому, увеличив масштаб карты вокруг этих общих координат, ищите “центр обработки данных”, “облако” или “веб-хостинг”, пока не найдете предприятие, которое выглядит как правдоподобное совпадение.

Примечание: Скептически относитесь к адресам, расположенным прямо в центре дорогой городской недвижимости. Если поблизости нет IXP или посадочной станции подводного кабеля, есть шанс, что IP-адрес, указанный сайтом, соответствует местонахождению корпоративного офиса компании, зарегистрировавшей сайт, а не местонахождению хостинга, на котором размещено его содержимое. Иногда, чтобы обеспечить некоторую конфиденциальность, инструменты поиска IP-адресов также просто указывают адрес ближайшего центра города. Если вы ничего не нашли или нашли только бутики в финансовых центрах, проверьте выбранный вами инструмент поиска на наличие имен интернет-провайдеров (ISP). С помощью этой информации найдите маршрут на GoogleMaps.

Например, в случае с галереей Каслфилд географические координаты вывели меня прямо на середину Темзы в очень престижном районе Лондона. Вероятность того, что здесь будет построен центр обработки данных, невелика – придется расширить поиск. Заглянув на сайт поиска IP-адресов, я увидел, что в полях для ISP и домена Каслфилда указано что-то под названием OVH. Если использовать это название в качестве поискового запроса, то я попаду в лондонскую штаб-квартиру OVH, расположенную в шикарном небоскребе. Вероятно, компания использовала этот адрес для регистрации информации о своем домене, но маловероятно, что они разместили все свои серверы в дорогом многоэтажном офисе.

Когда я осматриваю объект, мне нравится использовать Google Street View, чтобы убедиться в том, что ощущения не соответствуют действительности. Все, что обращено наружу (изящные окна, художественное оформление вестибюля, стильный веб-сайт менеджера по недвижимости для потенциальных арендаторов и т. д.) или даже просто достаточно большая высота, вызывает подозрение. Ваш центр обработки данных, скорее всего, будет выглядеть как бежевыйразросшийся склад, отгороженный от мира (но при этом старающийся выглядеть непритязательно).

Итак, давайте продолжим поиски. Если выйти за пределы центра Лондона, то можно обнаружить еще один объект OVH, расположенный ниже по течению Темзы в более бесславном районе под названием Эрит. Этот сайт расположен на улице с односторонним движением рядом с оживленной транспортной артерией и множеством заводов и распределительных центров. Это гораздо больше похоже на него! Если посмотреть на Street View, то это очевидное совпадение: телекоммуникационная вышка с антеннами, рядом с кучей модифицированных грузовых контейнеров, поставленных друг на друга (почти наверняка полных серверных стоек). Другие приметы: ворота безопасности, два массивных силовых ящика с предупреждениями об опасности поражения электрическим током и табличка “Осторожно, воры!”, объясняющая, как умные криминалистические устройства в кабелях, металлах и оборудовании на участке пресекут попытки украсть и продать украденное. Ура, у нас есть центр обработки данных. Быстрый поиск на сайте OVH подтвердил, что в Великобритании у них есть только один дата-центр, и он находится в Эрите. Мы нашли подходящий вариант.

Устранение неполадок с помощью traceroute

Конечно, все может быть не так просто. Возможно, данные о геолокации вашего IP-адреса находятся совершенно в глуши, или же вам сложно добраться из офиса компании, зарегистрировавшей IP-адрес, до цифрового хранилища, где на самом деле хранятся цифровые материалы. У нас есть еще один трюк в рукаве: мы можем запустить traceroute.

Это диагностический инструмент, используемый умными ИТ-специалистами (и злонамеренными хакерами) для отслеживания маршрута данных по сети, чтобы добраться из точки А в точку Б. Интернет-трафик может динамически менять свои маршруты, когда что-то отключается или восстанавливается после обслуживания, поэтому вы можете не получить одинаковых результатов в один и тот же день. Однако в целом часто можно найти несколько полезных подсказок о море маршрутизаторов и точек обмена, через которые проходят ваши данные. Все это поможет вам определить, где должна находиться ваша цель относительно остальных точек трассировки.

ШАГ 1: ЗАПУСТИТЕ КОМАНДУ TRACEROUTE

Traceroute работает, посылая сообщение каждому маршрутизатору на пути к пункту назначения, а затем заставляя эти маршрутизаторы отправлять небольшие сообщения обратно на ваш компьютер с указанием их местонахождения. Если все работает хорошо, вы получите список всех этапов (называемых “хопами”), сколько времени потребовалось каждому из них, чтобы ответить, и их IP-адреса. Именно эта последняя информация нас интересует, поскольку у нас уже есть инструменты для преобразования этих IP-адресов в приблизительные географические координаты. В совокупности это позволяет составить карту того, как ваши данные перемещаются по планете (и, соответственно, откуда они в конечном итоге поступают).
Traceroute также не работает из Tails, поэтому, как и в случае с ping, мы будем запускать его с веб-сервиса, например https://dnschecker.org/online-traceroute.php.

ШАГ 2: ИНТЕРПРЕТАЦИЯ РЕЗУЛЬТАТОВ

Чтение результатов traceroute требует некоторой практики. Ваш компьютер выведет серию строк с номерами хопов, временем и информацией об IP/домене. Каждый прыжок представляет собой место в сети, через которое проходит ваш запрос. Первые несколько строк всегда будут представлять собой вашу локальную сеть с большим количеством частных IP-адресов (и поэтому не слишком информативны).

Далее вы, вероятно, попадете в точку обмена данными с Интернетом (IXP). В информации, поступающей перед IP-адресами, иногда содержатся названия городов (или, по крайней мере, их сокращения. ‘Toro’ может означать Toronto и т. д.).

Дальше начинается самое интересное: множество, казалось бы, случайных IP-адресов. Попробуйте собрать воедино географический путь ваших данных, найдя местоположение каждого IP-адреса с помощью тех же инструментов, что и раньше. Вы можете записать города в список или попробовать поставить булавки на карте. Таким образом, даже если вы не сможете определить местоположение конечного IP-адреса, путь, ведущий к нему, может дать полезные подсказки.

Если вы все еще застряли или хотите сделать перекрестные ссылки, можно воспользоваться еще несколькими инструментами: https://traceroute-online.com/mtr/, https://geotraceroute.com или https://hackertarget.com/online-traceroute/. Лично я нахожу их немного более склонными к ошибкам и трудными для анализа, но, может быть, вы устроены по-другому! Вы также можете попробовать в другой день (и, возможно, другой маршрут по сети).

источник