C

zy ten plik to malware? Zależy jakiego silnika antywirusowego się spytasz. Podobnie jest w temacie znajdowania lokalizacji adresu IP, ponieważ powiązanie rzeczywistej lokalizacji z adresem IP jest prawie niemożliwe do pewnego poziomu dokładności (np. ulicy, miasta). Wiele osób od razu podniesie głos sprzeciwu odnosząc się do dostawców usług oferujących geolokalizację adresów IP. Tak, istnieją bazy zawierające informacje o lokalizacji geograficznej adresu IP. Niektóre nawet twierdzą, że mają bardzo dokładne informacje, ale czy są one wiarygodne? Rzućmy okiem na adres: 188.130.189.153. W tym celu skorzystamy z serwisów zawartych na stronie: resolve.rs, ponieważ uwzględnia ona bardzo dużo dostawców typu IP2GEO, z którymi możemy sprawdzić wspomniany adres IP. Przechodząc przez poszczególne serwisy i zadając im zapytanie o ten sam adres widzimy wiele różnic w wynikach. W momencie pisania tego wpisu wyniki były, co najmniej mylące nawet na poziomie kraju.

• AbstractAPI – Kraj: Czechia, Rejon: -, Miasto: –
• BigDataCloud – Kraj: Russian Federation, Rejon: Staroye Kryukovo District, Miasto: Moskwa
• IP2Location – Kraj: Russian Federation, Rejon: Moskva, Miasto: Zelenograd
• IP-API – Kraj: Russia, Rejon: Moscow Oblast, Miasto: Rzhavki
• IPAPI – Kraj: Russia, Rejon: Moscow Oblast, Miasto: Skhodnya
• IP Geolocation – Kraj: Russia, Rejon: Central Federal District, Miasto: Zelenograd
• IPinfo – Kraj: Russia, Rejon: Moscow, Miasto: Moscow
• IPinsight – Kraj: Russian Federation, Rejon: Moscow, Miasto: –
• IPLocate – Kraj: Czechia, Rejon: -, Miasto: –
• IPStack – Kraj: Russia, Rejon: Moscow Oblast, Miasto: Skhodnya
• IPwhois – Kraj: Russia, Rejon: Moscow Oblast, Miasto: Rzhavki
• IPRegistry – Kraj: Russian Federation, Rejon: Moskva, Miasto: Zelenograd
• KeyCDN – Kraj: Czechia, Rejon: -, Miasto: –
• MaxMind – Kraj: Czechia, Rejon: -, Miasto: –
• Radar – Kraj: Russia, Rejon: Moskva, Miasto: Zelenograd

Jak możemy zobaczyć istnieje wiele różnych odpowiedzi na poziomie miasta, gdzie faktycznie powinien znajdować się ten adres IP. Trochę lepiej jest dla rejonu i kraju, jednak nadal występują przypadki false positive. Z przeprowadzonych badań w 2020 roku wynika, że zarówno dla adresów IPv4 oraz IPv6 istnieją nieścisłości w istniejących podejściach do geolokalizacji. Bardzo wiele usług typu IP2GEO opiera się na danych publikowanych przez Regionalne Rejestry Internetowe (ang. Regional Internet Registry, RIR), ponieważ odwzorowania geolokalizacyjne z tych usług odpowiadają geolokalizacji opisanej w plikach delegacji RIR. Jednak te bazy danych zwykle błędnie geolokalizują adresy IP należące do Systemów Autonomicznych (ang. Autonomous System, AS) o zasięgu globalnym oraz adresy IP, które zmieniły właściciela w wyniku różnych fuzji i przejęć firm. Dochodzą do tego jeszcze inne problemy związane z danymi pobieranymi z bazy whois. Mogę one być jeszcze stare i nie odświeżone przez właścicieli, błędnie przetworzone lub nikt nie wziął pod uwagę, że adres IP należy do firmy, która jest obecna w wielu krajach. Możliwe jest nawet, że właścicielem zestawu adresów IP jest firma amerykańska, z niektórych sieci korzysta filia brytyjska, ale jej centrum operacyjne sieci znajduje się na niemieckim terytorium. Jeśli te wszystkie trzy lokalizacje są wymienione w odpowiedzi whois – będzie to bardzo utrudniać automatyczne skanowanie i parsowanie takich przypadków.

Miejsce na usprawnienia:

Czy oznacza to, że nie ma sensu korzystać z serwisów typu IP2GEO? Oczywiście, że nie. Ale warto taki adres po pierwsze przepuścić przez agregator takich usług, jak na przykład wcześniej wspomniany resolve.rs, aby uzyskać raport mniejszości. Po drugie możemy wspomóc się innymi narzędziami, które w wielu przypadkach jednoznacznie wskażą nam docelowy kraj adresu IP. Przede wszystkim sami możemy odpytać adres 188.130.189.153 i sprawdzić informację o tej firmie i jej ASN.

whois 188.130.189.153

% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

refer:        whois.ripe.net

inetnum:      188.0.0.0 - 188.255.255.255
organisation: Administered by RIPE NCC
status:       LEGACY

whois:        whois.ripe.net

changed:      1993-05
source:       IANA

# whois.ripe.net

inetnum:        188.130.188.0 - 188.130.189.255
netname:        BITERIKA-NET
descr:          Biterika Grupp OOO
country:        RU
org:            ORG-BGL30-RIPE
admin-c:        BGL24-RIPE
tech-c:         BGL24-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-NETART
created:        2018-03-19T15:41:39Z
last-modified:  2019-05-29T12:20:27Z
source:         RIPE

organisation:   ORG-BGL30-RIPE
org-name:       Biterika Group LLC
org-type:       OTHER
address:        124489, Russia, Moscow, Zelenograd, korp. 1822, 1-III-3
abuse-c:        BGL24-RIPE
mnt-ref:        MNT-BITERIKA
mnt-ref:        MNT-NETART
mnt-by:         MNT-BITERIKA
created:        2019-05-27T15:34:11Z
last-modified:  2022-02-08T13:09:22Z
source:         RIPE # Filtered

role:           Biterika Group LLC
address:        124489, Russia, Moscow, Zelenograd, korp. 1822, 1-III-3
abuse-mailbox:  ip@biterika.ru
admin-c:        YV525-RIPE
tech-c:         YV525-RIPE
nic-hdl:        BGL24-RIPE
mnt-by:         MNT-BITERIKA
created:        2019-05-27T15:30:21Z
last-modified:  2019-07-04T18:57:57Z
source:         RIPE # Filtered

% Information related to '188.130.189.0/24AS35048'

route:          188.130.189.0/24
origin:         AS35048
mnt-by:         MNT-NETART
created:        2019-05-29T11:59:14Z
last-modified:  2019-05-29T11:59:14Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.102.3 (BLAARKOP)

Mamy potwierdzony kraj i jeśli patrzeć na wpisany adres firmy to wskazane mamy miasto: Zelenograd. Należy tylko mieć świadomość, że jest to miasto, gdzie potencjalnie jest adres firmy, a nie fizycznie świadczenie usługi przez ten adres IP. Sprawdźmy teraz revDNS, który może również wnieść kilka przydatnych informacji:

host 188.130.189.153

Host 153.189.130.188.in-addr.arpa. not found: 3(NXDOMAIN)

Ze względu na fakt, że wpisy typu PTR w DNS również nie należą do tych często aktualizowanych i mogą być jeszcze spadkiem po poprzednim właścicielu – warto sprawdzić ich historię. Możemy w tym celu posłużyć się PTRarchive lub danymi z Sonar Rapid7:

20161214  	188.130.189.153  	[No reverse DNS entry recorded]
20161221  	188.130.189.153  	188-130-189-153.netcloudip.com [RU]
20171129  	188.130.189.153  	188-130-189-153.netcloudip.com [RU]
20171206  	188.130.189.153  	[No reverse DNS entry recorded]

Do 2016 roku adres ten jeszcze nie miał żadnego rekordu, potem tego samego roku zyskał domenę sugerującą przynależność do jakiegoś dostawcy usług współdzielonych, którego dwa adresy odbiły się w infrastrukturze Ransomware Conti. Kolejnym krokiem jest uruchomienie polecenia traceroute. Narzędzie to możemy pamiętać z techniki Fire(wall)walking – spacer po zaporze ogniowej – jego uruchomienie powoduje wysłanie kilku pakietów danych do docelowego adresu IP, jednocześnie mapując tracę ruchu jakie te pakiety musiały przebyć. Badając w ten sposób ruch mamy możliwość śledzenia przez jakie adresy IP przechodzi po drodze i wyznaczać trasę, a nawet narysować ją na mapie:

traceroute to 188.130.189.153 (188.130.189.153), 64 hops max, 52 byte packets
 1  darkstar.lan (10.1.0.1)  10.561 ms  1.330 ms  1.249 ms
 2  stardust.lan (10.0.0.1)  2.128 ms  1.400 ms  1.226 ms
 3  192.168.1.1 (192.168.1.1)  2.235 ms  1.695 ms  1.667 ms
 4  10.0.2.39 (10.0.2.39)  9.708 ms  8.705 ms  8.591 ms
 5  host-83-68-94-241.dynamic.mm.pl (83.68.94.241)  10.444 ms  9.427 ms  9.121 ms
 6  host-89-228-2-1.dynamic.mm.pl (89.228.2.1)  17.950 ms
    host-176-221-97-229.dynamic.mm.pl (176.221.97.229)  12.141 ms  11.439 ms
 7  host-89-228-4-173.dynamic.mm.pl (89.228.4.173)  11.977 ms
    host-89-228-4-3.dynamic.mm.pl (89.228.4.3)  11.697 ms  11.211 ms
 8  c-093105142037.vectranet.pl (93.105.142.37)  12.008 ms  11.013 ms  11.227 ms
 9  80.249.213.250 (80.249.213.250)  39.283 ms  38.759 ms  39.563 ms
10  62.117.100.21 (62.117.100.21)  80.948 ms
    mx10k3-m9-acx-m9.comcor.ru (62.117.100.23)  133.665 ms
    62.117.100.21 (62.117.100.21)  110.699 ms
11  212.100.147.146 (212.100.147.146)  81.033 ms  81.520 ms  80.684 ms
12  91.108.51.1 (91.108.51.1)  81.329 ms  80.117 ms  77.475 ms
13  109.239.138.130 (109.239.138.130)  75.973 ms  76.971 ms  75.315 ms
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *

Wynik wskazuje, że nie dotarliśmy do adresu docelowego, ale przeszliśmy przez granicę Rosji. Z kolei jeśli puścimy śledzenie tras z kilku adresów rosyjskich to nie przekroczą one już granic tego państwa:

traceroute to 188.130.189.153 (188.130.189.153), 48 byte packets
1 93.175.29.1 n2-core.mipt.ru AS5467 16.957ms 1.458ms 1.458ms
2 81.5.90.97 bb100.C6509-core.mipt.ru AS25100 1.383ms 1.247ms 1.242ms
3 81.5.90.62 edge.mipt.ru AS25100 1.148ms 1.158ms 1.154ms
4 185.141.124.225 185.141.124.225.runnet.ru AS3267 1.938ms 1.958ms 2.601ms
5 194.190.255.182 gblnet.msk.runnet.ru AS3267 2.845ms 2.811ms 2.713ms
6 109.239.138.130 AS31500 2.032ms 1.972ms 2.001ms
7 * * *
8 * * *
9 * * *
10 * * *
---
traceroute to 188.130.189.153 (188.130.189.153), 48 byte packets
1 192.168.1.1 1.449ms 0.917ms 1.017ms
2 91.186.102.254 host-91-186-102-254.bb.norilsk.mts.ru AS42087 1.425ms 1.053ms 1.069ms
3 85.117.68.8 host-85-117-68-8.bb.norilsk.mts.ru AS42087 1.679ms 1.499ms 1.508ms
4 85.117.68.9 host-85-117-68-9.bb.norilsk.mts.ru AS42087 1.465ms 1.478ms 1.437ms
5 85.117.68.106 host-85-117-68-106.bb.norilsk.mts.ru AS42087 1.867ms 1.743ms 1.791ms
6 212.188.16.238 mir-cr01-ae13.12.nor.mts-internet.net AS8359 1.605ms 1.515ms 1.527ms
7 212.188.56.57 AS8359 12.28ms 11.703ms 11.556ms
8 212.188.29.145 laz-cr01-ae0.89.ngn.mts-internet.net AS8359 37.801ms 38.793ms 37.81ms
9 212.188.56.37 AS8359 37.758ms 37.906ms *
10 195.34.53.30 zoo-cr01-be3.66.ekt.mts-internet.net AS8359 37.976ms 39.159ms 38.056ms
11 212.188.61.157 pe03.Ekaterinburg.gldn.net AS8359 73.18ms 73.124ms 74.369ms
12 79.104.235.205 pe16.Moscow.gldn.net 79.146ms 79.888ms 78.16ms
13 194.186.5.42 AS3216 80.237ms 76.915ms 77.162ms
14 91.108.51.1 78.721ms 79.888ms 79.367ms
15 109.239.138.130 AS31500 76.22ms 77.927ms 76.6ms
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *  

Więcej informacji: How accurate are IP geolocation services?, Location of an IP Address, How to properly interpret a traceroute or mtr, Geolocating Mobile Phones With An IP, How to Geolocate Mobile Phones (or not)