В данной статье (приурочим её к грядущему Дню Знаний) я намерен поведать кое-какую информацию. Которая для кого-то, возможно, окажется небесполезна. Собственно мои сакральные откровения – начинаются после значка #
А сейчас – прелюдия.
Итак, подведём итоги акции под названием «Сеанс Чёрно-Белой Магии на Прозе.ру», суть которой изложена здесь:
http://www.proza.ru/2006/08/25-173
Итоги, как и ожидалось, скромные. И это хорошо: по правде, я ленив, и не люблю напрягаться. Тут и не напрягся. Пришли всего два письма по существу, с формулировкой: «Если ты, дядь Тём, такой крутой шпион – докажи и всю правду доложи, кто я да откуда!». Оба письма – с «левых» ящиков, созданных ad hoc. То есть, конспирация – на высоте. Я удовлетворил любопытство отправителей: расписал им, откуда они и какие логины имеют на прозе.ру. Но здесь, разумеется, этой информации я не раскрою.
Остальным же гражданам - либо до лампочки «шпионские» игры какого-то Артёма Ферье (и это хорошо), либо – они и без меня знают, как вычислить по письму координаты отправителя (и это совсем хорошо).
Но наряду с этими двумя письмами я получил 8 (восемь!) посланий от доброжелательных камрадов, которые дружески предупреждали: «Не затевай, Тёма, таких игр, поберегись! На прозе.ру рыщут крутейшие кулхацкеры, которые опустят тебя ниже погреба, заморочат голову, сымитируют марсианские ипэшники, жестоко надсмеются над твоим надгробьем, а то и вскроют твою машину».
Я душевно поблагодарил этих камрадов за проявленную заботу. И спорить не стал. Теоретически, можно, конечно, подделать что угодно и взломать что угодно. Теоретически. Но на практике, убедительно нарисовать чужой ипэшник в электронном письме – не такая тривиальная задача, как представляется иным шаловливым детям, дорвавшимся до утилитки libnet. Главное же – ни один серьёзный хакер, имеющий под своим контролем каскад юникс-машин (а для грамотного спуфинга это необходимо), в жизни не поведётся на такие глупости и не станет светиться без нужды, понтуясь непонятно перед кем. Не говоря уж о взломе моего компьютера. Ибо Интернет-проницательный и осведомленный товарищ – живо определит корпоративную принадлежность (она не особо скрывается). А когда поймёт, к кому в гости зашёл, непрошенно - шарахнется так, что спинка кресла хрустнет (и это - здоровая реакция). :-)
Разве что малолетний идиот полезет сканировать порты – и конечно же, с размаху и по уши угодит в honeypot. (Для малолетних web-форточников, которые не знают, что это такое и с чем его едят: это вкусно, почти как «берёзовая каша» :-) ).
Замечу, это нисколько НЕ приглашение и НЕ challenge. Интересно не будет - будет банально и уныло. В действительности, нашей службе безопасности уж порядком надоело возиться с самоуверенными нахалами и проводить персональную воспитательную работу с каждым очередным компьютерным гением. Сейчас она просто и без затей сдаёт юных (и не очень) взломщиков соответствующим органам соответствующих стран. С потрохами, с полным маршрутом и с выписками из логов. Напомню: уголовная ответственность за преступления в сфере компьютерной информации в России предусмотрена с 16 лет, а кое-где – и «помоложе». Попытка обойти защиту сети и получить доступ к закрытым данным – рассматривается именно как преступление.
Впрочем, не будем отвлекаться на сторонние темы, нисколько не касающиеся моих благородных читателей. Я лишь к тому это говорю, чтобы подтвердить: граждане, представляющие себе «изнанку» Интернета – едва ли могли быть заинтригованы этой игрой. Они понимают, что само предложение «Напиши мне письмо – и я гляну в хрустальный шар и поведаю, с какого ты городу» - изрядная подколка. Потому что это очень просто – узнать по электронному письму, откуда оно пришло. Вот только есть у меня подозрение, что большинство обитателей прозы.ру, люди безусловно замечательные и толковые во многих прочих отношениях, понятия не имеют, как это делается. Т.е., не владеют искусством пробития адресата по письму.
#
Что ж, я столь долго грузил это милое сообщество своими досужими литературными экзерсисами, что, пожалуй, пришло время выложить и некую действительно занятную информацию. Попробую сделать это «простым» человеческим языком, по возможности избегая специфических терминов. А крутых сисадминов и кулхацкеров – прошу постоять в сторонке. У нас тут ламерские базары, и это даже сомнению не подлежит :-)
Но для начала – пара оговорок.
Во-первых, как это ни скучно, в установке отправителя по письму нет ничего от шпионства, магии, хакерства и криминала. Это абсолютно легальная операция, и весьма тривиальная.
Во-вторых, кто-то спросит: а нафига мне это вообще надо? Не знал – и жил себе спокойно.
Попробую привести пример. Допустим, вы состоите в переписке с неким автором (или просто хорошим человеком), который имеет адрес электронной почты, скажем, o-de-balzak@mail.ru (адрес вымышленный, разумеется). Переписка происходит плодотворно, вы делитесь впечатлениями, пожеланиями, конструктивной критикой. И вдруг от этого о-де-бальзака приходит письмо такого сорта: «А вообще, знаешь, как же меня затрахало читать твою муру да бонтоны вокруг нее разводить! Напился я – так скажу правду: креатифф гавно, аффтар мудаг!»
Возможно, подобная категоричность повергнет вас в недоумение. И если вы хладнокровный и вдумчивый человек – вы усомнитесь в истинности авторства на данное послание и найдёте способ убедиться, что ваш добрый приятель о-де-бальзак сих гнусных строк не писал. Если ж нет, если погорячитесь в ответном письме – может порушиться трогательная дружба. Легко. Легче – чем у Иваныча с Никифорычем.
И только не рассказывайте мне, что все авторы прозы.ру шифруют свою окололитературную переписку при помощи PGP, и потому втереться в неё затруднительно! Сомневаюсь я в этом. Нет, думаю, это очень просто – отправить среднестатистическому автору прозы.ру письмо с чужого адреса и спровоцировать негативную реакцию.
Как делается это – отправка писем с чужого адреса – я рассказывать не буду. Ибо это если не уголовщина, то аморальщина – точно. Но в целом, представиться почтовому серверу чужим именем и заставить его отослать письмо как бы с указанного адреса – это что у ребёнка конфетку отнять. И в этическом, и в техническом смыслах.
А вот прописать в письме чужой ипэшник – это уже гораздо сложнее. Поэтому самая простая проверка сомнительного письма – посмотреть и пробить истинный адрес отправителя. И всё встанет на свои места: ваш добрый приятель о-де-бальзак живёт, к примеру, в Маракайбо, а письмо – из Бодайбо.
Это только один пример того, как полезно бывает проверять ипэшники. Можно привести и массу других: вам предлагают престижную работу в питерском офисе… в письме из Усть-Сысерти; вам (талантливой поэтессе) пишет влюблённый арабский шейх… из Урюпинска… Да мало ли на свете розыгрышей и приколов, весёлых и не очень? Но я дарю вам могущественное оружие против них: искусство вычислять координаты отправителя.
И скажу так: в мире не столь уж много совершенно ненужных «скиллов». А те, что представлялись лишними, – могут когда-нибудь понадобиться. Даже если вы обходились безбедно и без них, и род вашей деятельности их не требует. Я вот, к примеру, зарабатываю на жизнь крипто-журналистикой и поддержанием вселенской гармонии, однако не комплексую из-за того, что умею ещё переводить стишки и вязать крючком :-)
Итак, ближе к телу. К телу письма. Конкретнее – к «голове» его, к header’у.
1. Раскройте письмо. Посмотрите его header. По сути - нечто вроде штемпелей на конверте. Я не знаю, какая у вас почтовая программа и какой почтовый сервер, но все они дают такую возможность - изучить информацию о прохождении письма. В Яндексе, например, эта опция обозначена крайне левой пиктограммой в виде руки с квадратным конвертиком (или фантазия их художника богаче? :-) ). Если навести курсор – всплывает надпись «свойства письма». В mail.ru это называется RFC-заголовок. В других системах может быть по-иному – но точно есть. Ищите нечто подобное: «свойства», «заголовок», «header».
2. Найдя заголовок – раскройте его. На вас вывалится довольно сумбурный с виду набор буковок и циферок. Примерно вот такой (приведу целиком):
Received: from [83.237.103.207] ([83.237.103.207]) by mail.yandex.ru with
HTTP; Thu, 31 Aug 2006 02:04:41 +0400 (MSD)
Date: Thu, 31 Aug 2006 02:04:41 +0400 (MSD)
From: "technical22" technical22@yandex.ru
Return-Path: technical22@yandex.ru
Sender: technical22@yandex.ru
Message-Id: 44F60B79.000002.03945@pantene.yandex.ru
MIME-Version: 1.0
X-Mailer: Yamail [ http://yandex.ru ]
Errors-To: technical22@yandex.ru
To: Art-de-fer@yandex.ru
Subject: Simple Sample
Reply-To: technical22@yandex.ru
X-Source-Ip: 83.237.103.207
Content-Type: text/plain;
charset="US-ASCII"
Content-Transfer-Encoding: 7bit
Здесь – самый примитивный случай. Письмо переброшено с одного ящика Яндекса на другой, никаких промежуточных серверов не задействовано, потому IP-адрес только один и найти его… много проще, чем не найти :-)
Что такое IP-адрес? Где он там? Да вот: 83.237.103.207. Вот такой вид оно и имеет: четыре числовые группки, разделённые точкой, в каждой – до трёх циферок.
Бывают случаи позаковыристее, когда письмо шло через каскад серверов и в хедере – несколько ip-адресов. И не всегда указывается Source-IP в таком уж наглядном виде. Но расписывать, как вычленить исходный адрес – не буду. Долго это и муторно, на пальцах объяснять. Потренируетесь – сами уловите суть :-)
3. Хорошо, скажет честный читатель, который и не претендует на глубокие «кулхацкерские» познания. Замечательно, скажет он. Очень полезная информация: 83.237.103.207. Теперь, конечно, всё ясно: буду сравнивать IP-адреса моего приятеля о-де-бальзака и тех, кто под него косит. Вот только – с какого боку тут страна, город? Это-то как вычислить?
Отвечу: не так уж сложно. Есть в Интернете такие службы, крайне полезные, но имеющие не совсем приличное на русский слух название – Whois. Они как раз для этого и предназначены: получение сведений о том, «кто есть who». Обычно – не только по ip-адресу. Там много критериев для пробивки. Но мы говорим о частном случае – установление сети по ипэшнику.
Замечу, сайты эти – не какие-то хакерские притоны, где Pirates of the Webian хранят сундуки с незаконно надыбанными информационными сокровищами, а совершенно официальные конторы. Их много. Например, самая мощная справочная база по российским сетям – RIPE. Найти её можно вот здесь:
http://www.ripn.net:8080/nic/whois/index.html
4. Откройте страницу по указанной ссылке. Скопируйте ip-адрес из хедера письма. Введите его в окошко поиска («поиск в базе данных RIPE»). Нажмите Enter.
Вы получите следующие данные о сети отправителя:
inetnum: 83.237.96.0 - 83.237.127.255
netname: MTU-PPPOE
descr: ZAO MTU-Intel
descr: Mamonovskij pereulok d.5
descr: 123001, Moscow
descr: Russia
admin-c: MTU1-RIPE
tech-c: MTU1-RIPE
country: RU
status: ASSIGNED PA
mnt-by: MTU-NOC
source: RIPE # Filtered
MTU-PPPOE – это и есть широкополосная сеть, из которой отправитель запустил письмо. В принципе, всё верно: MTU-Intel – дружественная нам контора, «аффилированная», и мы заходим через их каналы. Оперативное прикрытие, так сказать :-)
Что ещё можно узнать об отправителе? Ну, с большой вероятностью – он из Москвы. И это верно: я сейчас в Москве. Хотя даже когда я отправляю письма с удалённого ком-девайса, хоть из Бразилии, хоть из Красноярска – ипэшник в хедере будет всё равно эмтэушный. Потому что сигнал сначала пойдёт по корпоративному спутниковому каналу до Москвы, где у нас головное бюро, и там будет заведён на сервер MTU. Но это частный случай.
В общем же – уже познавательная информация: из какой страны, из какого города и какой сети абонент. Иногда – и последнее имеет значение. К примеру, одному моему приятелю пришло письмо как бы из ФСБ, с лютыми угрозами. И понятно, что такие страшилки сразу в корзину можно выбрасывать, но он, для пущего юмора, пробил. А там - dial-up России-Онлайн. То есть, модемный, «звонковый» доступ. Анекдот. Это всё равно, что получить записочку на листочке в клеточку, из ученической тетрадки, подписанную «Расийская Окадемея Навук» :-)
И понятно, что пользователей у того же MTU – сотни тысяч. Сейчас уж пол-Москвы на выделенках Стрим сидит. И так же понятно, что более конкретной информации о конечном пользователе – вам через Whois не дадут. И провайдер просто так не расколется, откуда конкретно был заход. Спецслужбы теоретически получают подобную информацию через систему СОРМ-2 (или ECHELON, если на Западе), но на практике… ладно, воздержусь от ехидства, потому что с ними мы тоже дружим, и они бывают пообидчивее иных сетераторов! :-)
Главная же мысль: пусть сведения сервиса Whois скудны и расплывчаты, но это всё же лучше, чем «полнейшая неопределённость».
Сервисов таких много. Я привёл в качестве примера российскую базу RIPE, но по «буржуйским» сетям она шарит плохо. Обычно - предоставляет лишь самые общие сведения. И если письмо пришло из-за бугра, придётся воспользоваться какой-то другой базой. Наберите в Google.com запрос «Whois» - и вам будет, из чего выбирать. Советую для начала определять общую географическую зону – американская, европейская, тихоокеанская – а потом смотреть в специализированной службе whois.
Для краткости, вот база по зоне ARIN (Америка):
http://ws.arin.net/whois
А там внизу страницы– ссылки на корневые Whois-сервисы других зон. Собственно говоря, когда вы введёте ипэшник не в его родную базу – в ответе будет подсказка: «Здесь такие не живут, попробуй вот там-то пошукать».
Думаю, кому надо – разберётся в этой нехитрой механике довольно быстро. И если кому-то пригодится – буду рад. Благодарить не стоит. В конце концов, я и сам заинтересован в том, чтобы люди не «велись», если им вдруг придёт письмо как бы с моего мейла, но с нетипичным для меня хамством (обычно я хамлю вежливо :-) ).
Тем более, не утруждайте себя комментариями того рода, что вы в Интернете – как пиранья в Амазонке и впитали умение пробивать ипэшники с молоком матери (которую зовут Матрица, и вы ейный Агент Смит). Если так – поздравляю. Душевно. Но чего ещё-то сказать? А нафиг читали этот ликбез для сетевых «грудничков»? Времени лишнего дофига? :-)
Если же кто-то скажет, что сам я дремучий ламер, и статейка моя дилетантская – спорить не стану. Я не сисадмин и не кулхацкер. У меня другая работа. Но вот, решил поделиться своими наивными методами аутопсии Интернета. А поскольку познания мои неглубоки и необширны – наверное, я не слишком придавил мозг читателя кувалдой узкопрофессиональной терминологии и не сразил его рапирой чересчур тонкого понимания предмета. Хочу надеяться на это. Главное – «магия» работает и может пригодиться.
P-s.: Почему в эротическую прозу поместил? А что, Вас не возбудило, нет? Какой Вы, однако, взыскательный извращенец!
Ладно, в другой раз - о совокуплении SYN-ACK чего-нибудь расскажу. Или, там, групповой хардкор, о распределённом изнасиловании сервера толстыми пингами, как он захлебывается, не успевая отплёвываться, и страстно кончает своё существование :-)