昨天看了一篇文章,文章最后使用IP logger进行钓鱼,最后记录下来的IP地址让我大跌眼镜

万万没有想到,记录下来的IP地址竟然是是 244.242.105.51

这可是一个E类IP地址,是属于保留地址,是未来用来做ip研究用的,目前并没有开放使用啊

考虑到文章中是对一个地下黑客组织进行钓鱼,所以我有理由相信,这个访问记录是通过某种高超的我从来没有听说过的手段实现的

IP Logger为啥会记录到这样一个IP的访问呢? 这个问题一直到现在都在困扰我

下面记录一下我对这个的分析

大端?小端?

众所周知计算机程序根据cpu架构和操作系统种类不同,数据在内存中存放有大端序和小端序两种情况,这个顺序叫做主机序

而网络传输需要在不同主机序的计算机之间兼容,所以又规定了一个网络序,规定网络传输一律使用大端序

文章中作者猜测是访问者使用的主机是小端序的,所以会又这样一个记录

我个人认为这个猜测不成立

因为一般ip层报文都是由操作系统网络栈来构造的,操作系统自身不会犯忘记转换成网络序的错误

即使是访问者技术高超自己写代码构造的ip包,那源ip是E类ip地址,返程的ip包根本没有路由啊,这样子连tcp连接都建立不了,更不要谈ip logger记录下浏览器的user-agent

Tor?

考虑到记录下来的user-agent与tor浏览器的一致,并且对方是黑客组织,使用tor也是非常普遍,所以分析一下通过tor能不能实现伪造自己的ip为E类ip

tor连接的流程中,每个tor relay不会知道完整的路由路径,只知道上一个节点与下一个节点,并且这个路由是在应用层实现的,如果黑客控制了某些tor relay,通过这些relay能不能实现这个伪造?

提供onion service

如果ip logger提供onion service,那他记录下来的ip应该是 会合节点的ip

通过我上一篇博客学习的内容可以知道,这个会合节点是由客户端选择的,所以我们假设黑客这里选择了自己控制的某个tor relay作为会合节点,并且将这个E类ip地址写在介绍信中发送给介绍节点

ip logger服务器如果没有怀疑这个E类IP地址,通过tor网络去连接这个会合节点,那在它的exit relay那里一定会连不上这个ip,因为会出现空路由

所以如果要让连接成功建立,必须让ip logger到会合节点的relay路径中某个relay节点对这个错误的ip进行了更正,最简单的是控制exit relay,检查到最终访问的是错误ip便进行更正

而这个relay路径中的每个relay都是ip logger自己选择的,所以黑客需要控制tor网络中的大部分relay????这不现实!!!

不提供onion service

如果ip logger不是提供onion service,而是提供公开的服务,那它记录下来的应该是 黑客选择的exit relay,即使黑客控制了这个relay也没办法伪造ip啊

所以通过tor的某些机制伪造成这个E类ip不太现实

路由劫持?

我对公网的路由不太了解,但是看样子进行路由劫持是有可能的

如果黑客创建了一条假的路由路径,并在路由途中的某个节点对这个E类ip进行更正,也是有可能的,不过看起来难度很大啊

才疏学浅,文中可能有错误,欢迎指正
目前这个问题还在困扰我,如果有大佬知道答案,希望能够告诉我