Clever Geek Handbook

geo2ipとreverse-whoisを使用したインテリジェンス

会社のネットワークリソースの偵察は、主にブルートフォースサブドメインで構成され、その後、検出されたネットワークブロックが解決されます。次に、新しいレベル2ドメインが見つかり、手順が再度繰り返されます。これにより、反復ごとに新しいIPアドレスを見つけることができます。





この方法がおそらく最も効果的です。ただし、/ 24サブネット全体が見つからない場合がありました。





最近、別の強力なツールが登場しました。パッシブDNSです。これにより、従来のDNS解決と同じことができますが、特別なAPIを使用できます。これは、たとえば、「virustotal」または「passive-total」にすることができます。これらのサービスは、一般的なDNSサーバーから収集されたDNS要求と応答を記録します。このアプローチの利点は、ブルートフォースを必要としないことです。 IPアドレスを入力するだけで、すべての既知のDNSレコードを取得できます。または、逆に、DNSを指定することにより、この名前に関連付けられているすべてのIPアドレスを取得します。このアプローチには否定できない利点があります。以前に解決された古いサイトサーバーを見つけることができます。結局のところ、古いサイトには脆弱性が含まれている可能性が高くなります。





上記の手法にもかかわらず、まだ少し人気がないものがいくつかありますが、それでも結果が得られます。この記事では、地理データによるIPアドレスの検索(geo2ip)と会社名によるIPアドレスの検索(reverse-whois)の2つのインテリジェンス手法について説明します。





Geo2ip

私たちの多くはジオイプとは何かを知っていると思います。これは、開発者と管理者の両方によって非常に頻繁に使用されます。ただし、geoipは主にip-> geo方向で使用されます。私たちの場合、それはそれほど面白くありません。面白いですが、独自のソリューションを開発する前に、geo→ipの反対方向にリクエストを送信できるライブラリは1つも見つかりませんでした。そのため、独自のツールを作成することにしました。さらに、それを実装することはそれほど難しくありません。





図1.インストール
図1.インストール

, python2.





:





  1. geoip — ip → geo, city → ip, country → ip, lat:long → ip ..;





  2. rwhois — whois ( ).





, geoip-:





図2.geoipデータベースを更新し、その中のネットワークブロックの数を表示する
2. geoip-

, 2020 , geoip . .





geoip , . , , , . «%» (SQL-).





, IP-, , :





図3.CIDRおよび都市によるネットワークの検索
3. CIDR

geoip , , - :





図4.任意の国のすべてのネットワークの取得
4. -
図5.地図上でのネットワークの場所の表示
5.

() . :





図6.地理座標によるすべてのネットワークの検索
6.
図7.GoogleEarthを使用した視覚化
7. Google Earth

.





geoip- shodan:





図8.shodanでのgeoipの使用
8. geoip shodan

, .





apache, , :





図9.geoipを使用したApacheログの分析
9. Apache geoip

dns-:





図10.geoipを使用したバインドログの分析
10. bind- geoip

. – mongo :





図11.geoipを使用した都市のスキャン
11. - geoip

– memcached :





図12.ジオイプで国全体をスキャンする
12. geoip

Reverse whois

Whois , 43/tcp . – IP-. . 5 , 5 :





  • (RIPE);





  • (APNIC);





  • (AFRINIC);





  • (ARIN);





  • (LACNIC).





whois :





whois 8.8.8.8





, telnet:





telnet whois.ripe.net 43

1.2.3.4





IP-. :





whois -h whois.ripe.net -T person admin@somecompany.com









whois -h whois.ripe.net -- '-i mnt-by RIPE-NCC-MNT'





, RIPE :





  • as-set;





  • aut-num;





  • domain;





  • inetnum;





  • organisation;





  • person;





  • role;





  • route.





, - «netname» «descr», . . , «-T person *@somecompany.com».





web-, , https://apps.db.ripe.net/db-web-ui/#/fulltextsearch. RIPE .





whois- :





RIPE: ftp://ftp.ripe.net/ripe/dbase/ripe.db.gz

APNIC: https://ftp.apnic.net/apnic/whois/apnic.db.inetnum.gz

AFRINIC: https://ftp.afrinic.net/dbase/afrinic.db.gz

LACNIC: https://ftp.lacnic.net/lacnic/dbase/lacnic.db.gz

ARIN: https://ftp.arin.net/pub/rr/arin.db.gz





, grep:





grep netname: *company* ripe.db





ripe.db () 5 GB. . , CIDR (, 77.77.0.0/16), grep .





– rwhois, geoip.





, :





図13.whoisデータベースの更新
13. whois-

5 . IP- :





図14.レジストラデータベースによるIPアドレスの数
14. IP-

:





図15.ヨーロッパのみのwhoisデータベースの更新
15. whois-

-. IP- :





図16.ネットワーク名によるIPアドレスのブロックの検索
16. IP-

«descr»:





図17.ネットワークの説明フィールドと国によるIPアドレスの検索
17. IP-

, :





図18.単一の国のネットワーク
18.

CIDR-:





図19.CIDRによるネットワークの検索
19. CIDR

geo2ip + reverse whois

geoip rwhois .





, «telecom»:





図20.特定の地理的セグメントでの通信ネットワークの検索
20. telecom-

— , :





図21.名前によるマップ上のネットワークの検索
21.
図22.マップ上で名前で見つかったネットワークの表示
22. ,

, RECON . , - , . .





pip2 install georipe





著者:セキュリティシステムのためのウラルセンターのスペシャリスト







More articles:


All Articles