详查系统记录 追踪黑客入侵线索

核心提示： 第一步，先看有没有国码，详查系统记录 追踪黑客入侵线索(8)，没有国码的，向whois.internic.net问；有国码的，这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)，如果读者有注意到的话，向

第一步，先看有没有国码。

没有国码的，向whois.internic.net问；有国码的，向whois.国码nic.net问

(ex.whois.twnic.net)。

另外，如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网络来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查出美国陆军的资料：但FBI等调查机构属政府单位，非军事单位，查询时需注意：由DomainName查出资料，如您能从nslookup查出某一IP地址之FQDN，则可以直接向当地NIC查出入侵者网络之资料：

1.由美国入侵的例子：

由 xxx.aol.com入侵由主机名称发现未有国码， 因此直接向InterNIC查询。由此我们可以查到America Online的技术负责人以及电话、传真等资料，把你的系统纪录档准备好，发封传真去告洋状吧！

2.由台湾入侵的例子：

由HopeNet入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了，故请改由dbms.seed.net.tw查出hope.com.tw之中文名称，再打104询问该公司的电话！现在如果直接由whois.twnic.net 查询会这样：

只有IP地址的查法

若某天您发现由168.95.109.222有人入侵，假设您不知道这是哪里的网络，而这个IP地址也没有Domain Name 的话，则须先将IP地址分等级，再向InterNIC查询：

1.由15.4.75.2入侵的例子：

此IP地址是15开头，为一个ClassA网络，故向InterNIC查询15.0：查出此IP地址为惠普公司所有

2.由140.111.32.53入侵的例子：

此IP地址为ClassB，需查询两次。先向InterNIC查询140.111.0：查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0：

3.由203.66.35.1入侵的例子

这是一个ClassCIP，因此必须查询至少二次，一般是三次。顺序为国际－＞洲际－＞所属国家。先查203.0：出来一大堆，怎么办？有的情况只好再追问ClassB。由于InterNIC将部份ClassC交给洲际管理机构来负责配给，因此有些ClassC的资料会在洲际管理机构，此时先向InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网络，于是向whois.apnic.net询问203.66.35.0：查了三次以后，终于查到203.66.35.0 为：

在一堆资料中查到203.66.35.1，此一IP地址为ForwardnessTechnologyCo.Ltd.所有，电话地址也一并附在上面。

由以上的查法，可以由任一主机名称或IP地址查到连线者网络单位的资料，如果您发现该网络单位下属主机对您的网络有攻击行为，请检具资料告诉对方的系统管理员(对方不一定接受)。下面是Windows95的hosts档案：当您没有DNS的时候，您可以拿这个来将DomainName＜－＞IP地址的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的，这是windows95的开发代号，看见没？(看来Microsoft出windows95时太赶，忘了修正这些小东西)， 不过各位读者要注意的是，原先的hosts档案档名是hosts.sam，您要自己将档名改成hosts才能用。

注：几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可以发现 Novell Netware服务器也有一个etc目录，还有hosts等档案！