如何查看系统记录以及追踪系统入侵者(3)

1.国际等级

国际等级只有InterNIC一个，全球各国的NIC以及洲际NIC均由其管理。

2.洲际等级

InterNIC并不直接管理整个Internet，其下的网络资源会再做分区。例如台湾、日本、香港等亚太地区国家 ，由亚太洲际网络管理中心(Asian-PacificNIC,APNIC，位于日本)来管理，并不直接由InterNIC管理 。

3.国家等级

Domain Name后面不挂国码的不是由InterNIC管理就是由洲际的NIC管理,但是有挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如中国的国码为CN，则中国网络管理中心为CNNIC，但由于InterNIC位于美国，因此美国的DomainName由InterNIC直辖。有一个特别的例外是挂.mil的美国军方网络的资料是由ddn.mil(美国军事防卫网络)来管理,不由InterNIC管理，当您得到某个Domain Name或是IP地址后，可以使用whois来查出资料，语法如下：

　　whois -h＜whois服务器＞＜查询对象＞

　　例如向whois.internic.net查询hp.com，需输入：

　　whois -h whois.internic.nethp.com whois

　　也可能使用下列语法：

　　whois ＜查询对象＞@＜whois伺服器＞

　　例如向whois.twnic.net查询ntu.edu.tw需输入：

　　whois ntu.edu.tw@whois.twnic.net

　　目前在Slackware Linux附上的为后者。

Domain Name命名的三种情况

虽然同样是 Domain Name，可能你会遇到三种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理( 如育部)，而属性也不一定是三个字母，甚至没有属性。在判断单位性质时读者宜多加注意，以免找不到资料。

1.标准国码＋三码属性码(或没有国码，仅有属性码)

普遍使用于欧洲，美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw，美国的*.com、*.edu。

2.标准国码＋二码属性码

以日本例，公司属性为co，社团属性为or，和三码定义的com、org略有不同。如日本万代公司之Homepage 为www.bandai.co.jp，如果读者要使用公司名称拼凑出完整主机名称时，需注意日本为仅有两码属性码之地区，否则若猜测其为www.bandai.com.jp就会发生错误(注：在国际通信范例中，无论是无线电通信、国际越洋电 话、乃至于网际网络等,均将台湾与中国大陆划分为两个不同国家。在此将中国大陆与台湾区分,除突显此一 特性外，并无其他涵义，请大家勿需自行揣测其他意义)。

3.仅有标准国码，未有任何属性码

如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码后面直接接上单位名称。

由Domain Name查出连线单位资料

在Internet上惯例由whois服务来查询连线单位的登记资料，whois本来应该是用来查某人的电话或是其他资料的，但是在NIC方面是用来查出连线单位的电话以及住址，技术联络人等。符合该NIC管理权限的单位资料 会存放于该单位的whois主机中，惯例是whois＋NIC名称＋net。例如亚太地区网络管理中心whois server为whois.apnic.net,台湾网络中心whois server为whois.twnic.net,我过网络中心whois server是whois.cnnic.net。当你知道某台主机的Domain Name以后，可以依照下面顺序查出连线单位的电话住址等资料。

第一步，先看有没有国码。

没有国码的，向whois.internic.net问；有国码的,向whois.国码nic.net问

(ex.whois.twnic.net)。

另外,如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网络来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查出美国陆军的资料：但FBI等调查机构属政府单位，非军事单位，查询时需注意：由DomainName查出资料，如您能从nslookup查出某一IP地址之FQDN，则可以直接向当地NIC查出入侵者网络之资料：

1.由美国入侵的例子：

由 xxx.aol.com入侵由主机名称发现未有国码， 因此直接向InterNIC查询。由此我们可以查到America Online的技术负责人以及电话、传真等资料，把你的系统纪录档准备好，发封传真去告洋状吧！

2.由台湾入侵的例子：

由HopeNet入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了，故请改由 dbms.seed.net.tw查出hope.com.tw之中文名称，再打104询问该公司的电话！现在如果直接由whois.twnic.net 查询会这样：

只有IP地址的查法

若某天您发现由168.95.109.222有人入侵,假设您不知道这是哪里的网络,而这个IP地址也没有Domain Name 的话，则须先将IP地址分等级，再向InterNIC查询： (以下作为范例之位址均为虚构，如有雷同，纯属巧合)。

1.由15.4.75.2入侵的例子：

此IP地址是15开头,为一个ClassA网络,故向InterNIC查询15.0：查出此IP地址为惠普公司所有

2.由140.111.32.53入侵的例子：

此IP地址为ClassB,需查询两次。先向InterNIC查询140.111.0：查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有