5 étapes pour enquêter et signaler une adresse IP abusive

2017-02-16 14:24:01
Principal·Conseils Techniques·5 étapes pour enquêter et signaler une adresse IP abusive

Chaque fois qu'un ordinateur ou un périphérique se connecte à un réseau Internet ou local, il doit avoir une adresse IP unique qui lui est attribuée dans ce réseau. L'attribution d'adresse IP est effectuée automatiquement en arrière-plan par votre fournisseur de services Internet si vous vous connectez à Internet, ou par un service DHCP interne activé sur un serveur ou un routeur si vous vous connectez à un réseau local. Il agit comme un identifiant sur un réseau et peut être retracé jusqu'à l'appareil en fonction de la date, de l'heure et de l'adresse IP.

Une connexion établie avec n'importe quel service exposera votre adresse IP à la cible. Par exemple, la visite d'un site Web à l'aide de votre navigateur Web établira une connexion entre votre ordinateur et le serveur Web qui héberge le site Web. Votre adresse IP sera généralement enregistrée par le serveur Web qui peut être utilisée pour des rapports de trafic analytiques ou même pour suivre un comportement abusif tel que la force brute ou les attaques DoS.

Une adresse IP n'est pas seulement 4 ensembles de nombres séparés par 3 points décimaux en pointillés. En utilisant les bons outils et services en ligne, vous pouvez en fait trouver de nombreuses informations sur une adresse IP qui peuvent vous aider à signaler les attaques au fournisseur de services approprié pour lui permettre de prendre les mesures nécessaires, telles que la suspension temporaire du service pour empêcher de nouvelles attaques contre d'autres cibles. 1. Détecter l'emplacement de l'adresse IP

Les informations les plus élémentaires que vous pouvez facilement obtenir à partir d'une adresse IP sont l'emplacement. En fait, une adresse IP ne contient aucune information, mais l'emplacement peut être révélé en interrogeant une grande base de données de géolocalisation IP gérée par différentes sociétés, chacune avec des taux de précision différents. L'un de nos favoris est la version de démonstration en ligne gratuite de la base de données GeoMax de MaxMind qui comprend non seulement le pays, mais également des informations plus détaillées telles que les subdivisions, la ville, le code postal, la latitude et la longitude.

Il vous suffit de saisir l'adresse IP dans la case et de cliquer sur le bouton Soumettre qui affichera instantanément le résultat sur la même page. Si vous n'êtes pas satisfait des résultats générés par la démo Geo2IP2 de MaxMind, voici 6 autres alternatives gratuites d'IP à l'emplacement que vous pouvez essayer.

Visitez la démo de la base de données MaxMind Geo2IP2 City


2. Détecter le proxy de l'adresse IP

Une autre information importante que vous pouvez obtenir à partir d'une adresse IP est de vérifier si elle exécute un service proxy. Un proxy ouvert est capable de masquer l'adresse IP de l'utilisateur réel, donc si l'adresse IP de l'attaquant trouvée dans votre journal de pare-feu est détectée en tant que proxy, il n'est pas nécessaire d'enquêter davantage. Jusqu'à présent, nous avons trouvé 3 services de détection de proxy qui ont des démos Web gratuites à tester.

- IP Intelligence

IP Intelligence a lancé un vérificateur Web gratuit pour détecter si une adresse IP est un proxy ou un VPN. Il vous suffit de visiter l'URL ci-dessus, de saisir une adresse IP valide et de cliquer sur le bouton Rechercher. Les résultats sont assez intéressants car ils sont basés sur le calcul dynamique de grands ensembles de données. Si le système fonctionne, vous obtiendrez une valeur comprise entre 0 et 1.

Selon leur guide, tout ce qui est supérieur à 0, 98 est probablement un proxy alors qu'au-dessus de 0, 90 devrait être étudié plus avant pour confirmation. La capture d'écran ci-dessus est un exemple d'une adresse IP avec un score assez faible qui est très peu susceptible d'être un proxy.

- Démonstration du produit en direct IP2Proxy de FraudLab

Un deuxième avis nous aiderait grandement à confirmer si l'adresse IP est bien un proxy alors que nous ne pouvions pas décider à partir des résultats d'IP Intelligence. Le service Web de détection de proxy IP2Proxy de FraudLab permet un maximum de 20 recherches par adresse IP et par jour. La démo en ligne peut être utilisée immédiatement sans avoir besoin de s'inscrire pour un compte d'essai gratuit. Saisissez l'adresse IP dans la case de l'étape 1, cliquez sur Soumettre et vérifiez les résultats de la case de l'étape 3.

- IPQualityScore

Outre la détection d'un proxy et d'un VPN, IPQualityScore dispose d'une fonctionnalité supplémentaire pour détecter une adresse e-mail temporaire ou jetable. Pour effectuer des vérifications proxy / vpn sur une adresse IP, visitez le lien ci-dessus, entrez une adresse IP, cliquez sur le bouton «Rechercher IP» et reportez-vous au résultat «Détection proxy / VPN». Vous devrez peut-être faire défiler vers le haut pour consulter les résultats, car pour une raison inconnue, la page défile automatiquement vers le bas de la page.


3. Détecter les sites Web hébergés sur une adresse IP

Si l'ordinateur exécute un serveur Web HTTP, l'adresse IP du serveur peut également révéler le type de sites Web qu'il héberge. Une seule adresse IP peut en fait être configurée pour héberger plusieurs domaines, ce qui est une méthode couramment utilisée dans l'hébergement Web partagé. Encore une fois, cette méthode repose sur la vérification d'une base de données contenant des domaines résolus en adresses IP et le système fait simplement correspondre les domaines qui se résolvent à la même adresse IP.

Cette méthode est connue sous le nom de «recherche IP inversée» ou «voisin IP». Il existe un certain nombre de ces services disponibles gratuitement sur Internet, mais après avoir testé, nous n'en avons trouvé que 2 assez fiables. Ils affichent un bon nombre de résultats mis à jour tandis que d'autres affichent toujours des domaines qui ne se résolvent pas à l'adresse IP que vous vérifiez.

- Vérificateur de quartier majestueux

Majestic est un excellent outil en ligne utilisé par de nombreuses personnes dans le domaine du référencement pour analyser les backlinks. Puisqu'ils ont leur propre robot d'exploration Web qui vérifie constamment les backlinks, il est évident d'inclure des résultats correspondant aux domaines aux adresses IP. Tout ce que vous avez à faire est de saisir l'adresse IP dans la case, sélectionnez soit pour utiliser l'index frais ou historique et cliquez sur le bouton Vérifier.

- Recherche inversée IP de ViewDNS.info

ViewDNS.info propose gratuitement jusqu'à 25 outils en ligne, allant d'un simple outil de ping en ligne à l'outil de recherche IP inversée plus complexe. Semblable à tout autre outil en ligne d'interface Web, l'utilisation de l'outil de recherche inversée IP de ViewDNS.info est aussi simple que d'entrer l'adresse IP ou le domaine dans la case donnée et cliquer sur un bouton révélera les résultats. Dans l'un de nos tests, ViewDNS a inclus l'un des domaines manquants dans Majestic Neighborhood Checker.


4. Vérifiez l'adresse IP pour la liste noire

Lorsqu'il s'agit de vérifier les listes noires, il est généralement divisé en deux catégories différentes, à savoir les spams et les logiciels malveillants. Vous pouvez vérifier l'adresse IP des deux catégories pour savoir si elle a été utilisée pour envoyer du spam ou héberger des logiciels malveillants.

- MutiRBL

Bien qu'il existe un certain nombre de vérificateurs de listes noires RBL gratuits, nous constatons que MultiRBL est l'un des plus complets qui puisse effectuer des recherches sur plus de 300 RBL. Entrez simplement l'adresse IP et cliquez sur le bouton Envoyer. L'adresse IP sera ensuite automatiquement testée sur la liste Blackhole basée sur DNS (DNSBL) ou la liste Blackhole en temps réel (RBL).

En ce qui concerne l'analyse d'une adresse IP pour détecter les logiciels malveillants, il existe également un certain nombre de sources de réputation IP qui peuvent vérifier, telles que Clean MX, Malc0de, Malware Doamin List, SCUMWARE.org, etc. La vérification manuelle de chaque source peut être assez gênante. Heureusement, certains sites peuvent vérifier simultanément et automatiquement plusieurs sources de réputation IP à la fois.

- IPVoid

IPVoid est un service gratuit de scanner d'adresses IP proposé par NoVirusThanks. Je crois qu'ils sont conscients des différences de résultat entre l'analyse d'URL et l'adresse IP, c'est pourquoi ils ont un autre service appelé URLVoid qui est destiné à analyser les URL, tandis qu'IPVoid est destiné à analyser les adresses IP. IPVoid est capable de scanner une adresse IP à partir de 40 sources différentes qui comprend également quelques vérifications RBL. Les résultats de l'analyse sont mis en cache et s'il affiche un ancien rapport, cliquez simplement sur le bouton «Mettre à jour le rapport» pour lancer une nouvelle analyse de l'adresse IP.

- Metadefender

Metadefender est un service cloud qui peut analyser des fichiers avec 43 moteurs antivirus différents ou analyser une adresse IP à partir de 12 sources différentes. Contrairement à IPVoid qui comprend jusqu'à 40 sources, Metadefender se concentre davantage sur les sources de logiciels malveillants et exclut les vérifications RBL.

Notes supplémentaires : Nous n'avons pas inclus VirusTotal dans la liste car il ne signale pas la détection d'une adresse IP lorsqu'un des moteurs marque l'adresse IP comme malveillante. Lorsque nous avons essayé de scanner un nom d'hôte à la place, cela montre la détection correctement. Cela signifie que le scanner d'URL VirusTotal est destiné à une URL d'analyse, mais pas à une adresse IP.


5. Signaler une adresse IP abusive

Après avoir effectué toutes les investigations sur l'adresse IP abusive, la dernière étape consiste à signaler l'activité malveillante à l'autorité compétente. Vous devrez envoyer le fichier journal du pare-feu montrant l'attaque à l'adresse e-mail d'abus qui peut être trouvée en effectuant un WHOIS sur l'adresse IP. DomainTools est l'un des services les plus fiables pouvant effectuer une recherche Whois sur une adresse IP. Tapez simplement l'adresse IP et cliquez sur le bouton Rechercher qui renverra une petite liste d'informations de contact.

Recherchez les coordonnées du service d'abus dans les données whois. Bien que le numéro de téléphone soit répertorié, vous devrez probablement envoyer les fichiers journaux au service d'abus comme preuve.

Visitez DomainTools Whois Lookup

Choix De L'Éditeur