¿Cómo puedo encontrar el origen de una dirección IP para una IP retransmitida?

2

Tengo una dirección IP de alguien que ha robado de mi compañía, pero estoy bastante seguro de que la retransmitieron a través de otra computadora. La dirección IP que tengo no va a casa o negocio, sino a un campo en el medio de la nada. ¿Cómo puedo encontrar la dirección IP original?

No creo que hayan falsificado su IP, porque he leído que es bastante difícil, y esta persona solo está robando $ 100 a la vez.

Ya lo informé, pero hace unos meses tuve una situación similar que también informé, y no surgió nada (el robo es demasiado pequeño, supongo). Ahora, esta persona, o varias personas, están robando cada dos días, en pequeñas cantidades, de diferentes direcciones IP cada vez.

Mi negocio es pequeño y no puedo manejar mucho fraude, por lo que debo tratar de encontrar a esta persona lo antes posible.

Mis programadores están trabajando en cambiar el backend para cerrar la brecha, pero esta persona ya ha tomado $ 2500. Gracias por cualquier ayuda que puedas dar.

    
pregunta user81737 24.07.2015 - 20:48
fuente

1 respuesta

3

Respuesta corta: sin un lugar confiable en Internet (acceso a un Intercambio de Internet [IX]), capacidad de citar ISPs para registros / registros, o alguna otra inteligencia (por ejemplo, esta IP también se ha publicado en wikipedia con información que podría llevar a su identidad), no.

Cuando uno usa un relé o una VPN para ofuscar su IP, no hay forma de que el otro extremo pueda decir cuál es la IP de origen. Toda esa información no está incluida en los paquetes. La única forma de rastrearlo en realidad sería obtener registros del ISP de la IP que están utilizando y determinar qué otras conexiones estaban activas en esa IP. A partir de ahí, uno puede comenzar a determinar la dirección IP de origen.

No existe tal cosa como "falsificar su IP" en la Internet abierta cuando se trata de sesiones TCP. Cuando uno falsifica su IP, cambian el encabezado del paquete para indicar que el paquete proviene de una IP diferente a la suya. Sin embargo, esto hace que cualquier paquete de retorno vaya a la IP falsificada y no a la IP real. En el caso del tráfico TCP, que incluye http, SSH y la mayoría de los protocolos que probablemente utilice el atacante, nunca podría producirse un protocolo TCP. Esto se debe a que la IP falsificada no responderá a las declaraciones TCP SYN (sincronización) y, por lo tanto, no se creará un socket TCP y no se podrán enviar datos.

Para falsificar una dirección IP en Internet abierto, uno tendría que usar un pirata informático de BGP o hacer algo de ese tipo: ataques prohibitivamente difíciles normalmente restringidos al personal cibernético a nivel nacional.

La pregunta es: ¿por qué es importante la dirección IP? Si hay una manera para que alguien robe, cierre esa vulnerabilidad y elimine su exposición; así que no importa de dónde vengan, no pueden hacer nada malicioso.

    
respondido por el Herringbone Cat 24.07.2015 - 21:06
fuente

Lea otras preguntas en las etiquetas