Toon posts:

Chello gebied achterhalen aan de hand van IP

Pagina: 1
Acties:
  • 161 views sinds 30-01-2008
  • Reageer

woensdag 26 maart 2003 22:10

Acties:
  • dmace
  • Registratie: December 2000
  • Laatst online: 31-07-2022

dmace

Topicstarter
hallo,

Een kennis van mij heeft last van iemand die z'n email-adres misbruikt op web-pagina's en andere onzin.

Inmiddels heeft deze persoon al wat foutjes gemaakt door vanaf Relay-mail-servers e.e.a. direct te sturen.
We hebben dus z'n ip-adres, maar ervaring met de abuse-desk van chello is kut, want chello heeft volgens mij helemaal geen abuse-desk.
Al vaker spammers opgegeven (work-related) en ik moet het eerste mailtje nog terug krijgen, al was het maar een automatisch gegeneerde.

Nu hebben we een ip-adres, en daar hangt ook een naam aan:
(i.v.m. eventuele privacy-regels de key-factoren gevult met xxx-jes)

62.194.x.x = node-c-xyzx.a2000.nl (is dus in amsterdam en omstreken)
Met een tracert komt ook de verdeelkast naar voren:
Pxx0yy.net.upc.nl (212.142.xx.yy)

Is er ergens een overzicht waar je kan kijken in welk deelgebied deze dingen zich bevinden, zoals bij de netnummers van telefoons?

Ik heb al ff snel een search gedaan in GoT maar kon zo 1-2-3 niks vinden.

Alvast bedankt voor jullie tips.

>Select * FROM users WHERE clue > 0

woensdag 26 maart 2003 22:20

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 18-05 14:38

_-= Erikje =-_

ik zit bijna in zeeland en heb ook een a2000 address momenteel hoor, dus de plaats is niet 100% zeker vast te stellen

woensdag 26 maart 2003 22:24

Acties:
  • TigZ
  • Registratie: April 2000
  • Laatst online: 20-05 21:48

TigZ

Bericht inclusief spelfouten !

Wat word je er beter op als je weet in welk gebied hij zich bevindt :?
Even langsgaan zit er toch niet in, daarvoor heb je dan nog steeds te weinig info.

Ik heb trouwens ook een a2000 adres en zit in het oosten tegen de duitse grens aan, dus Amsterdam en omstreken klopt idd niet.

woensdag 26 maart 2003 22:27

Acties:
  • dmace
  • Registratie: December 2000
  • Laatst online: 31-07-2022

dmace

Topicstarter
mooi, weet ik dat ook weer.
Had eigenlijk wel kunnen verwachten dat ze zelfs van a2000 een zooitje zouden maken.
En ja, ik heb er inderdaad wat aan als dat bekend zou zijn.
Als UPC me kan pinpointen aan de hand van m'n ip-adres, moet dat ergens geregistreerd zijn.
We hebben een handjevol kandidaten, en ik hoef geen routebeschrijving tot de deur, maar een beetje richting zou wel lekker zijn ;)

>Select * FROM users WHERE clue > 0

donderdag 27 maart 2003 19:08

Acties:
  • Warbringer
  • Registratie: Oktober 1999
  • Laatst online: 23:21

Warbringer

euhm.. ook al zouden ze het je 1,2,3 kunnen vertellen (wat dus niet kan want die IP adressen zijn dynamisch en dus niet aan een klant gebonden). Dan zouden ze het je lijkt me toch niet mogen vertellen.

Maar bij chello hebben ze gelukkig wel een systeem waarin gezocht kan worden op mac adres van modem/nic en met een beetje geluk zo de klant terug te halen...

Ik zou trouwens niet zo negatief doen over je enige kans (lees: de chello abuse desk @ abuse@chello.nl) want ze zijn zoals gezegd je enige kans o het achterhalen van de identitiet.

En ik betwijfel of je die vorige mails wel goed doorstuurt hebt naar abuse@chello.nl want die heeft gewoon een auto-reply voor elke mail, dus check dat adres nog maar eens...

verder veel suc6 bij het vinden/pakken van de gast, en als je hem hebt.. do your worst >:)

I want to live forever, so far.. so good.

donderdag 27 maart 2003 23:58

Acties:
  • SithWarrior
  • Registratie: December 2001
  • Laatst online: 15-05 16:08

SithWarrior

Ik ben uniek, net als iedereen

mailtje naar abuse sturen is idd (helaas) je beste optie zoals hier boven al beschreven is daar adres voor, maar Wie welk IP had op welk tijd stip weten ze binnen 1 2 3 aan de hand van je modem MAC en je NIC MAC dus als ze dat zouden willen kunnen ze dat voor je uitzoeken, maar ja dat willen dat schort er nog wel eens aan bij chello.

maar als ik bv me eigen ip whois op http://www.ripe.net/perl/whois dan zie ik wel dat het in block almere is (daar woon ik) dus meschien zou je daar effe kunnen checken. Al is mijn ervaring dat met a2000 adressen algemeen chello block omhoog komt.

You can take a picture of something you see. In the future, where will I be?

vrijdag 28 maart 2003 11:41

Acties:
  • Warbringer
  • Registratie: Oktober 1999
  • Laatst online: 23:21

Warbringer

SithWarrior schreef op 27 March 2003 @ 23:58:
mailtje naar abuse sturen is idd (helaas) je beste optie zoals hier boven al beschreven is daar adres voor
Waar
maar Wie welk IP had op welk tijd stip weten ze binnen 1 2 3 aan de hand van je modem MAC en je NIC MAC dus als ze dat zouden willen kunnen ze dat voor je uitzoeken, maar ja dat willen dat schort er nog wel eens aan bij chello.
niet waar.. De TS heeft een IP adres van diegene, dat in het DHCP log geeft je het MAC van de NIC, en verder ? Daar kun je geen ene flikker mee.
Daar moet dus heel iets anders gebeuren om de echte identiteit te achterhalen van de klant.
maar als ik bv me eigen ip whois op http://www.ripe.net/perl/whois dan zie ik wel dat het in block almere is (daar woon ik) dus meschien zou je daar effe kunnen checken. Al is mijn ervaring dat met a2000 adressen algemeen chello block omhoog komt.
Die a2000 range is lang geleden overgenomen toen UPC A2000 overgenomen had, die IP adressen zijn gewoon aan de bischikbare pool toegevoegd en worden gewoon via DHCP uitgedeeld en kunnen dus overal in het land zitten.

I want to live forever, so far.. so good.

vrijdag 28 maart 2003 12:04

Acties:
  • dmace
  • Registratie: December 2000
  • Laatst online: 31-07-2022

dmace

Topicstarter
En ik betwijfel of je die vorige mails wel goed doorstuurt hebt naar abuse@chello.nl want die heeft gewoon een auto-reply voor elke mail, dus check dat adres nog maar eens...
Hmm, misschien dat ze dit wel voor buitenstaanders doen. Binnen het Chello-netwerk heb ik nog nooit een automated mail teruggehad.
En na 15 jaar systeembeheer denk ik toch wel dat ik weet hoe ik moet mailen. ;)
verder veel suc6 bij het vinden/pakken van de gast, en als je hem hebt.. do your worst
Thanx en ZEKER WETEN!!!
inmiddels hebben we van een aantal webmasters steeds hetzelfde ip-adres doorgekregen.
Dit maakt al een hele leuke case voor de abuse-desk van Chello.

Als het verhaal rond is hou ik iedereen hierzo op de hoogte. >:)

Maar goed, de vraag was eigenlijk of er ergens een overzicht van de infrastructuur van Chello was, en die is er dus blijkbaar niet.
Verklaart ook waarom ze zo slecht zijn in het opdoeken van gebruikers van illegale modems ;)

Via ripe(natuurlijk allang gebruikt om het ip-adres te checken) is de regio Amsterdam. Maar ja, amsterdam is zooooo groot, he?


Nogmaals iedereen bedankt voor de hulp en tips.

>Select * FROM users WHERE clue > 0

vrijdag 28 maart 2003 14:42

Acties:
  • SithWarrior
  • Registratie: December 2001
  • Laatst online: 15-05 16:08

SithWarrior

Ik ben uniek, net als iedereen

Je moet goed lezen, mail adres stond 1 post er boven en ze hebben ook je MODEM MAC en daar kunnen ze wel wat mee, je modem adress is gekopeld aan je klant gegevens en daar aan kunnen ze zien (aan de hand van dchp logs) welk IP bij welk Modem adress zat.

en zoals ik hier boven ook al zei, A2000 mac adressen zijn moeilijk terug te vinden...

[ Voor 16% gewijzigd door SithWarrior op 28-03-2003 14:44 ]

You can take a picture of something you see. In the future, where will I be?

vrijdag 28 maart 2003 15:01

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

dmace schreef op 28 maart 2003 @ 12:04:
[...]


Hmm, misschien dat ze dit wel voor buitenstaanders doen. Binnen het Chello-netwerk heb ik nog nooit een automated mail teruggehad.
En na 15 jaar systeembeheer denk ik toch wel dat ik weet hoe ik moet mailen. ;)


[...]
Wij twijfelen niet aan je vakkundigheid, maar iedereen kan een tikfout maken! Misschien heb je een tik fout gemaakt in het adres?

Programmer - an organism that turns coffee into software.

vrijdag 28 maart 2003 15:03

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 19:32

Kees

Serveradmin / BOFH / DoC
Tja.. chello zal nooit de identiteit vrijgeven zonder gerechtelijk bevel, het enig wat ze waarschijnlijk wel zullen doen is het waarschuwen/afsluiten van deze klant. Overigens zou ik als ik jou was maar een ander mailadres nemen...

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 28 maart 2003 15:06

Acties:
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Precies, ik krijg ook altijd reply op mijn abuse meldingen. Bijna altijd een auto-reply, maar ook wel eens een echte reply. Zo had ik enorm last van 1000-en macspoofing requests elke avond, mijn firewall werd gek.
Dat is verholpen door de abuse-desk.

zondag 30 maart 2003 22:02

Acties:
  • Warbringer
  • Registratie: Oktober 1999
  • Laatst online: 23:21

Warbringer

SithWarrior schreef op 28 March 2003 @ 14:42:
Je moet goed lezen, mail adres stond 1 post er boven en ze hebben ook je MODEM MAC en daar kunnen ze wel wat mee, je modem adress is gekopeld aan je klant gegevens en daar aan kunnen ze zien (aan de hand van dchp logs) welk IP bij welk Modem adress zat.

en zoals ik hier boven ook al zei, A2000 mac adressen zijn moeilijk terug te vinden...
De beweringen die je nu maakt zijn dus (helaas) niet waar.

Als je een afzender hebt (chello email adres) dan is het hele IP adres op zich niet meer nodig, want ze koppelen klantnummers aan usernames. dan heb je de persoon direct gevonden. Maar dan moet het natuurlijk ook echt ZIJN email adres zijn en niet gewoon iets anders ingevuld.

Modem mac adressen staat niet gekoppeld aan klantgegevens. (niet direct althans).

In het DHCP log staat het MAC adres van de NIC, niet van de modem.

Willen ze die kerel vinden dan moeten ze in het DHCP log kijken welk Mac adres van de NIC dat IP adres als laatste had. Daarvan de infrastructuur op gaan zoeken, daar de klantgegevens bij zoeken en tadaa... klant gevonden.

Zo zal het moeten en niet anders, just take my word for it.
Kees schreef op 28 March 2003 @ 15:03:
Tja.. chello zal nooit de identiteit vrijgeven zonder gerechtelijk bevel, het enig wat ze waarschijnlijk wel zullen doen is het waarschuwen/afsluiten van deze klant. Overigens zou ik als ik jou was maar een ander mailadres nemen...
Inderdaad, dus verheug je maar niet op een persoonlijk bezoekje... :(
KillerAce_NL schreef op 28 March 2003 @ 15:06:
Precies, ik krijg ook altijd reply op mijn abuse meldingen. Bijna altijd een auto-reply, maar ook wel eens een echte reply. Zo had ik enorm last van 1000-en macspoofing requests elke avond, mijn firewall werd gek.
Dat is verholpen door de abuse-desk.
Inderdaad, die auto-reply staat gewoon op abuse@chello.nl.. no BS. :Y)

I want to live forever, so far.. so good.

zondag 30 maart 2003 23:09

Acties:
  • SithWarrior
  • Registratie: December 2001
  • Laatst online: 15-05 16:08

SithWarrior

Ik ben uniek, net als iedereen

word een beetje welles nietus verhaal, maar ik blijf er bij dat ze aan hand van dhcp logs je gegevens kunnen herhalen, en dus OOK je modem mac adress, omdat ik gewoon zeker weet dat het aan je klant gevens gekopeld is. zal je een voorbeeld geven

als ik bel ik ben jaapie pieterse 1213 AD huisnummer 59 kan die kerel mij zo mijn Modem NIC vertellen dus dan zit het toch gekopeld.

Vorige week lan party, iemand stopt utp in verkeerde nic, geen verbinding meer. dan moet je met chello bellen voor flush (igg in dit geval want het werkte niet meer)

dan willen ze modem mac weten en toen kreeg ik aan de hand daar van te horen dat da ding 2 ip's had gekregen en dat ze em effe gingen flushen. me hele NIC MAC adress had ie niet nodig.

[ Voor 12% gewijzigd door SithWarrior op 30-03-2003 23:15 ]

You can take a picture of something you see. In the future, where will I be?

zondag 30 maart 2003 23:22

Acties:

Verwijderd

[quote]Warbringer schreef op 28 maart 2003 @ 11:41:


niet waar.. De TS heeft een IP adres van diegene, dat in het DHCP log geeft je het MAC van de NIC, en verder ? Daar kun je geen ene flikker mee.
Daar moet dus heel iets anders gebeuren om de echte identiteit te achterhalen van de klant.


ALS ze hun administratie op orde hebben weten ze welke klant gekoppeld is aan welk modem (en dus macadres) en kunnen ze ALS de database netjes is bijgehouden met 1 simpele query de benodigde gegevens tevoorschijn toveren met persoonsgegevens van de betreffende vent.

Alleen vrees ik dat de administratie van chello ....... hoe zal ik het zeggen...... niet optimaal is en dat de database rammelt aan alle kanten.... dus het KAN wel eens een heel gezoek worden om de info te krijgen (de WIL of het LEGAAL zijn van het verstrekken van deze gegevens heb ik het dan niet over).

maandag 31 maart 2003 11:14

Acties:
  • Rum
  • Registratie: Augustus 2002
  • Laatst online: 07-03 13:06

Rum

Warbringer schreef op 27 March 2003 @ 19:08:
euhm.. ook al zouden ze het je 1,2,3 kunnen vertellen (wat dus niet kan want die IP adressen zijn dynamisch en dus niet aan een klant gebonden). Dan zouden ze het je lijkt me toch niet mogen vertellen.
Oh, ik heb gewoon een vast IP-adres gekregen toen ik mijn Chello-abo afsloot, dus is mijn IP ook bij Chello bekend. Of DHCP gebruikt wordt is dus ook nog eens regio-afhankelijk! Ik woon zelf in Wezep, bij Zwolle.

[edit]
Mijn MAC-adres hebben ze overigens nooit geadministreerd.

[ Voor 7% gewijzigd door Rum op 31-03-2003 11:15 ]

maandag 31 maart 2003 11:27

Acties:
  • dmace
  • Registratie: December 2000
  • Laatst online: 31-07-2022

dmace

Topicstarter
Wordt dit toch nog een leuke thread ;)

Nog even ter info:
Misschien is het ip-adres niet vast, maar het 'knoop-punt' waar het modem aan vast zit zal toch wel op een vaste plek moeten staan.
Dit is meestal niet zo groot, en daar zou toch iets van een bepaalde buurt in moeten staan.

Ikzelf had eens een connectie-probleem, en toen kwam er zo'n planhold-pief langs. Geen verstand van computers en volledig gebiologeerd op z'n gratis verkregen mobieltje.
Hij heeft toen 3 verschillende modems eraan gehangen zonder ook maar iets in te stellen.
Het probleem bleek toen ook het 'knoop-punt' (iets dat ik me gewoon voorstel als een switch, maar weet niet helemaal hoe dat bij kabel werkt). Ze hadden de storing (ik ging niet sneller dan 2k downstream) nog neit opgemerkt, omdat er nog niemand behalve ik geklaagd had. Bleek dat er op mijn segment slechts 3 aansluitingen zaten, terwijl dat er normaal een paar honderd zijn.
Probleem was toen redelijk snel verholpen (na een email-dreiging om kosten terug te halen als dit nog lang ging duren).
Kennelijk zijn misschien niet alle aansluitingen terug te halen tot de deur, maar de 'knooppunten' moeten toch ergens bekend zijn.

Bij ADSL kun je zelf de afstand tot de dichtsbijzijnde KPN-centrale tot op de meter nauwkeurig opvragen, dus waar staat zoiets dan van de kabelmodems???

Wie heeft die vergeten URL van A2000 ergens staan?? Ik kan me toch niet voorstellen dat dit echt nergens terug te vinden is (al zou het de chaos die UPC heet grotendeels verklaren ;))

>Select * FROM users WHERE clue > 0

maandag 31 maart 2003 14:08

Acties:

Verwijderd

Oke, laat ik me er eens even mee bemoeien.
Stap 1, het ip, dit zit gekoppeld aan een mac nic.

De netwerkkaart doet een aanvraag bij de dhcp server, krijgt een ip en laat hierbij een mac nic achter. Bij een niet vast ip, wordt dit gelogd en kan je aan de hand van tijd en datum toch achter halen welke nic er achter zat.

stap 2, het mac nic is gekoppeld aan een modem mac.

Zie het voorbeeld van hierboven over het clearen flushen van het modem. Ik het modem wordt namelijk de nic van de pc onthouden. Met de meeste abuse tooltjes zijn deze drie dingen te vinden door een bekende te hebben.

Stap 3, het modem mac staat ergens op aangemeld.

Een knooppunt, een cmts, een switch, en of hoe ze zo'n ding noemen.

Stap 4, Aan de hand van de gegevens uit dit knoop punt kun je achter halen aan welke wijkkast en zelfs welk straat kastje.

Het is dus te achterhalen in welke straat en aan welk grijs kastje buiten in de straat het modem is aangesloten.

Stap 5 (en hier gaat het fout bij de illigale modems op het chello gebied) Een poortje moet worden opengezet voor internet. Chello of UPC wie daar voor verantwoordelijk is hangt er maar net van af, heeft alle klanten en dus poortjes open staan. Dus iedereen met een modem kan internetten.

Hier hadden ze bij chello iets op bedacht en dat is een soort registratie pagina, hier moet je je registreren en dan krijg je braaf een rekening (soms goed soms fout) Echter die registratie pagina krijg je weer via een ip en dns van een DHCP server. Oplossing gewoon gegevens hard invoeren.

Kortom een normaal modem is bijna altijd te achterhalen aan de hand van een ip adres. Een illigaal modem dat nooit een dhcp aanvraag doet is moeilijk te achterhalen. Een stuk moeilijker.

Maar goed, als de abuse desk heeft achterhaald wie het is, dan nog mogen zij nooit aan jou de gegevens verstrekken. Iets met privacy, schijnen mensen belangrijk te vinden. Pas als jij een gerechtelijk bevel hebt dan moeten ze het vrijgeven. (ooit eens uitgevochten door xs4all in een rechtzaak, als ik mij het goed herriner)

Nu weet ik niet zeker hoe dat bij chello zit, om maar weer even back on toppic te komen, maar de dhcp servers, dit lijkt er vaak maar een maar zijn er stiekem meerdere geven elk een eigen range af. Aan de hand van een ip range dus moet het wel mogelijk zijn een plaatsbepaling te doen. Nadeel is dat je er bijna niet achterkomt uit welke regio een bepaalde ip range komt.

Ik hoop dat ik het een en andere duidelijk heb kunnen maken en zal er voor de zekerheid bij zeggen dat ik deze kennis op een niet chello netwerk heb op gedaan. Bij chello werken ze nog niet volledig met docsis en het kan daar dus net even anders zijn maar het zou er op moeten lijken.
Succes verder
Pagina: 1
Reageer