Auch wenn die Verfahren zum Aufspüren eines Clients oder Hosts im Internet für sich betrachtet keine besonders sicheren Ortsinformationen liefern, führt eine Kombination von ihnen bereits recht zuverlässig zum Ort der IP-Gegenseite. Unter http://aiLab.de/modules/ip-telligence/ findet sich ein Web-Interface für die Verfahren, die aus IP-Nummern oder Domain-Namen weitere Informationen ableiten und sie korrelieren. Die Demonstration vereinfacht eine Reihe komplizierter Anfragen und findet etwa automatisch den richtigen zuständigen Whois-Server, der die Antwort auf die gewünschte Anfrage weiß.
DNS Lookup und WWW Whois: Der erste Schritt ist in der Regel die Übersetzung der IP-Adresse in einen Domain-Namen mittels DNS Lookup. Auf diese Weise lassen sich etwa Firmen oder Access-Provider identifizieren. Falls die Domain einen Ländercode wie ‘.de’ (Deutschland), ‘.at’ (Österreich) oder ‘.ch’ (Schweiz) enthält, liegt auch bereits das Land nahe, aus dem der Zugriff kommen könnte. Weitere Einzelheiten liefert der ‘Domain Internet Grouper’ zum Betreiber des zuständigen DNS-Servers aus (in der Regel der Hosting-Provider).
Weitere Informationen über den Domain-Registranten sind mit Hilfe eines WWW-Whois-Dienstes zu ermitteln, zum Beispiel www.allwhois.com. Unter Umständen ist es hilfreich, die entsprechende Website zu der gegebenen Information nach weiteren Informationen zu durchsuchen. Auf diese Weise ergeben sich manchmal bereits die Anschlussart und der Access-Provider. Die IP-Nummer 213.23.33.222 etwa und das entsprechende DNS-Ergebnis ‘dsl-213-023-033-222.arcor-ip.net’ lassen auf einen DSL-Anwender aus dem Mannesmann-Arcor-IP-Netz schließen.
Teilnetz-Informationen - IP Whois: Sollte der erste Schritt fehlschlagen, weil der IP-Nummer keine Domain zugeordnet ist, kann in vielen Fällen ein ‘IP Lookup’ an den RIPE-Whois-Server zu den gewünschten Informationen führen. Er liefert immerhin den Registranten des entsprechenden Teilnetz-Adressblocks, aus dem die Anfrage kommt. Oftmals ergibt sich bereits ein Teilnetz einer konkreten Firma. Da eine Domain auch in einem anderen Land gehostet werden kann, können die Ergebnisse einer Host-Adressanalyse in die Irre führen. WWW- und IP-Whois-Informationen sind dann miteinander zu vergleichen.
Geografische Lokalisierung mit NetGeo, Localizer und Traceroute: Konkrete geografische Informationen lassen sich darüber hinaus auf drei weiteren Wegen ermitteln, dazu gehört das Nachschlagen in der ‘Localizer’-Datenbank, die die meisten deutschen IP-Nummern enthält. Dies ist immer dann sinnvoll, wenn der ‘DNS Lookup’ einen großen Access-Provider wie Arcor, T-Online oder Worldcom ergeben hat. Dann ist die Chance ziemlich hoch, eine konkrete Stadt ermitteln zu können. Die Adresse 213.23.33.222 zum Beispiel führt zu einem Arcor-Zugang in Hamburg.
Einen weiteren Anhaltspunkt kann die NetGeo-Datenbank liefern, die mehrere Informationen (offenbar auch traceroute-Anfragen) auswertet, um einen Ort zu schätzen. Diese Schätzung ist mit Vorsicht zu genießen: So hat das System ermittelt, dass der Webserver www.ailab.de des Autoren mit 41-prozentiger Wahrscheinlichkeit in Teheran, Iran, steht. Das entspricht nicht ganz der Wahrheit: Der Server steht in Karlsruhe. Für Orte innerhalb der USA und Kanada dürfte die Trefferquote dieses US-amerikanischen Dienstes jedoch brauchbar sein.
Bei anderen Anfragen wiederum ist diese Information frappierend genau: Die IP-Nummer 213.23.33.222 führt geradewegs zu einem ‘vermutlich Proxy-losen Zugang in Hamburg (Wahrscheinlichkeit: 70 %)’.
Als dritte Methode bleibt die Ermittlung des Weges von testweise versendeten Datenpaketen mittels traceroute. Router enthalten in der Regel kryptische geografische Informationen, die sich - entsprechende Kenntnisse der Teilnetze vorausgesetzt - in Klartext-Orte umsetzen lassen. Ein traceroute-Lauf für 213.23.33.222 führt beim letzten mit Namen versehenen Knoten zu ‘hmb-145-254-10-10.arcor-ip.net’.
Zusammen mit den anderen Methoden ergibt sich die recht sichere Information, dass die IP-Nummer 213.23.33.222 zu einem Benutzer gehört, der über einen - vermutlich Proxy-losen - stationären DSL-Zugang des Mannesmann-Arcor-Netzes in Hamburg zugegriffen hat.
Dieser Text ist der Zeitschriften-Ausgabe 08/2002 von iX entnommen.
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
