Whois|"visual traceroute" und überhaupt: Wo surfe ich denn gerade?
02.07.2014 um 07:23Ich versuche das Folgende so einfach wie möglich zu halten :)
Wo steht denn nun der Server von dem die Website geladen wurde?
Die sogenannte Top Level Domain (TLD*) sagt nun leider wenig bis gar nichts aus wo eine Website tatsächlich gehostet wird.
Auch durch die visuelle Betrachtung der gesamten URL (im Folgenden, als Beispiel: http://en.wikipedia.org ) kann man eigentlich keine Rückschlüsse ziehen, wo denn nun wirklich gehostet wird.
Man vermutet eventuell in England, da es ja en.wiki* heißt.
Eventuell kann das sein, eventuell nicht. Wieso weshalb warum soll hier, der Einfachheit halber, nicht tiefgehend behandelt werden. Kurz: Aufgrund diverser anderer Techniken (z.B. sog. „load-balancing“, etc ) die in Netzwerken verwendet werden ist es für den „User“ eigentlich nicht möglich den tatsächlichen Standort der angeforderten / übertragenen Daten zu bestimmen.
Was kann man herausfinden? „Ich kenne so einige Websiten, da kann man sich zu jeder IP-Adresse eine Karte anzeigen lassen. Und wie ich hinkomme, so fast via Luftlinie, wird mir auch angezeigt. Dadurch sieht man ja dann wo der Webserver mit den Daten steht“ <-- Das ist leider falsch. Die Information die man durch sog. „visual-traceroute“ bezieht sich lediglich auf die Standortinformationen die man bezüglich der jeweiligen Domainregistrierung bekommt. Das sagt in erster Linie mal nicht aus wo der tatsächliche Serverstandort denn gerade wirklich ist. Meist wird durch whois ermittelt wie sich die Route zusammensetzt.
Wenigstens hat man dadurch was in der Hand. Also den Ort auf welchen die Domain registriert ist, u.U. auch Kontaktmöglichkeiten und Namen einer Person / einer Firma, welche die Domain hat registrieren lassen. Manchmal geschieht dies auch über einen Anbieter, dann steht halt dieser drin.
Nun zum Beispiel (das noch ein wenig ausgeweitet wird):
Hier ein screenshot einer whois -Abfrage. Bei der man u.U. auf die Idee kommt mal ein wenig näher drauf zu schauen, weil man z.B. mittels browser-addon keine wirklich brauchbaren Informationen auf die Schnelle ermitteln konnte:
Was sieht man? Das visual-traceroute (s. Hintergrund) versagte, da anscheinend gerade ein wenig.
Da das browser-addon „flagfox“ auch keine brauchbaren Informationen lieferte.
Quelle:http://geoip.flagfox.net/?ip=91.198.174.192&host=en.wikipedia.org
„hö?“ Na da hat auch mal das browser-addon nicht unbedingt eindeutige Informationen dazu.
Also schnell mal heise.de befragt:
Quelle: http://www.heise.de/netze/tools/whois/
Da steht dann drin:
Die Telefonkosten kann man sich sparen. Indem man z.B. noch weitere Dienste bemüht.
Also mal schnell z.B. http://www.ip-adresse-ermitteln.de/index.php benutzen. Dann bekommt man auch eine Stadt ausgespuckt.
Manchmal ist es halt ein wenig mit Aufwand verbunden die richtige whois Datenbank zu finden um Information zu erhalten.
Das gleiche gilt für http://de.wikipedia.org , deutschsprachig und in den Niederlanden registriert.
Irgendwie scheint das für alle europäischen wikipedia-domains so zu sein.
Interessant, auch zum Thema passend. Spammailer. Also zu wissen wo eine merkwürdig deutsch klingende Spammail herkommt braucht man manchmal auch ein wenig Suchgeschick.
So eine hat man, beim heutigen E-Mail -aufkommen natürlich immer aktuell zur Hand. Die IP-Adresse der Ursrpünglichen Nachricht kann man heutzutage bei vielen Webmailern auch abrufen, man braucht nicht immer die Headerdaten eines E-Mail Clients. Ich habe mir eine interessantere Spammail als Beispiel herausgepickt, da es sich hierbei um eine gespoofte-mail handelte. Der Empfänger war gleich dem Absender. Das wirkt natürlich nicht seriös. Eine whois Abfrage via heise.de ergab folgendes:
Quelle: http://www.heise.de/netze/tools/whois/
Sieht aus wie ein Provider („FPT Telecom“ für was auch immer) aus Hanoi / Vietnam. Auch hier wollte ich mir die Kosten für einen Telefonanruf sparen. Zudem, dass ein unschönes Gespräch geworden wäre, warum die relaying für E-Mails deren Absender gleich dem Empfänger ist, nach außen zulassen.
Na dann hab ich einfach mal wieder das browser-addon flagfox bemüht, mit folgendem Ergebnis
Quelle: http://geoip.flagfox.net/ (Archiv-Version vom 29.06.2014)
Mein Telefonat hätte wohl nichts gebracht, die scheinen ja dem Namen nach auf Spamwerbung spezialisiert zu sein.
Den Anbieter per E-Mail anzuschreiben scheint da auch nicht sinnvoll. Das einzige was dann als Antwort zu erwarten ist sind noch mehr Spammails.
Ich denke mal mit dem E-Mail Beispiel wird es jetzt klarer, dass man wohl nicht so einfach sagen kann wo die angeforderten Daten jetzt nun wirklich herkommen. Ich kann nicht ohne weiteres (außer durch persönliche Anfrage) sagen wer denn nun die E-Mail erstellt hat und wo diese tatsächlich herkommt. Die Info die Ich da verwendet habe bringt mich nur auf den Provider. Ähnlich ist das bei Webservern auch. Man kann nicht genau sagen wo wirklich gehostet wird, ohne das entsprechende Netzwerk hinter der Domain zu kennen.
Lediglich die Registrierungsorte der Domains sind ohne weiteres überprüfbar. In der Regel ist es schon so, dass am angegebenen Standort auch tatsächlich ein sog. „mirror“ der Website physikalisch vorhanden ist. Bei „seriösen“ Dingen sind die whois -Daten jedenfalls insofern aktuell oder stimmig, dass man Kontakt herstellen kann.
Auch ist zu beachten, die Inhalte einer Website können auch von anderen Stellen kommen (Vgl. eingebettetes Flashplayer-plugin in einem Forenpost, oder Werbeinhalte)
*Infos und weitere Links
https://addons.mozilla.org/de/firefox/addon/flagfox/ <-- browser-addon flagfox für gecko-browser (firefox, iceweasel, seamonkey, etc) Bietet auch weitere features, wenn man anstatt durch Linksklick auf die Flagge mal die Flagge mit einem Rechtsklick bedient ;)
http://www.traceroute.org/ <-- diverse externe traceroutingdienste
http://www.kloth.net/services/traceroute.php <-- ein traceroutingdienst der UDP anstatt ICMP verwendet.
http://www.heise.de/netze/tools/whois/ <-- heise.de whois Abfrage, ähnlich wie bei diversen Tools stehen hier gleich mehrere Datenbanken zur Auswahl.
http://www.dnstools.ch/visual-traceroute.html <-- ein sogenannter „visual-traceroute“ (vgl. Beispiel)
Wikipedia: Liste länderspezifischer Top-Level-Domains
Wikipedia: Top-Level-Domain
http://www.ripe.net
http://www.ip-adresse-ermitteln.de/index.php <-- siehe Beispiel.
Quelle: http://2.bp.blogspot.com/-Td9NB17jSz4/UcLhQJXUMaI/AAAAAAAABrE/JPSBWAZpcMs/s1600/thisisneuland.jpg
Wo steht denn nun der Server von dem die Website geladen wurde?
Die sogenannte Top Level Domain (TLD*) sagt nun leider wenig bis gar nichts aus wo eine Website tatsächlich gehostet wird.
Auch durch die visuelle Betrachtung der gesamten URL (im Folgenden, als Beispiel: http://en.wikipedia.org ) kann man eigentlich keine Rückschlüsse ziehen, wo denn nun wirklich gehostet wird.
Man vermutet eventuell in England, da es ja en.wiki* heißt.
Eventuell kann das sein, eventuell nicht. Wieso weshalb warum soll hier, der Einfachheit halber, nicht tiefgehend behandelt werden. Kurz: Aufgrund diverser anderer Techniken (z.B. sog. „load-balancing“, etc ) die in Netzwerken verwendet werden ist es für den „User“ eigentlich nicht möglich den tatsächlichen Standort der angeforderten / übertragenen Daten zu bestimmen.
Was kann man herausfinden? „Ich kenne so einige Websiten, da kann man sich zu jeder IP-Adresse eine Karte anzeigen lassen. Und wie ich hinkomme, so fast via Luftlinie, wird mir auch angezeigt. Dadurch sieht man ja dann wo der Webserver mit den Daten steht“ <-- Das ist leider falsch. Die Information die man durch sog. „visual-traceroute“ bezieht sich lediglich auf die Standortinformationen die man bezüglich der jeweiligen Domainregistrierung bekommt. Das sagt in erster Linie mal nicht aus wo der tatsächliche Serverstandort denn gerade wirklich ist. Meist wird durch whois ermittelt wie sich die Route zusammensetzt.
Wenigstens hat man dadurch was in der Hand. Also den Ort auf welchen die Domain registriert ist, u.U. auch Kontaktmöglichkeiten und Namen einer Person / einer Firma, welche die Domain hat registrieren lassen. Manchmal geschieht dies auch über einen Anbieter, dann steht halt dieser drin.
Nun zum Beispiel (das noch ein wenig ausgeweitet wird):
Hier ein screenshot einer whois -Abfrage. Bei der man u.U. auf die Idee kommt mal ein wenig näher drauf zu schauen, weil man z.B. mittels browser-addon keine wirklich brauchbaren Informationen auf die Schnelle ermitteln konnte:
Was sieht man? Das visual-traceroute (s. Hintergrund) versagte, da anscheinend gerade ein wenig.
Da das browser-addon „flagfox“ auch keine brauchbaren Informationen lieferte.
Hostname en.wikipedia.org Internetdienstanbieter Wikimedia Foundation, Inc. (AS43821)
Kontinent Europa Nationalflagge NL
Land Niederlande Ländercode NL (NLD)
Region Unbekannt Lokale Zeit 02 Jul 2014 00:39 CEST
Stadt Unbekannt Breitengrad 52.5
IP-Adresse 91.198.174.192 Längengrad 5.75 Quelle:
„hö?“ Na da hat auch mal das browser-addon nicht unbedingt eindeutige Informationen dazu.
Also schnell mal heise.de befragt:
Gefundener whois-Eintrag von 91.198.174.192:
Using server whois.ripe.net.
Query string: "-V Md5.0 91.198.174.192"
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '91.198.174.0 - 91.198.174.255'
% Abuse contact for '91.198.174.0 - 91.198.174.255' is 'abuse@wikimedia.org'
inetnum: 91.198.174.0 - 91.198.174.255
netname: WIKIMEDIA-EU-NET
descr: Wikimedia Foundation, Inc.
country: NL
org: ORG-WFI2-RIPE
admin-c: WMF-RIPE
tech-c: WMF-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: WIKIMEDIA-MNT
mnt-routes: WIKIMEDIA-MNT
mnt-domains: WIKIMEDIA-MNT
source: RIPE # Filtered
organisation: ORG-WFI2-RIPE
org-name: Wikimedia Foundation, Inc.
org-type: LIR
address: Wikimedia Foundation, Inc.
address: 149 New Montgomery, 3rd Floor
address: CA 94105
address: San Francisco
address: UNITED STATES
phone: +14158396885
fax-no: +14158820495
mnt-ref: WIKIMEDIA-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: WIKIMEDIA-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-c: WMF3-RIPE
admin-c: FAID1-RIPE
admin-c: MBE96-RIPE
tech-c: WMF-RIPE
source: RIPE # Filtered
role: Wikimedia NOC
org: ORG-WFI2-RIPE
address: 149 New Montgomery Street
address: 3rd floor
address: San Francisco, CA 94105 USA
phone: +1-415-839-6885
admin-c: MBE96-RIPE
admin-c: FAID1-RIPE
tech-c: MBE96-RIPE
tech-c: FAID1-RIPE
nic-hdl: WMF-RIPE
mnt-by: WIKIMEDIA-MNT
source: RIPE # Filtered
% Information related to '91.198.174.0/24AS43821'
route: 91.198.174.0/24
descr: Wikimedia Europe network
origin: AS43821
org: ORG-WFI2-RIPE
mnt-by: WIKIMEDIA-MNT
source: RIPE # Filtered
organisation: ORG-WFI2-RIPE
org-name: Wikimedia Foundation, Inc.
org-type: LIR
address: Wikimedia Foundation, Inc.
address: 149 New Montgomery, 3rd Floor
address: CA 94105
address: San Francisco
address: UNITED STATES
phone: +14158396885
fax-no: +14158820495
mnt-ref: WIKIMEDIA-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: WIKIMEDIA-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-c: WMF3-RIPE
admin-c: FAID1-RIPE
admin-c: MBE96-RIPE
tech-c: WMF-RIPE
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.73.1 (DB-2) Quelle: http://www.heise.de/netze/tools/whois/
Da steht dann drin:
descr: Wikimedia Foundation, Inc.Und weiter unten verwirrendes Zeug. Irgendwelche Adressen in SanFrancisco
country: NL
address: Wikimedia Foundation, Inc.Da will man eventuell mal anrufen und nachfragen mit welcher Adresse die Registrierung der Domain stattfand.
address: 149 New Montgomery, 3rd Floor
address: CA 94105
address: San Francisco
address: UNITED STATES
phone: +14158396885
fax-no: +14158820495
Die Telefonkosten kann man sich sparen. Indem man z.B. noch weitere Dienste bemüht.
Also mal schnell z.B. http://www.ip-adresse-ermitteln.de/index.php benutzen. Dann bekommt man auch eine Stadt ausgespuckt.
Manchmal ist es halt ein wenig mit Aufwand verbunden die richtige whois Datenbank zu finden um Information zu erhalten.
Das gleiche gilt für http://de.wikipedia.org , deutschsprachig und in den Niederlanden registriert.
Irgendwie scheint das für alle europäischen wikipedia-domains so zu sein.
Interessant, auch zum Thema passend. Spammailer. Also zu wissen wo eine merkwürdig deutsch klingende Spammail herkommt braucht man manchmal auch ein wenig Suchgeschick.
So eine hat man, beim heutigen E-Mail -aufkommen natürlich immer aktuell zur Hand. Die IP-Adresse der Ursrpünglichen Nachricht kann man heutzutage bei vielen Webmailern auch abrufen, man braucht nicht immer die Headerdaten eines E-Mail Clients. Ich habe mir eine interessantere Spammail als Beispiel herausgepickt, da es sich hierbei um eine gespoofte-mail handelte. Der Empfänger war gleich dem Absender. Das wirkt natürlich nicht seriös. Eine whois Abfrage via heise.de ergab folgendes:
Gefundener whois-Eintrag von 42.119.220.236:
Using server whois.apnic.net.
Query string: "-V Md5.0 42.119.220.236"
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '42.119.208.0 - 42.119.223.255'
inetnum: 42.119.208.0 - 42.119.223.255
netname: FPTDYNAMICIP-NET
country: vn
descr: FPT Telecom Company
descr: 2nd floor FPT Building, Pham Hung Road, Cau Giay District, Hanoi
admin-c: TTH19-AP
tech-c: NOC21-AP
status: ALLOCATED NON-PORTABLE
remarks: For spamming matters, mail to abuse@fpt.vn
changed: hm-changed@vnnic.net.vn 20120809
mnt-by: MAINT-VN-FPT
mnt-irt: IRT-VNNIC-AP
source: APNIC
irt: IRT-VNNIC-AP
address: Ha Noi, VietNam
phone: +84-4-35564944
fax-no: +84-4-37821462
e-mail: hm-changed@vnnic.net.vn
abuse-mailbox: hm-changed@vnnic.net.vn
admin-c: PT174-AP
tech-c: NTTT1-AP
auth: # Filtered
mnt-by: MAINT-VN-VNNIC
changed: hm-changed@vnnic.net.vn 20101108
source: APNIC
person: Network Operation Center
nic-hdl: NOC21-AP
e-mail: ftel.noc.net@fpt.com.vn
address: FPT Telecom
address: 2nd floor FPT Building, Pham Hung Road, Cau Giay District, Hanoi
phone: +84-8-73093388
fax-no: +84-8-73008889
country: VN
changed: hm-changed@vnnic.net.vn 20120809
mnt-by: MAINT-VN-VNNIC
source: APNIC
person: Tran Thanh Hai
nic-hdl: TTH19-AP
e-mail: haitt3@fpt.com.vn
address: FPT Telecom
address: 2nd floor FPT Building, Pham Hung Road, Cau Giay District, Hanoi
phone: +84-90-4211450
fax-no: +84-4-37262163
country: VN
changed: hm-changed@vnnic.net.vn 20130626
mnt-by: MAINT-VN-VNNIC
source: APNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)
Quelle: http://www.heise.de/netze/tools/whois/
Sieht aus wie ein Provider („FPT Telecom“ für was auch immer) aus Hanoi / Vietnam. Auch hier wollte ich mir die Kosten für einen Telefonanruf sparen. Zudem, dass ein unschönes Gespräch geworden wäre, warum die relaying für E-Mails deren Absender gleich dem Empfänger ist, nach außen zulassen.
Na dann hab ich einfach mal wieder das browser-addon flagfox bemüht, mit folgendem Ergebnis
Hostname Unbekannt Internetdienstanbieter The Corporation for Financing & Promoting Technology (AS18403)
Kontinent Asien Nationalflagge VN
Land Vietnam Ländercode VN (VNM)
Region Ha Noi Lokale Zeit 02 Jul 2014 07:28 ICT
Stadt Hanoi Breitengrad 21.033
IP-Adresse 42.119.220.236 Längengrad 105.85
Quelle: http://geoip.flagfox.net/ (Archiv-Version vom 29.06.2014)
Mein Telefonat hätte wohl nichts gebracht, die scheinen ja dem Namen nach auf Spamwerbung spezialisiert zu sein.
Den Anbieter per E-Mail anzuschreiben scheint da auch nicht sinnvoll. Das einzige was dann als Antwort zu erwarten ist sind noch mehr Spammails.
Ich denke mal mit dem E-Mail Beispiel wird es jetzt klarer, dass man wohl nicht so einfach sagen kann wo die angeforderten Daten jetzt nun wirklich herkommen. Ich kann nicht ohne weiteres (außer durch persönliche Anfrage) sagen wer denn nun die E-Mail erstellt hat und wo diese tatsächlich herkommt. Die Info die Ich da verwendet habe bringt mich nur auf den Provider. Ähnlich ist das bei Webservern auch. Man kann nicht genau sagen wo wirklich gehostet wird, ohne das entsprechende Netzwerk hinter der Domain zu kennen.
Lediglich die Registrierungsorte der Domains sind ohne weiteres überprüfbar. In der Regel ist es schon so, dass am angegebenen Standort auch tatsächlich ein sog. „mirror“ der Website physikalisch vorhanden ist. Bei „seriösen“ Dingen sind die whois -Daten jedenfalls insofern aktuell oder stimmig, dass man Kontakt herstellen kann.
Auch ist zu beachten, die Inhalte einer Website können auch von anderen Stellen kommen (Vgl. eingebettetes Flashplayer-plugin in einem Forenpost, oder Werbeinhalte)
*Infos und weitere Links
https://addons.mozilla.org/de/firefox/addon/flagfox/ <-- browser-addon flagfox für gecko-browser (firefox, iceweasel, seamonkey, etc) Bietet auch weitere features, wenn man anstatt durch Linksklick auf die Flagge mal die Flagge mit einem Rechtsklick bedient ;)
http://www.traceroute.org/ <-- diverse externe traceroutingdienste
http://www.kloth.net/services/traceroute.php <-- ein traceroutingdienst der UDP anstatt ICMP verwendet.
http://www.heise.de/netze/tools/whois/ <-- heise.de whois Abfrage, ähnlich wie bei diversen Tools stehen hier gleich mehrere Datenbanken zur Auswahl.
http://www.dnstools.ch/visual-traceroute.html <-- ein sogenannter „visual-traceroute“ (vgl. Beispiel)
Wikipedia: Liste länderspezifischer Top-Level-Domains
Wikipedia: Top-Level-Domain
http://www.ripe.net
http://www.ip-adresse-ermitteln.de/index.php <-- siehe Beispiel.
Quelle: http://2.bp.blogspot.com/-Td9NB17jSz4/UcLhQJXUMaI/AAAAAAAABrE/JPSBWAZpcMs/s1600/thisisneuland.jpg
