iT邦幫忙

0

是否能從ISP獲得某個IP在某個時段的連線記錄?

想請問一下,是不是能夠從各大ISP(如HiNet、SeedNet)那邊取得某個IP在某個時間區間所有連線的連線記錄?

例如:
我想要查詢IP:140.127.111.111這台主機在2008/6/20晚上10點~11點這段區間連現出去的主機。

預期結果:
140.127.111.111 這台主機在此時間區間連線到的IP位址清單為

111.222.33.44
222.33.44.55
33.44.55.66
66.77.88.99
....(以此類推)

暫且擱開隱私權的問題,請問是不是有辦法查詢得到類似這樣的記錄呢?謝謝

看更多先前的討論...收起先前的討論...
davistai iT邦大師 1 級 ‧ 2008-06-25 09:41:44 檢舉
就besthand大說:如果撇開取得這些資料的權限的話,是不是有這些記錄的存在呢?
--> 前提是這樣子的話,能做 ISP 的公司,這些應該是基本要有的吧, 起碼稽核就要的東西啊!!

不過besthand大又說:假設是我國安局要調查某個IP位址也OK~ --> 嚇, 原來您是國安局大人!!
cmwang iT邦大師 2 級 ‧ 2008-06-25 16:00:06 檢舉
想太多了,沒有特殊狀況的話一般能查到的就是某個帳號的連線記錄(i.e.上線/離線時間,使用的IP等等),就像電話公司查通聯記錄也只能查到某個電話號碼在某個時間曾經和某些電話號碼通過多久電話或收發過簡訊,至於要聽通話內容的話,對不起,監聽票先拿來再說(交換機都有所謂law enforcement port,敲一敲keyboard就是了,不過業者雖然有義務配合辦案,但不代表是免費服務的喔)....BTW,要監聽某個IP的traffic(其實重點應該是某個user----如果是dynamic IP的話),正確的做法也是去找其ISP監聽,而不是要每個ISP查說某個時間點某個IP有沒有連過來----就算在那個user上線ISP的AS中,不是每個封包都會經過每一棵router的(如果是這樣Internet就甭玩了),要dump某個帳號的traffic自然是由收容其連上來的BRAS/terminal server去dump才有戲唱....
cmwang iT邦大師 2 級 ‧ 2008-06-27 12:00:26 檢舉
補充一下為啥要說一定要先dump traffic才能這麼查,一般電話通訊是circuit switch的(或許可以算成connection oriented吧),通話之前會有建立通話路徑的過程(call setup),因此雙方都會有關於每個通話的記錄(CDR log)或許可以這麼查,但還是到發話者的電信公司查比較實際,不須要到處亂查,而IP本身是connectionless packet switch的,封包要怎麼走主要是router根據封包中的destination address決定的,並不像circuit switch有call setup的過程(所以自然沒有CDR log可言,硬要產生這類log的話router大概就先玩完了),真要這麼查是不是非先把traffic dump下來才有得玩啊----問題是對ISP而言,每個封包都像是燙手山芋,趕緊丟出去都來不及了,哪裡還有閒工夫浪費資源去做無條件的dump啊....
benzchang iT邦新手 3 級 ‧ 2008-07-07 09:02:14 檢舉
cmwang 大大
您只是透過您的想像在回答問題 事實上我們電話的通聯紀錄也是也保留下來的 麻煩您看看報紙的政治版與社會版新聞 很多刑事案件都是透過調閱通話內容破案的
可能只是您的經驗中 沒有看過這樣的狀況
您不知道的事不代表不存在
cmwang iT邦大師 2 級 ‧ 2008-07-07 23:21:51 檢舉
通聯紀錄(也就是前面提的CDR log)和通話內容是兩回事,要保留前者是沒啥大不了的(資料量沒多少,而且電話公司本來就會保留通聯紀錄----不然billing要從那裡生出來),但IP的世界裡只有access log(在此是指user上線取得IP時ISP TACAS/RADIUS中相關的log),而沒有circuit switch的CDR log(IP本身就是connectionless的),而要無條件側錄所有通話/traffic就不是這麼一回事了,偏偏原發問者的問法正是要所有業者預先無條件側錄所有traffic才"可能""有辦法"查得到的(理論上有可能,實際上可不可行是另外一回事),執法單位查案查到某個程度(有可能就是先查通聯紀錄),再去申請監聽票,業者依此提供監聽服務當然也沒啥大不了的,但要所有業者預先無條件側錄所有traffic不被業者打槍打到死才怪----當然不是為了啥隱私權不隱私權的,而是這麼做根本是要這些業者的老命....

PS:資料來源----我在ISP和電信機房/調查局機房打滾多年的經驗....
40
cmwang
iT邦大師 2 級 ‧ 2008-06-24 14:17:24
最佳解答

ISP能查的是某個時間點某個IP"名目"上的使用者是誰(i.e.fixed IP者隨便一查就有,dynamic IP者了不起翻翻TACAS/RADIUS的log也有),至於某個IP在某個時間點曾經連到那裡去沒有特殊狀況通常是不會有記錄可言的----除了隱私權的考量外(沒有正當理由,ISP是不能sniffer traffic的,亂sniffer user的traffic還可能吃上官司的----就像電話公司不會沒事去錄user的通話內容一樣),現實面的考量也是另一回事(要準備多大的storage才能塞的下所有user的traffic dump檔啊)....

看更多先前的回應...收起先前的回應...
besthand iT邦新手 4 級 ‧ 2008-06-24 15:43:10 檢舉

不是很懂 TACAS/RADIUS 這兩個東西呢~
能麻煩說明一下嗎? 謝謝!

cmwang iT邦大師 2 級 ‧ 2008-06-24 20:21:37 檢舉

TACAS(包含XTACAS/TACAS+)和RADIUS就是BRAS/terminal server如何向後端確認user account的業界標準,一般人上網都是透過ISP的BRAS或terminal server連上ISP的網路的,這類設備在同意user連上之前都是要經過身份認證的(i.e. PPPoE不是要填user name/password嗎),BRAS/terminal server在收到PPPoE LCP中的ID/passwd後,就會以TACAS/RADIUS協定向後端的TACAS/RADIUS server確認user的account是否有效,進而決定是否讓user連上,一般而言,TACAS/RADIUS server的log至少會包括user ID和連線起始/終止時間及IP等等,so you know....

benzchang iT邦新手 3 級 ‧ 2008-06-25 08:46:27 檢舉

某個IP在某個時間點曾經連到那裡去沒有特殊狀況通常是不會有記錄可言的?
凡走過必留下痕跡!只是ISP業者Log要留多久的問題

cmwang iT邦大師 2 級 ‧ 2008-06-25 10:21:51 檢舉

虧您還混過ISP,假設所有traffic都要無條件dump下來會發生啥事您應該不難想像吧....正常狀況下,ISP能做的就是從whois或TACAS/RADIUS的log中去撈出來某個時間點某個IP"名義"上的使用者是誰,至於traffic的內容要不要dump下來是source/destination兩端自己的事(i.e.有狀況時是"被害人"要負責拿自己的log或dump檔向執法單位報案,執法單位依IP/時間向ISP查詢該IP那個時間點"名義"上的使用者的資料,再決定後續行動),真要dump traffic也是得等到看到監聽票再說,不然照您的說法,是不是郵局寄信也會"自動"把信件內容"備份"下來,電話公司也會"自動"把所有電話交談給"備份"下來啊....

36
vincent118
iT邦高手 5 級 ‧ 2008-06-24 11:09:34

先不談ISP有沒有log紀錄,就算有我想ISP應該不會提供。除非有國安局、調查局或是法院的的公文。
一般都是自行透過防火牆做紀錄歐。

besthand iT邦新手 4 級 ‧ 2008-06-24 11:12:24 檢舉

嗯嗯,我的意思是說如果撇開取得這些資料的權限的話,是不是有這些記錄的存在呢?

或者要假設是我國安局要調查某個IP位址也OK~

42
benzchang
iT邦新手 3 級 ‧ 2008-06-24 11:22:53


如果對方有犯罪嫌疑
可以報警請求協助
這樣就可以調出來了

我以前在某ISP 服務過
負責協助警方調出log是我的工作項目之一

只是問問,通常這些log會保存多久。

cmwang iT邦大師 2 級 ‧ 2008-06-29 07:35:46 檢舉

沒有先把traffic dump下來要怎麼照樓主的要求查呢---一般電話通訊是circuit switch的(或許可以算是connection oriented吧),通話之前會有建立通話路徑的過程(call setup),因此雙方都會有每個通話的記錄(CDR log),也許可以這麼查,但還是到發話端的電信公司查比較實際(不用到處亂查),而IP本身是packet switch(i.e. connectionless的),封包要怎麼走主要是router根據封包中的destination address決定的,並不像circuit switch有call setup的過程(所以自然沒有CDR log可言,硬要產生這類log的話router大概就先玩完了),真要這麼查是不是非得先把traffic dump下來才有戲唱啊----問題是對ISP而言,每個封包都是燙手山芋,趕緊丟出去都來不及了,哪還有閒工夫無條件的浪費資源去做這類無意義的dump啊....

28
richardhsieh
iT邦研究生 4 級 ‧ 2008-06-24 14:22:41

我們公司也有接過類似的電話,說是有人用我們的IP散撥援交的訊息,所以這些一定都是可以查的,但是可能要有相對的事證,不是想查就可以查的

我要發表回答

立即登入回答