想請問一下,是不是能夠從各大ISP(如HiNet、SeedNet)那邊取得某個IP在某個時間區間所有連線的連線記錄?
例如:
我想要查詢IP:140.127.111.111這台主機在2008/6/20晚上10點~11點這段區間連現出去的主機。
預期結果:
140.127.111.111 這台主機在此時間區間連線到的IP位址清單為
111.222.33.44
222.33.44.55
33.44.55.66
66.77.88.99
....(以此類推)
暫且擱開隱私權的問題,請問是不是有辦法查詢得到類似這樣的記錄呢?謝謝
已邀請的邦友 {{ invite_list.length }}/5
ISP能查的是某個時間點某個IP"名目"上的使用者是誰(i.e.fixed IP者隨便一查就有,dynamic IP者了不起翻翻TACAS/RADIUS的log也有),至於某個IP在某個時間點曾經連到那裡去沒有特殊狀況通常是不會有記錄可言的----除了隱私權的考量外(沒有正當理由,ISP是不能sniffer traffic的,亂sniffer user的traffic還可能吃上官司的----就像電話公司不會沒事去錄user的通話內容一樣),現實面的考量也是另一回事(要準備多大的storage才能塞的下所有user的traffic dump檔啊)....
TACAS(包含XTACAS/TACAS+)和RADIUS就是BRAS/terminal server如何向後端確認user account的業界標準,一般人上網都是透過ISP的BRAS或terminal server連上ISP的網路的,這類設備在同意user連上之前都是要經過身份認證的(i.e. PPPoE不是要填user name/password嗎),BRAS/terminal server在收到PPPoE LCP中的ID/passwd後,就會以TACAS/RADIUS協定向後端的TACAS/RADIUS server確認user的account是否有效,進而決定是否讓user連上,一般而言,TACAS/RADIUS server的log至少會包括user ID和連線起始/終止時間及IP等等,so you know....
某個IP在某個時間點曾經連到那裡去沒有特殊狀況通常是不會有記錄可言的?
凡走過必留下痕跡!只是ISP業者Log要留多久的問題
虧您還混過ISP,假設所有traffic都要無條件dump下來會發生啥事您應該不難想像吧....正常狀況下,ISP能做的就是從whois或TACAS/RADIUS的log中去撈出來某個時間點某個IP"名義"上的使用者是誰,至於traffic的內容要不要dump下來是source/destination兩端自己的事(i.e.有狀況時是"被害人"要負責拿自己的log或dump檔向執法單位報案,執法單位依IP/時間向ISP查詢該IP那個時間點"名義"上的使用者的資料,再決定後續行動),真要dump traffic也是得等到看到監聽票再說,不然照您的說法,是不是郵局寄信也會"自動"把信件內容"備份"下來,電話公司也會"自動"把所有電話交談給"備份"下來啊....
先不談ISP有沒有log紀錄,就算有我想ISP應該不會提供。除非有國安局、調查局或是法院的的公文。
一般都是自行透過防火牆做紀錄歐。
有
如果對方有犯罪嫌疑
可以報警請求協助
這樣就可以調出來了
我以前在某ISP 服務過
負責協助警方調出log是我的工作項目之一
只是問問,通常這些log會保存多久。
沒有先把traffic dump下來要怎麼照樓主的要求查呢---一般電話通訊是circuit switch的(或許可以算是connection oriented吧),通話之前會有建立通話路徑的過程(call setup),因此雙方都會有每個通話的記錄(CDR log),也許可以這麼查,但還是到發話端的電信公司查比較實際(不用到處亂查),而IP本身是packet switch(i.e. connectionless的),封包要怎麼走主要是router根據封包中的destination address決定的,並不像circuit switch有call setup的過程(所以自然沒有CDR log可言,硬要產生這類log的話router大概就先玩完了),真要這麼查是不是非得先把traffic dump下來才有戲唱啊----問題是對ISP而言,每個封包都是燙手山芋,趕緊丟出去都來不及了,哪還有閒工夫無條件的浪費資源去做這類無意義的dump啊....
我們公司也有接過類似的電話,說是有人用我們的IP散撥援交的訊息,所以這些一定都是可以查的,但是可能要有相對的事證,不是想查就可以查的
iThome鐵人賽
看影片追技術