[GTER] Descobrindo conexões de um AS (Era: Obtendo informações de um invasor)

[Giovanni P. Tirloni]

Lao DanTong wrote:
> On Wed, 13 Oct 2004, Durval Menezes wrote:
> 
> 
>>A pratica demonstra que, na maioria das vezes, o IP de onde vieram os pacotes
>>nao e' o "IP do invasor", e sim o IP de uma *outra* maquina que ele invadiu e
>>esta' usando como "trampolim" para chegar ate' a sua (inclusive para ocultar
>>a sua origem verdadeira).
> 
> 
> excelente ponto lvantado pelo Durval!
> 
> 
>>Outra coisa curiosa: o "path" e os hostnames para o IP que voce mostra
>>abaixo (200.155.112.12), a partir daqui sao completamente diferentes:
> 
> 
> mas isso é previsível, a Litoral Internet Ltda. tem AS próprio e
> provávelmente tem múltiplas conexões.
> 
> by the way...
> 
> $ whois -h whois.nic.br AS23105
> ...
> aut-num:     AS23105
> owner:       COASTAL WAY ATIVIDADES DE INFORMATICA E CONEXAS LT
> ownerid:     000.912.633/0001-76
> responsible: Maurício Pereira de Araujo
> address:     Av. Ana Costa, 121, 91
> address:     11060-001 - Santos - SP
> phone:       (013) 3229-9000 []
> ...
> 
> e viva o 'whois'!

Olá,

  Se eu utilizar um looking glass [1] e fazer uma pesquisa com 
expressão regular do número do AS posso considerar todos os 
ante-penúltimos AS'es no caminho como sendo *todas* as conexões que 
aquele AS possui ?

  Por exemplo, nesse AS da Litoral eu encontro diversas rotas 
possíveis partindo de Amsterdam. Os unicos AS'es antes do 23105 são o 
10429 (Telefonica) e 4230 (Embratel). Posso considerar estes dois como 
os upstreams deles?

  Apenas uma curiosidade de iniciante em protocolos de roteamento.

  [1] - http://www.ris.ripe.net/cgi-bin/lg/index.cgi

-- 
Giovanni P. Tirloni