GlasBlog

Ich habe unseren zentralen Datenbank Daemon um ein Modul erweitert das uns die zu einer IP gehörenden Geo Informationen sammelt. Hierfür verwenden wir eine Datenbank von MaxMind. Es handelt sich dabei um eine SQL Datenbank mit IP Bereichen und deren entsprechendem Länderkürzel.
Damit wir die IP eines Angreifers verwenden können, müssen wir die “dotted”-IP in eine “undotted”-IP umrechnen:

import socket
import struct
 
undotted = struct.unpack('!I', socket.inet_aton(dotted))[0]

Der Rest ist ein Kinderspiel, wie fragen die Datenbank in welchem Bereich sich die IP befindet und bekommen den Ländercode. Mit der gewonnenen Information können wir erfahren von welchem Teil der Erde die Angriffe kommen und wie könnten die unwissenden Hoster von RFI Dateinen in ihrer eigenen Sprache anschreiben.

Dieser Eintrag wurde am 7:05 PM, den 2 October 2009 um 7:05 PM veröffentlicht und in der Kategorie Glastopf, Honeypot abgelegt. Du kannst alle Antworten zu diesem Eintrag via RSS 2.0 verfolgen. Du kannst eine Antwort hinterlassen oder einen Trackback von deiner Seite senden.