資安論壇

[轉貼]分析廣告信的方法 - 由檔頭來源來分析(初級)

Directed by Kiner 2004/05/03

1. 首先我們先來看這個圖




這是某一廣告信的檔頭，圖中紅色框框框起來的區塊為寄信的過程

共有四個Received的過程

但我們只看最下面的過程，也就是 from d2fds [219.91.109.153] by www.uvaguide.orgs.virginia.edu ....

這個部份就是寄信的"源頭"，也就是最早這封信是從哪一個地方所寄出的，可能是國內，也可能是國外，我們要分析此路徑來決定到底是誰寄出的

Received: from d2fds [219.91.109.153] by www.uvaguide.orgs.virginia.edu (SMTPD32-8.10) id A6A34CA00D2; Mon, 03 May 2004 07:01:55 -0400

表示從主機名稱為 d2fds，該 IP 位置為 219.91.109.153 所寄出，由主機名稱為 www.uvaguide.orgs.virginia.edu 所接收 ... 後面不用理他 ...

我們可以從主機名稱或是由 IP 位置下手

主機名稱可能會是真的，如 Mailserver.idv.tw ，但如範例中的 d2fds 就是假的，且有時還會自動產生目的地的主機名稱 .. 真機車 -_-||

最後我們還是得回歸分析 IP 的來源，以下範例使用 tracert 指令在 windowsXp 運行的情況。點開始/執行/tracert IP位置



上圖黃色框框的內容，表示該 IP 真實的來源，是由 Apol.com.tw 所發出，此時大家知道該怎麼辦了吧。

http://spam.anet.net.tw/reportbox.htm 此連結裡有台灣各大ISP的廣告信檢舉信箱連結，趕快分析完畢後將原信件以附件方式轉寄給他們阻止廣告信業者濫發吧!!

P.S. http://www.ttn.net 臺灣電訊，居然沒有提供廣告信檢舉信箱，台灣電訊的用戶實在應該督促該公司盡早處理此事。

以上文章歡迎自由轉載，但請保留全文。

　

　

有人寄匿名騷擾信到我的hotmail信箱，我怎樣才可以查出他的表頭呢？
在公司的信箱裏可以點選郵件雪則內容詳細資料來查看，但是在Hotmail裏要如何找出寄信者的郵件表頭呢？

http://support.microsoft.com/default.as ... W;sfaq6122 第3點,將hotmail以Outlook Express收下來後 , 在該 Email 上按滑鼠右鍵 -> 選擇內容 ->詳細資料

http://www.google.com/search?hl=zh-TW&i ... %B0%8B&lr=

在檢察電子表頭時有時看到四個Received from，有時只看到兩個Received from！當然都是看最後一個！可是為何有些有四個Received from而有些只有兩個呢？
向這個帶有病毒信件的表頭，
Return-Path: <[email protected]>
Received: from mailgw01.ntamar.net (mailgw01.ntamar.net [65.219.150.35])by mailsrv.ntamar.net (8.12.11/8.12.9) with ESMTP id i8R9639T017119for <[email protected]>; Mon, 27 Sep 2004 21:06:03 +1200 (MHT)
Received: from ntamar.net (218-172-212-218.dynamic.hinet.net [218.172.212.218])by mailgw01.ntamar.net (8.12.10/8.12.10) with ESMTP id i8R94Llx022756 for <[email protected]>; Mon, 27 Sep 2004 21:04:27 +1200 (MHT)
Message-Id: <[email protected]>
From: [email protected]
To: [email protected]
Subject: =?big5?B?pmK2bKXzsFSupyAiUmU6IFdvcmQgZmlsZSIgtW+ye69mrHI=?=
Date: Mon, 27 Sep 2004 17:18:30 +0800
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0008_0000245A.00005406"
X-Priority: 3
X-MSMail-Priority: Normal
Status:

利用紅色的IP查到的結果是
Final results obtained from whois.apnic.net.
Results:
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.160.0.0 - 218.175.255.255
netname: HINET
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
country: TW
admin-c: HN27-AP
tech-c: HN28-AP
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
changed: [email protected] 20021009
status: ALLOCATED PORTABLE
source: APNIC

person: HINET Network-Adm
address: CHTD, Chunghwa Telecom Co., Ltd.
address: Data-Bldg. 6F, No. 21, Sec. 21, Hsin-Yi Rd.,
address: Taipei Taiwan 100
country: TW
phone: +886 2 2322 3495
phone: +886 2 2322 3442
phone: +886 2 2344 3007
fax-no: +886 2 2344 2513
fax-no: +886 2 2395 5671
e-mail: [email protected]
nic-hdl: HN27-AP
remarks: same as TWNIC nic-handle HN184-TW
mnt-by: MAINT-TW-TWNIC
changed: [email protected] 20000721
source: APNIC

person: HINET Network-Center
address: CHTD, Chunghwa Telecom Co., Ltd.
address: Data-Bldg. 6F, No. 21, Sec. 21, Hsin-Yi Rd.,
address: Taipei Taiwan 100
country: TW
phone: +886 2 2322 3495
phone: +886 2 2322 3442
phone: +886 2 2344 3007
fax-no: +886 2 2344 2513
fax-no: +886 2 2395 5671
e-mail: [email protected]
nic-hdl: HN28-AP
remarks: same as TWNIC nic-handle HN185-TW
mnt-by: MAINT-TW-TWNIC
changed: [email protected] 20000721
source: APNIC

inetnum: 218.172.0.0 - 218.172.255.255
netname: HINET-NET
descr: CHTD, Chunghwa Telecom Co., Ltd.
descr: Data-Bldg. 6F, No. 21, Sec. 21, Hsin-Yi Rd.,
descr: Taipei Taiwan
country: TW
admin-c: CYK-TW
tech-c: CYK-TW
mnt-by: MAINT-TW-TWNIC
remarks: This information has been partially mirrored by APNIC from
remarks: TWNIC. To obtain more specific information, please use the
remarks: TWNIC whois server at whois.twnic.net.
changed: [email protected] 20030116
status: ASSIGNED NON-PORTABLE
source: TWNIC

person: Chung Yung Kang
address: Chunghwa Telecom Data communication Business Group
address: No.21, Hsin-Yi Rd., sec. 1
address: Taipei Taiwan
country: TW
phone: +886-2-2322-3442
fax-no: +886-2-2344-2513
e-mail: [email protected]
nic-hdl: CYK-TW
remarks: This information has been partially mirrored by APNIC from
remarks: TWNIC. To obtain more specific information, please use the
remarks: TWNIC whois server at whois.twnic.net.
changed: [email protected] 19990924
source: TWNIC

難道代表是中華電信發的？

不是吧!
代表這個IP是由中華電信使用的
也許是中華電信的用戶發送的

_________________

收集範圍：傳統建築.神社.武德殿.風景名勝.古蹟... 感覺對了的東西~

那是ISP的業者而非使用者

使用者要用netstat之類的來查詢

_________________

可否多做說明