Alexander (HH): Whois für IPs

Beitrag lesen

Moin Moin!

whois 127.0.0.1

Für die aktuelle IP-Adresse des SelfHTML-Forum-Servers sieht das so aus:

whois 213.198.84.177
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '213.198.84.176 - 213.198.84.191'

inetnum:      213.198.84.176 - 213.198.84.191
netname:      SELFHTML-NET
descr:        SELFHTML e.V.
country:      DE
...

Ätsch! SelfHTML e.V. hat einen eigenen IP-Adressbereich.

role:           Verio IP addressing
address:        8005 s. chester street
address:        suite 200
address:        englewood, CO 80112
address:        United States
...
remarks:        trouble:      Abuse/UCE: abuse@us.ntt.net
remarks:        trouble:      Network: noc@us.ntt.net
remarks:        trouble:      Security issues: security@us.ntt.net
...

Die IP-Adressen haben sie sich von Verio besorgt. Was über das Hosting / Housing aber leider so gar nichts aussagt. Da würde ein traceroute vielleicht etwas aussagen, zumindest die letzten paar Hops sollten Rückschlüsse auf den Hoster zulassen.

traceroute forum.de.selfhtml.org
traceroute to forum.de.selfhtml.org (213.198.84.177), 30 hops max, 38 byte packets
....
 9  p16-0-0-0.r00.frnkge02.de.bb.gin.ntt.net (129.250.2.122)  87.532 ms  146.014 ms  146.376 ms
10  p16-2-0-0.r01.frnkge02.de.bb.gin.ntt.net (129.250.3.195)  148.180 ms  155.713 ms  158.517 ms
11  ge-1-1.c01.frnkge02.de.wh.verio.net (213.198.52.173)  160.266 ms  169.999 ms  170.417 ms
12  vl20.d02-r0.frnkge02.de.wh.verio.net (213.198.54.102)  170.571 ms  25.588 ms  26.068 ms
13  odin.selfhtml.org (213.198.84.177)  26.217 ms  25.875 ms  27.037 ms

ntt.net und verio.net sind verdächtig dicht am Server und auch laut whois "befreundet". Der Server steht also vermutlich bei NTT/Verio. Wenn man aus frnkge02.de Frankfurt, Router 2, Germany, herausraten möchte, also vermutlich in oder dicht bei Frankfurt (am Main).

(Ich mach mir um diese Zeit nicht mehr die Mühe, das irgendwo auf den Vereinsseiten nachzuprüfen.)

Für die IP-Adresse einer bei Strato gehosteten Website ergibt whois das:

whois 81.169.145.72
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '81.169.144.0 - 81.169.156.255'

inetnum:      81.169.144.0 - 81.169.156.255
netname:      STRATO-RZG-KA
descr:        Strato Rechenzentrum, Berlin
....

Den Rest schenke ich mir hier. Hier hostet jemand bei Strato, in einem "riesigen" IP-Adressbereich (verglichen mit SelfHTML e.V.). Ob das dediziert oder geteilt ist, kann man über Tools wie IP Neighbors herausfinden. In diesem Fall treiben sich unter der IP-Adresse noch über 700 andere, völlig unterschiedliche, bunt gemischte Domains herum, Massenhosting also.

nslookup liefert für diese IP-Adresse übrigens schlicht w08.rzone.de, sprich: 8. Webserver eines größeren Haufens; rzone.de ist eine von Strato mehr oder weniger intern genutzte Domain.

Für einen meiner ehemaligen Arbeitgeber zeigt das IP Neighbors Tool nur sieben andere Domains an, die alle ebenfalls den Namen bzw. die Branche in verschiedenen Varianten enthalten. In diesem Fall ganz klar ein dedizierter Host. (Kann ich in diesem Fall aufgrund Insiderwissens sogar klar bestätigen, ich hab die Kiste in Natura gesehen.)

Eine andere Domain des selben Arbeitgebers gibt es etwa 50 Nachbarn, alle mit verdächtig ähnlichen Namen. Ebenfalls ein dedizierter Host, mit mehr Domains aber (Insiderwissen) weniger Last.

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".