Cada vez que una computadora o dispositivo se conecta a una red local o de Internet, debe tener asignada una dirección IP única en esa red. La asignación de la dirección IP se realiza automáticamente en segundo plano, ya sea por su proveedor de servicios de Internet si se está conectando a Internet, o por un servicio DHCP interno habilitado en un servidor o un enrutador si se conecta a una red local. Actúa como un identificador en una red y se puede rastrear hasta el dispositivo en función de la fecha, la hora y la dirección IP.
Una conexión realizada a cualquier servicio expondrá su dirección IP al objetivo. Por ejemplo, visitar un sitio web usando su navegador web iniciará una conexión desde su computadora al servidor web que aloja el sitio web. Por lo general, su dirección IP será registrada por el servidor web, que puede usarse para informes analíticos de tráfico o incluso para rastrear comportamientos abusivos como la fuerza bruta o los ataques DoS.
Una dirección IP no es solo 4 conjuntos de números separados por 3 puntos decimales punteados. Usando las herramientas y los servicios en línea correctos, puede encontrar mucha información sobre una dirección IP que puede ayudarlo a informar los ataques al proveedor de servicios adecuado para que tomen las medidas necesarias, como suspender temporalmente el servicio para evitar más ataques a otros objetivos. 1. Detectar la ubicación de la dirección IP
La información más básica que puede obtener fácilmente de una dirección IP es la ubicación. En realidad, una dirección IP no contiene ninguna información, pero la ubicación se puede revelar al consultar una gran base de datos de geolocalización IP que es mantenida por diferentes compañías, cada una con diferentes tasas de precisión. Uno de nuestros favoritos es la versión demo gratuita en línea de la base de datos Geo2IP City de MaxMind que incluye no solo el país, sino también información más detallada como subdivisiones, ciudad, código postal, latitud y longitud.
Todo lo que necesita hacer es ingresar la dirección IP en el cuadro y hacer clic en el botón Enviar, que generará instantáneamente el resultado en la misma página. Si no está satisfecho con los resultados generados por la demostración Geo2IP2 de MaxMind, aquí hay 6 alternativas más gratuitas de IP a ubicación que puede probar.
Visite la demostración de la base de datos de la ciudad de MaxMind Geo2IP2
2. Detectar proxy desde la dirección IP
Otra información importante que puede obtener de una dirección IP es verificar si está ejecutando un servicio proxy. Un proxy abierto es capaz de ocultar la dirección IP del usuario real, por lo que si la dirección IP del atacante que se encuentra en el registro del firewall se detecta como proxy, entonces no hay necesidad de investigar más. Hemos encontrado hasta ahora 3 servicios de detección de proxy que tienen demostraciones gratuitas basadas en la web para que las pruebe.
- Inteligencia IP
IP Intelligence ha lanzado un verificador gratuito basado en la web para detectar si una dirección IP es un proxy o VPN. Todo lo que necesita hacer es visitar la URL anterior, ingresar una dirección IP válida y hacer clic en el botón Buscar. Los resultados son bastante interesantes ya que se basan en el cálculo dinámico de grandes conjuntos de datos. Si el sistema funciona, obtendrá un valor entre 0 y 1.
Según su guía, cualquier cosa por encima de 0, 98 son proxies más probables, mientras que por encima de 0, 90 deben investigarse más a fondo para confirmar. La captura de pantalla anterior es un ejemplo de una dirección IP con un puntaje bastante bajo que es muy poco probable que sea un proxy.
- Demostración del producto en vivo IP2Proxy de FraudLab
Una segunda opinión nos ayudaría enormemente a confirmar si la dirección IP es realmente un proxy cuando no pudimos decidir a partir de los resultados de IP Intelligence. El servicio web de detección de proxy IP2Proxy de FraudLab permite un máximo de 20 búsquedas por dirección IP por día. La demostración en línea se puede utilizar de inmediato sin necesidad de registrarse para obtener una cuenta de prueba gratuita. Ingrese la dirección IP en el cuadro del paso 1, haga clic en Enviar y verifique los resultados del cuadro del paso 3.
- IPQualityScore
Además de detectar un proxy y una VPN, IPQualityScore tiene una función adicional para detectar una dirección de correo electrónico temporal o desechable. Para realizar verificaciones de proxy / vpn en una dirección IP, visite el enlace de arriba, ingrese una dirección IP, haga clic en el botón "Buscar IP" y consulte el resultado de "Detección de proxy / VPN". Es posible que deba desplazarse hacia arriba para revisar los resultados porque, por alguna razón desconocida, la página se desplaza automáticamente hacia abajo hasta la parte inferior de la página.
3. Detectar sitios web alojados en la dirección IP
Si la computadora ejecuta un servidor web HTTP, la dirección IP del servidor también puede revelar el tipo de sitios web que aloja. Una sola dirección IP se puede configurar para alojar múltiples dominios, que es un método comúnmente utilizado en el alojamiento web compartido. Nuevamente, este método se basa en verificar una base de datos que contiene dominios resueltos en direcciones IP y el sistema simplemente coincide con los dominios que se resuelven en la misma dirección IP.
Este método se conoce como "Búsqueda inversa de IP" o "IP vecino". Existen varios servicios de este tipo disponibles en Internet que se ofrecen de forma gratuita, pero después de las pruebas encontramos solo 2 que son bastante confiables. Muestran una buena cantidad de resultados actualizados, mientras que otros aún muestran dominios que no se resuelven en la dirección IP que está verificando.
- Majestic Neighborhood Checker
Majestic es una excelente herramienta en línea que utilizan muchas personas en el campo de SEO para analizar vínculos de retroceso. Dado que tienen su propio rastreador web que comprueba constantemente los vínculos de retroceso, es obvio incluir resultados que coincidan con dominios a direcciones IP. Todo lo que necesita hacer es ingresar la dirección IP en el cuadro, seleccionar si desea usar un índice nuevo o histórico y hacer clic en el botón Verificar.
- ViewDNS.info Búsqueda inversa de IP
ViewDNS.info ofrece hasta 25 herramientas en línea de forma gratuita, desde una simple herramienta de ping en línea hasta la herramienta de búsqueda de IP inversa más compleja. Al igual que cualquier otra herramienta en línea de interfaz web, usar la herramienta de búsqueda de IP inversa de ViewDNS.info es tan fácil como ingresar la dirección IP o el dominio en el cuadro dado y hacer clic en un botón revelará los resultados. En una de nuestras pruebas, ViewDNS incluyó uno de los dominios que se pierde en Majestic Neighborhood Checker.
4. Verifique la dirección IP para la lista negra
Cuando se trata de buscar listas negras, generalmente se divide en dos categorías diferentes que son spam y malware. Puede verificar la dirección IP en ambas categorías para averiguar si se ha utilizado para enviar spam o host de malware.
- MutiRBL
Si bien hay bastantes verificadores de listas negras de RBL gratuitos, encontramos que MultiRBL es uno de los más completos que puede realizar búsquedas en más de 300 RBL. Simplemente ingrese la dirección IP y haga clic en el botón Enviar. La dirección IP se probará automáticamente en la Lista de agujeros negros basada en DNS (DNSBL) o la Lista de agujeros negros en tiempo real (RBL) disponibles.
En cuanto a escanear una dirección IP en busca de malware, también hay un buen número de fuentes de reputación IP que pueden verificar, como Clean MX, Malc0de, Malware Doamin List, SCUMWARE.org, etc. Verificar manualmente cada fuente puede ser bastante problemático. Afortunadamente, hay algunos sitios que pueden verificar de forma simultánea y automática múltiples fuentes de reputación de IP a la vez.
- IPVoid
IPVoid es un servicio gratuito de escáner de direcciones IP ofrecido por NoVirusThanks. Creo que son conscientes de las diferencias de resultado entre el escaneo de URL y la dirección IP, por eso tienen otro servicio llamado URLVoid que está destinado a escanear URL, mientras que IPVoid es para escanear direcciones IP. IPVoid puede escanear una dirección IP de 40 fuentes diferentes que también incluye algunas comprobaciones RBL. Los resultados del escaneo se almacenan en caché y si muestra un informe antiguo, simplemente haga clic en el botón "Actualizar informe" para iniciar un nuevo análisis en la dirección IP.
- Metadefender
Metadefender es un servicio en la nube que puede escanear archivos con 43 motores antivirus diferentes, o escanear una dirección IP de 12 fuentes diferentes. A diferencia de IPVoid que incluye hasta 40 fuentes, Metadefender está más centrado en las fuentes de malware y excluye las comprobaciones RBL.
Notas adicionales : No incluimos VirusTotal en la lista porque no informa la detección de una dirección IP cuando uno de los motores marca la dirección IP como maliciosa. Cuando intentamos escanear un nombre de host, muestra la detección correctamente. Esto significa que el escáner de URL de VirusTotal está destinado a una URL de escaneo, pero no a una dirección IP.
5. Informar sobre direcciones IP abusivas
Después de haber realizado toda la investigación sobre la dirección IP abusiva, el último paso es informar la actividad maliciosa a la autoridad correspondiente. Deberá enviar el archivo de registro del cortafuegos que muestra el ataque a la dirección de correo electrónico de abuso que se puede encontrar realizando un WHOIS en la dirección IP. DomainTools es uno de los servicios más confiables que puede realizar una búsqueda Whois en una dirección IP. Simplemente escriba la dirección IP y haga clic en el botón Buscar, que devolverá una pequeña lista de información de contacto.
Busque la información de contacto del departamento de Abuso en los datos whois. Aunque el número de teléfono está en la lista, lo más probable es que aún necesite enviar por correo electrónico los archivos de registro al departamento de abuso como prueba.
Visita DomainTools Whois Lookup