Sie können Ihre IP-Adresse nicht im Internet verbergen. Sie sind nicht geheim.

So ziemlich das, was @DeerHunter gesagt hat. Es ist trivial, das gesamte Internet zu scannen. Wenn sie wollen, können sie auf alle bekannten digitalen Meerströpfchen zielen, die online sind.

Sie können dies mit einem Timer tun, sodass Sie es beim Versuch, offline oder online zu gehen, immer wieder versuchen, da dies möglicherweise hochwertige Ziele sind, die kurzfristig anfällig werden können.

Lassen Sie mich Ihnen ein sehr grobes Codierungsbeispiel geben. Stellen wir uns vor, Ihre IP-Adresse lautet 104.16.25.255 . Lassen Sie uns die IP-Adresse von www.digitalocean.com abrufen, damit wir leicht nach zugehörigen IP-Adressen suchen können. www.digitalocean.com gibt 104.16.25.4 zurück. Lassen Sie uns alles scannen: 104.16.25.*

Das Scannen ist vom Standpunkt der Programmierung aus unglaublich einfach.

Nehmen wir an, wir möchten versuchen, alle zu finden in der Nähe zugehörige IP-Adressen. Angenommen, Programme können sehr gut mit Zahlen und Mustern umgehen. Hier ist ein Beispiel für eine Inkrementierung einer Ganzzahl:

  i ++;  

Hiermit wird der aktuelle Wert von i um erhöht 1 . Nehmen wir an, i beginnt als 1 . Nach i ++ erhalten Sie 2 . Schauen Sie sich diese schmerzlich einfache Schleife an:

  für (int i = 1; i < 256; i ++) {scanIpAddress ("104.16.25." + I);}  

Eine alternative einzeilige Bash-Variante wäre wie folgt:

  für ip in `seq 1 255`; do scan_thingy_command 192.168.0. $ ip --options -oG lol.txt; erledigt  

Sie haben gerade 104.16.25.1 gescannt und i von 0 in 1 geändert . Während die gesamte Schleife fortgesetzt wird, wechselt sie von 104.16.25.0 zu 104.16.25.255 . Ich habe momentan keine Zeit zum Scannen und Schauen. Es ist jedoch möglich, dass dieser winzige Block nicht nur zu digitalocean gehört.

Um mehr Ziele auf DigitalOcean zu finden, kann ein Programmierer die Zahlen noch mehr ändern. Führen Sie beispielsweise eine weitere Schleife ein, die die oben genannte Schleife innen verschachtelt, und fügen Sie j : scanIpAddress ("104.16." + J + "." + I); hinzu. Dadurch können sie 104.16.1-255.1-255 scannen.

Von dort aus können sie weiter rückwärts gehen und nach Schleifen verschachteln, bis sie das gesamte Internet erhalten. Es gibt andere, effizientere Möglichkeiten, dies zu tun, wie z. B. Masscan, aber dies ist die grundlegendste Methode.

Dies kann auch in der Befehlszeile mit einer Zeile erfolgen:

  für oct1 in `seq 1 255`; do für oct2 in `seq 1 255`; do für oct3 in `seq 1 255`; do für oct4 in `seq 1 255`; scannen Sie $ oct1. $ oct2. $ oct3. $ oct4 --stuff; erledigt; erledigt; erledigt; erledigt  

Andere Methoden

Das obige Beispiel war ein wirklich grobes Beispiel. Sie tun möglicherweise mehr, ihr Code ist möglicherweise unterschiedlich und sie verwenden möglicherweise völlig andere Methoden und / oder Programme. Das Konzept ist jedoch ziemlich gleich.

Es ist auch möglich, dass die fraglichen Programme nur alle in Massen ansprechen.

Wie kann ich meine Sachen online verstecken?

Wenn es online ist, was auch immer Sie verstecken, werden sie es finden ... oder versuchen, es zu finden.

Abhängig von Ihrem Webserver können Sie jedoch http-Zugriffskontrollen wie .htaccess ausprobieren. Wenn Sie Zugriffskontrollen verwenden - dies hängt wiederum von Ihrem Webserver ab -, können Sie wahrscheinlich verhindern, dass andere Seiten anzeigen / darauf zugreifen .

Dies schützt Sie jedoch nicht vor Anmeldeversuchen außerhalb der Website. Und wenn Sie ihnen den Zugriff auf nicht vorhandene Webseiten verweigern, wissen sie jetzt, dass Sie wirklich online sind, und können ihre Angriffe einfacher konzentrieren! Es ist jedoch immer noch gut trainieren.

Hier ist ein Beispiel für die Verweigerung von .htaccess für Apache (2.4 und höher):

  IP 192.168.1.100   pre erforderlich >
 Im obigen Beispiel verweigern Sie allen den Zugriff auf diesen Ordner mit Ausnahme Ihrer IP-Adresse. Beachten Sie, dass  192.168.1.100  eine lokale IP-Adresse ist. Sie müssen dies durch Ihre öffentliche IP-Adresse ersetzen. 
 
 Beachten Sie außerdem, dass  Ihr Angreifer  weiterhin auf diese Seiten zugreifen kann, wenn auf Ihrem Computer ein Proxy / VPN ausgeführt wird. Wenn Ihr Angreifer bereits Zugriff auf die Website hat, kann er den .htaccess entweder bearbeiten oder entfernen. Nichts ist 100%. 
 
 Stellen Sie nur nichts online, wenn Sie nicht zum Scannen bereit sind. Jeder hat einen Plan, bis er im Mund einen Port-Scan durchführt. 

Der IPv4 -Adressraum ist auf nur 4.294.967.296 Adressen beschränkt. ^{[Anmerkung 1] sup> Bei ausreichender Bandbreite ist es trivial, jede einzelne IP-Adresse da draußen zu scannen, insbesondere wenn Sie sind der Besitzer eines Botnetzes, das aus Tausenden von gehackten Geräten besteht.}

Mit IPv6 ^{[Anmerkung 2] sup> sind die Dinge etwas schwieriger: Mit über 300.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000 Adressen wird es unpraktisch, sie alle aufzuzählen. Es gibt jedoch noch verschiedene Mittel, mit denen die Adressen entdeckt werden können; In einem kürzlich durchgeführten Fall wurde die Internet-of-Things-Suchmaschine Shodan mithilfe von NTP-Servern beim Erkennen neuer IPv6-Hosts beim Synchronisieren ihrer Uhren erwischt.}

Das Wesentliche davon: Wenn Sie nicht bereit sind, untersucht zu werden, sollten Sie nicht im Internet sein. Das Scannen des gesamten IPv4-Internets kann in wenigen Tagen erfolgen, und Ihre IPv6-Adresse wird ebenfalls erkannt - es sei denn, Sie verwenden sie überhaupt nicht.

_{Hinweis 1: Einige davon sind nicht verfügbar, da sie für spezielle Zwecke reserviert wurden.
Hinweis 2: IPv6 ist nur für Benutzer von Digital Ocean verfügbar, wenn Sie haben es aktiviert. sub>}

Aber woher wissen sie, dass ich existiere?

Sie wissen nicht, dass Sie existieren. Sie wissen nicht, dass sie mit Ihnen sprechen: Sie wissen nur, dass sie mit einem Computer mit einer bestimmten IP-Adresse sprechen. IP-Adressen sind Telefonnummern sehr ähnlich. Wenn Sie eine legitime Vorwahl gefolgt von einer Zufallszahl mit der richtigen Anzahl von Ziffern wählen, besteht eine gute Chance, dass Sie mit jemandem sprechen, insbesondere wenn die Vorwahl viele Abonnenten hat. Das bedeutet nicht, dass Sie "gewusst haben, dass diese Person existiert": Es bedeutet nur, dass Sie herausgefunden haben, dass ihre Telefonnummer verbunden ist.

Woher beziehen sie die IP?

Sie bekommen es nirgendwo hin. Es ist nur eine 32-Bit-Zahl und es gibt nicht wirklich so viele davon. 134.183.96.2 dort, das ist eine IP-Adresse. Ich habe es durch Drücken meiner Tastatur (und Löschen ungültiger Ziffern) erhalten. Es gehört wahrscheinlich jemandem, weil fast alle IP-Adressen dies tun. Die Bösen scannen nur systematisch den Adressraum; Sie finden jede IP-Adresse, weil "Finden" nur "genug gültige Nummern generieren" bedeutet.

Aber woher wissen sie, dass ich existiere?

Sie wissen, dass an dieser IP-Adresse etwas vorhanden ist, weil ihr Scanner es ihnen sagt. Höchstwahrscheinlich haben sie nicht nach Ihnen gesucht, sondern sind nur über diese IP-Adresse gestolpert, indem sie große Teile oder das gesamte Internet gescannt haben.

http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html

1. IP-Adressen sind endlich.
2. IP-Adressen werden in Blöcken zugewiesen.
ol>

Sie können also alle IPs von Ihrem Heim-PC in etwa einem Jahr scannen, obwohl Ihr ISP dies möglicherweise bemerkt und Sie fragt, was Sie tun Ich versuche zu ziehen. Einige Blöcke enthalten mit größerer Wahrscheinlichkeit schlecht geschützte Server, insbesondere die Blöcke, die Hosting-Anbietern zugewiesen sind. Das Scannen nur dieser Blöcke ist sehr billig, schnell und einfach, und die Erfolgswahrscheinlichkeit ist vergleichsweise hoch.

Das Scannen von einer einzelnen IP ist problematisch, da Ihre IP bald blockiert wird und diese Personen Botnets verwenden oder das kommerzielle Äquivalent: Cloud-Dienste. Sie müssen kein eigenes Botnetz erstellen. Stattdessen können Sie ein Botnetz mieten.

Höchstwahrscheinlich wissen sie nicht, dass die angegebene IP speziell Ihnen gehört. Sie kennen jedoch den IP-Pool, der zu Ihrem Hosting-Unternehmen gehört, und verwenden diese Informationen, um nach aktiven Hosts zu suchen. Sie können iptables verwenden, um die Sicherheit Ihrer Box zu verbessern oder die Anzahl der Verbindungen und Verbindungstypen zu begrenzen. Ansonsten können Sie nichts anderes tun. Das Internet sollte zum Informationsaustausch genutzt werden. Wenn Sie nicht teilen möchten, trennen Sie einfach die Box (Entwicklungsbox). Wenn es sich um eine Entwicklungsbox handelt, ist es eine gute Idee, sie lokal zu verschieben und außerhalb Ihres LAN keinen Zugriff darauf zu gewähren.

Da das Scannen von IP-Adressen nach offenen Ports eine einfache Aufgabe ist.
Viele Tools wie ZMAP ( 1300x schneller als NMAP) können das gesamte Internet mit a scannen Einige Stunden, wenn Sie eine anständige Internetverbindung haben.

Wenn Sie beispielsweise das gesamte Internet auf Port 80 scannen möchten (Ihr ISP fragt möglicherweise):

  sudo zmap -p 80 0.0.0.0/0  

Und ZMAP scannt keine privaten IP-Adressen (wie in der Datei blacklist.conf)