论坛: 黑客进阶 标题: 如何查邮件的来源 复制本贴地址    
作者: laievf [laievf]    论坛用户   登录
近日收到法轮功分子的来信,想查其邮件的来源,不知如何查
来源是r0r0r@JUSTFYI.zzn.com


[此贴被 laievf(laievf) 在 01月26日20时55分 编辑过]

地主 发表时间: 2003-01-26 20:37:55

回复: wolf8 [wolf8]   论坛用户   登录
是查他在哪个网吧(具体IP?)给你发的信?
要不是的话就是www.JUSTFYI.zzn.com


B1层 发表时间: 01/26 21:54

回复: laievf [laievf]   论坛用户   登录
从哪发来的信,以及发信的服务器

B2层 发表时间: 01/27 07:42

回复: wolf8 [wolf8]   论坛用户   登录
207.183.238.26

B3层 发表时间: 01/27 10:55

回复: laievf [laievf]   论坛用户   登录
无法联接

B4层 发表时间: 01/27 16:17

回复: vishx [vishx]   论坛用户   登录
看原带码撒

B5层 发表时间: 01/27 16:45

回复: laievf [laievf]   论坛用户   登录
可以炸吗?~~~~~

B6层 发表时间: 01/28 09:21

回复: vishx [vishx]   论坛用户   登录
炸撒

B7层 发表时间: 01/28 16:10

回复: laievf [laievf]   论坛用户   登录
用什么比较好?

B8层 发表时间: 01/28 19:19

回复: NetDemon [netdemon]   ADMIN   登录
关于追踪邮件的真实来源,以及欺骗、隐藏真实来源,这其中有很大的学问
各位不妨往深层讨论,不要流于这么虚浅的表面
一份邮件从发送到被接受,其中涉及的相关技术、协议细节超过200个以上RFC文档

[此贴被 NetDemon(netdemon) 在 01月29日18时58分 编辑过]

B9层 发表时间: 2003-01-29 18:15:58

回复: laievf [laievf]   论坛用户   登录
先如何隐藏~~~~~

B10层 发表时间: 01/30 10:51

回复: vishx [vishx]   论坛用户   登录
用代里发邮件就能影常你的IP,或者你发黑信,也可以,好走了886

B11层 发表时间: 01/30 20:38

回复: china04561 [china04561]   论坛用户   登录
前面的~不要说废话了嘛!我想他们一般都是使用的匿名服务器发来的~而且是国外的或者*湾发来的!只要你不是高手,是查不到他(她)的真实IP的!因为如果这么容易被查到了,国家有关部门或者一些网络服务公司肯定会封了他(她)的IP的!所以。这种事情,不要理会,只要你的意志坚定,用不着在乎这些事情!有时候QQ也会碰到吧!对吗?

B12层 发表时间: 01/31 12:59

回复: laievf [laievf]   论坛用户   登录
我就是按耐不住那鼓劲啊~~~~~~~!

B13层 发表时间: 02/01 09:18

回复: baboo [baboo]   论坛用户   登录
可以ping的,是207.183.238.26

B14层 发表时间: 02/06 14:19

回复: aoming [aoming]   版主   登录
接老大话题,抛个砖头,多的话不说了
  《邮件入门知识》←强烈推荐  

(MMD,说真心话,不想公布出来。自己动手找)

----------------------------
《E-mail轰炸和炸弹》
转帖自    瑞星主页 >>  病毒信息 >>  网络病毒专科   
-----------------------------




 1.E-mail轰炸可被描述为不停地接到大量同一内容的E-mail。

    E-mail spamming与E-mail轰炸类似。这里,一条信息被传给成千上万的不断扩大的 用户。更糟的是,如果一个
人回复了E-mail spamming,那么表头里所有的用户都会收到这封回信。
    很难查到和防止E-mail spamming,因为只要有有效E-mail地址,就可以spam任何有效的E-mail地址或新闻组。
    这里,主要的风险来自E-mail服务器。如果服务器接到很多的E-mail,服务器就会脱网,系统甚至可能崩溃。不
能服务,可由不同原因引起。可能由于网络联接超载,也可能由于缺少系统资源。因此,如果系统突然变得迟钝,或
人们开始抱怨E-mail速度大幅减慢,或不能接、发E-mail,就应该小心。可能,E-mail服务器正忙于处理极大数量的
信息。
    如果感到站点正受侵袭,试着找出轰炸或Spamming的来源,然后设置防火墙或路由器,滤去来自那个地址的邮包。
    然而,没有很好的方法对付E-mail的轰炸。防火墙会有所帮助,它可以阻止恶意信息的产生,但也只能做这么多。
防火墙可以确保所有外部的SMTP连接都只连接到E-mail服务器上,而不连接到站点的其他系统,当然,这不能阻止入
侵,但可以将E-mail轰炸的影响减到最少。因为这样,入侵只能影响E-mail服务器,而不会影响其他人的机器。
    现在,E-mail轰炸并不一定百分之百是匿名的行为了。可以查看表头,追踪邮件从何而来,然而,如果闯入者真
正知道自己在做什么,它可能会使用Telnet联接SMTP端口,直接发出SMTP指令。如果运行身份辨认功能,闯入者可能
遇到一些阻碍,但这容易对付,因为闯入者可假装是别的什么人。和E-mail类似的问题还有E-mail炸弹工具:

    2. Up Yours炸弹程序是最流行的,它使用最少的资源,做了超量的工作,有简单的用户界面以及尝试着去隐蔽
攻击者的地址源头。
    KaBoom与Up Yours有着明显的不同。其中一点,就是KaBoom增强了功能。例如,从开始界面到主程序你可以发现
一个用来链接列表的工具。使用这个功能,你可以把你的目标加入到上百个E-mail列表中去。
    E-mail炸弹是一些无聊的材料,防治的办法是删除文件或进入一种排斥模式。排斥模式需要你检查收到的邮件的
源地址。得到源地址是很简单的事,至少在UNIX环境中是这样的。事实上它只不过是读取Mail中的信息。与Pine或El
m相反,它将得到真正的源地址和全部的路径。检查全路径 (例如在Netscape Navigator中)将告诉你最初的邮件服
务器。
    如果你发现一个站点,它的用户在用邮件炸弹攻击你,那么你可以和他们的系统管理员联系,这种方法通常是有
效的。他会向那个用户指出这种行为是不可取的:也是不可宽恕的。大多数的情况下,这种方法被证明是有威摄力的
(有些提供商甚至马上就终止了这些帐户)。但是,如果你面对的是一个更复杂的情况 (例如,那个ISP并不在意它
的用户在Internet上使用邮件炸弹),你就必须采用更有效的方法了。
    一种方法是在路由的层次上,限止网络的传输。另一种方法是:写一个Script程序,每当E-mail连接到你的邮件
服务器的时候,它就“捕捉到”E-mail的地址。对于邮件炸弹的每一次连接,它都自动终止连接并且回复一个长达10
页的声明,指出这种攻击行为违反了公认的准则,触犯法律。当进行攻击的人收到 1000 页或更多的回复时,原先并
不在意的提供商就会对使用邮件炸弹的人进行训斥甚至惩罚。要想使这个方法更加有效,在发送每个自动答复的消息
时,也给那个节点的管理员一份。
    这些方法只有在受到邮件炸弹攻击的情况下是有效的。对于被连接到邮件列表的情况是不起作用的。因为在这种
情况下,攻击者的真实地址被隐去了。要想找到这个地址的唯一可能是邮件列表的主人(负责邮件列表服务器的人)
使用了登录工具,同时也确实保存了那些登录日志。
    例如,邮件列表接受了一个从web页面发送的签名,它可以通过检查HTTP服务器的连接日志(通常称为access.l_
og)来很容易的找到地址,HTTP服务器记录下了每次连接的原始IP地址。但是大多数的邮件列表并不接受通过Web 页
发送的签名,实际上,它们使用普通邮件。把日志连接到邮件服务器的系统管理员是很少的。所以要想追踪攻击者,
你不仅仅是需要邮件列表站点系统管理员的帮助。假如攻击者使用的是拨号连接,动态分配IP地址的方法,你就必须
与攻击者的ISP连接,让他向你提供他的日志。但是,除非攻击者的ISP使用了一种很好的日忘工具,否则,你得到的
日志只能给你提供一个可疑对象的名单(登录的那个IP的用户或在攻击时间拨号连接的用户)。这就需要更深入的分
析。因此,连接到邮件列表已经变得比run-of-the-mill邮件炸弹更为流行了。

摘自《计算机安全技术》

--------------------------------
--------------------------------


[此贴被 咖啡╃泡面(aoming) 在 02月07日01时15分 编辑过]

B15层 发表时间: 2003-02-07 01:32:15

回复: laievf [laievf]   论坛用户   登录
我的妈~~好复杂哟!~~~~

B16层 发表时间: 02/07 10:04

回复: netax [netax]   论坛用户   登录
要想知道�]件的�碓矗�可以���Ψ洁]箱服�掌鞴芾��T,呵呵~~~~~~

B17层 发表时间: 03/05 22:40

回复: dengzitui [dengzitui]   论坛用户   登录
谁不知道隐藏自己?所以嘛…………

B18层 发表时间: 03/06 20:54

回复: yini [yini]   论坛用户   登录
试试用邮件追踪的吧~

B19层 发表时间: 03/30 01:11

回复: ltb [ltb]   论坛用户   登录
  还是不好解决啊!!

B20层 发表时间: 03/30 19:18

回复: dengzitui [dengzitui]   论坛用户   登录
看邮件头信息…………

B21层 发表时间: 04/02 21:57

回复: ma2751_cn [ma2751_cn]      登录
从文件头可以找出发邮件的服务器IP和发送用户的IP~~`(大部分)

B22层 发表时间: 04/04 21:40

回复: magic [buaaytt]   论坛用户   登录
嗯,咖啡斑竹推荐的文章非常不错
建议大家花时间仔细琢磨一下
我也实际操作了一下
发现接受到的邮件的发送者和接受者确实很容易伪造,不过foxmail有个查看邮件原始信息的功能似乎可以防止隐藏发送者的垃圾邮件

B23层 发表时间: 04/17 21:37

回复: magic [buaaytt]   论坛用户   登录
现在我收回上面说的话,因为今天收到一封垃圾邮件,从foxmail的return-path里看不出对方的地址。ft
^_^

B24层 发表时间: 05/01 18:47

回复: SysHu0teR [syshunter]   版主   登录
我这里有个垃圾邮件,大家可以看看了解邮件格式大概
代码:

Received: from msa.hinet.net([127.0.0.1]) by 21cn.com(AIMC 2.9.5.6)
with SMTP id jm10f3eb2009f; Fri, 02 May 2003 08:39:36 +0800
X-MaxRuleNumber-200: 214015 607747                                           
X-MatchRuleNumber-200: 75289 903813                                          
X-Action-200: ,D                                                             
Received: from msa.hinet.net([219.163.187.203]) by 21cn.com(AIMC 2.9.5.6)
with SMTP id jmb03eb1f5d0; Fri, 02 May 2003 08:39:36 +0800
From: =?Big5?B?xOO6ww==?= <kfqjq@msa.hinet.net>
Subject: 朋友
To: system2001@21cn.com
Content-Type: multipart/alternative;
 boundary="==002_Dragon470711002887_==";charset="GB2312"
X-Mailer: Foxmail 4.2 [cn]
X-AIMC-AUTH: (null)
X-AIMC-MAILFROM: kfqjq@msa.hinet.net
Message-ID: <mk969497916063.16983@receive1.inner-21cn.co



B25层 发表时间: 05/02 17:19

回复: magic [buaaytt]   论坛用户   登录
邮件头表明:这封邮件是21cn.com这个smtp服务器于02 May 2003 08:39:36收到的kfqjq@msa.hinet.net这个地址的用户用foxmail4.2通过msa.hinet.net这个smtp服务器发送的
这些可以从Received: from msa.hinet.net([219.163.187.203]) by 21cn.com(AIMC 2.9.5.6)with SMTP id jmb03eb1f5d0; Fri, 02 May 2003 08:39:36 +0800看出来
Received: from msa.hinet.net([127.0.0.1]) by 21cn.com(AIMC 2.9.5.6) with SMTP id jm10f3eb2009f; Fri, 02 May 2003 08:39:36 +0800
X-MaxRuleNumber-200: 214015 607747 
XMatchRuleNumber-200: 75289 903813
X-Action-200: ,D
这几行应该是说明这封邮件是收件人通过邮件客户应用程序(foxmail或outlook)收到的,因为200可能是smtp服务器的应答消息
实际上这封邮件的传输过程是很比较简单的,中间没有经过任何中继,只经过了两个smtp服务器,所以可以直接看出发件人的地址来
说得不对的请指教

B26层 发表时间: 05/02 21:02

回复: laievf [laievf]   论坛用户   登录
如果对方是通过工具发的匿名信或telnet smtp。163。com 25,那么查看邮件头还有用吗?

B27层 发表时间: 05/03 08:52

回复: magic [buaaytt]   论坛用户   登录
据我所知,手工通过telnet ip 25这种方法来发邮件是很困难的

B28层 发表时间: 05/03 12:03

回复: laievf [laievf]   论坛用户   登录
不难啊,曾经给自己发过几封,但是如何发送中文邮件啊???~!

B29层 发表时间: 05/13 07:12

回复: magic [buaaytt]   论坛用户   登录
在自己的服务器上发当然容易
你用telnet smtp.sina.com.cn 25发邮件试试

B30层 发表时间: 05/14 11:16

回复: hl82 [hl82]   论坛用户   登录
看看邮件的头的信息了!

B31层 发表时间: 05/16 20:32

回复: miku [miku]   论坛用户   登录
我想大多从匿名服务器发来的邮件是很难追查的。

B32层 发表时间: 05/17 11:00

回复: yutou [yutou]      登录
从头信息上大部分也只能得到邮服的IP,如何能得到发信人的IP,这个问题好象比较深一点,一般需要邮件提供相关服务,还有其它的就靠上面的老大来解决了。


B33层 发表时间: 12/12 09:51

回复: lgf [lgf]   论坛用户   登录
我也收到一封法轮功的信~!

发件人:"Xueming Pan" <epc7801y984@cacs.gov.cn> 收件人:moneybei@163.net
抄送:(无) 发送时间:2003-12-07 17:15:39 优先级:(无)


B34层 发表时间: 12/12 14:15

回复: newmyth21 [newmyth21]   论坛用户   登录
看邮件头信息?
不好意思,我想知道详细一点,有哪位请给指点一下。上面只有一个例子,能不能多几个呀?

B35层 发表时间: 12/17 17:39

回复: whq1015 [whq1015]   论坛用户   登录



B36层 发表时间: 12/18 10:54

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号