[Tutoriel] Que se cache t’il derrière cette adresse IP ?

Hello la compagnie.

Petit billet autour de ce que l’on peut faire avec une adresse IP.

Comme introduction, laissez moi vous raconter ceci :
A la création de mon blog en ce mois d’août 2018, je m’étais amusé à installer Matomo comme solution de supervision de suivi statistiques (WebAnalytics), je l’ai gardé deux mois.
C’était bien trop évolué pour moi…, trop de données que je ne voulais pas sur les visiteurs ( Merci les cookies ), en gros Matomo c’est vraiment que pour du SEO.
Alors je l’ai enlevé et en plus ça me rajoutais une surface d’attaque supplémentaire à surveiller. Trop chronophage pour pas grand chose.
Si je vous parle de Matomo, c’est qu’avec on peut suivre les connexions par Pays, par région, et même par ville.
On peut anonymiser tout ça (en cas de dérobage de données, RGPD, toussa toussa, car ce logiciel vous en fournit beaucoup comme dit précédemment), et utiliser une IP que sur ses 16 derniers bits, donc 177.217.X.X imaginons.
Pour géolocaliser les visiteurs d’un site, Matomo utilise GeoIp, ouais toute cette introduction pour en arriver la….Mais c’est mon blog  !
Outre le fait de tracker des utilisateurs, il peut être utile de connaître l’origine d’une IP surtout dans le cadre de l’administration d’un serveur.

Dans un premier temps je vous présente donc le logiciel « Geoip » (Ça va gars, tu te répètes pas ?), il est très utilisé surtout sur le web.
Il est édité par MaxMindDB, fournissant aussi les bases de données d’IP (publiques).
Attention à la licence d’utilisation très restrictive.

On peut aussi utiliser Geoip avec Apache et Iptables.
Voir ces deux billets publiés récemment, d’où mon article, la boucle est bouclée.
https://blog.lecacheur.com/2018/11/27/apache-bloquer-lacces-http-a-certains-pays/
http://www.deltasight.fr/bloquer-pays-regles-iptables-xt_geoip/

Alors pour installer GeoIp sur Debian c’est très simple (et au passage on installe les logiciels qui seront présentés après GeoIp dans l’article):
apt-get install geoip-bin geoip-database geoip-database-extra geoipupdate whois traceroute

Et maintenant moussaillon ?

Déjà faut déterminer ce que l’on veut savoir sur cette IP,  le pays, la ville ? Avec l’incertitude à prendre en compte. Ou peut être juste savoir quel est l’entité et service associé derrière cette IP, un FAI, un hébergeur, un service cloud ?
Les bases que nous allons utiliser sont stockés ici :
ls /usr/share/GeoIP/
GeoIPASNum.dat GeoIPCity.dat GeoIP.dat GeoIPv6.dat

Les noms sont assez parlant, City pour les villes, IP pour les pays et IPASNum pour le numéro du système autonome (AS, désigne un ensemble de routeur gérant un stock d’IP sous la même bannière).

Faisons un test, je fais un ping sur Google, et ensuite je récupère l’IP.

Passons à la pratique (commande en bleu, retour en vert)

geoiplookup -f /usr/share/GeoIP/GeoIPASNum.dat 172.217.18.35
GeoIP ASNum Edition: AS15169 Google LLC
Ici vous voyez le numéro d’AS utilisé, un AS est un ensemble de routeur gérant un lot d’IP au nom de celui à qui il appartient, ici Google.

geoiplookup -f /usr/share/GeoIP/GeoIP.dat 172.217.18.35
GeoIP Country Edition: US, United States
Ici juste le Pays

geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 172.217.18.35
GeoIP City Edition, Rev 1: US, CA, California, Mountain View, 94043, 37.419201, -122.057404, 807, 650
Ici vous obtenez dans l’ordre le pays, l’état ou Région en caractère ISO puis Complet, la ville, le code postal et enfin les coordonnées GPS en degrés décimaux.

Comment exploiter ces données ?

Par exemple avec ce site vous rentrer le numéro de votre « système autonome » (ASnum) obtenu avec votre IP, et vous pouvez voir l’activité généré via celui-ci.
https://k-net-stats.lafibre.info/

Avec ce site vous avez des infos sur votre IP :
https://db-ip.com/. Mais autant utiliser directement GeoIp et ne pas subir les traceurs du site en question.

Avec Google Maps on peut placer sur la carte, d’où provient l’IP en rentrant la position GPS obtenue en degrés décimaux dans la barre de recherche :
Que du beau monde autours de Google, la NASA de partout , un aéroport (sûrement pas le RyanAir du coin), une Épicerie :D, en gros MountainView

Fin de la démo avec GeoIp, les possibilités sont nombreuses, de nombreuses API de tout genre l’utilise.

Maintenant si vous voulez juste avoir les infos légales disponibles sur l’IP (contacter le SysAdmin, reporter un abus liée à une IP, bref de l’administratif), il faut utiliser Whois, en conflit avec le RGPD.
whois 172.217.18.35

Et pour finir avec cet article, si vous voulez voir le chemin emprunté depuis votre pc, en passant par votre routeur/modem puis les différents points d’accès pour atteindre le serveur, ce qu’il vous faut, c’est le logiciel « traceroute ».
traceroute www.google.fr

J’en profite pour affirmer que quand on marche dans la rue on inscrit pas son adresse dans son dos, sur le web commercial qui plus est, cela devrait être encore plus vraie ! Utilisons Tor !

J’espère que cet article vous a plus, ou sera utile (pas à des fins malveillantes !).
Si vous avez des remarques, corrections, compléments, n’hésitez pas et laissez un commentaire 😉

Edit1 : Merci @Tetsumaki & @Cascador, de m’avoir indiqué que le site avait un tit souci. Et des compléments/corrections.


https://www.maxmind.com/en/home
https://fr.wikipedia.org/wiki/Mountain_View_(Californie)
https://fr.wikipedia.org/wiki/Autonomous_System
https://www.torproject.org/projects/torbrowser.html.en

2 réflexions sur « [Tutoriel] Que se cache t’il derrière cette adresse IP ? »

  1. Salut,

    je te conseille d’utiliser goaccess pour analyser tes logs Apache/Nginx. De plus, il peut utiliser les base de données GeoIP.
    Je l’utilise dans un container dans lequel il a été compilé avec l’option « –enable-geoip=mmdb » et j’utilise la base de données suivante : https://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

    Sinon :

    1. Tu veux sans doute parler de Matomo et non Matomoto
    2. Il ne s’agit pas d’une solution de supervision mais d’un outil de mesure de statistiques web (web analytics)
    3. en complément de traceroute, voici 2 commandes qui font la même chose ou plus : tracepath (contenu dans iputils) et mtr (plus complet)

    A+

    1. Hello Tetsumaki.
      J’utilise effectivement goaccess, mais pour le moment de manière primaire.
      Je me suis pas encore renseigné sur ses possibilités,

      Je corrige la coquille merci.
      Pour Matomo Ouais je m’en suis vite rendu compte d’où la désinstallation de celui-ci même si c’était marrant d’avoir des stats poussées j’ai décidé de pas le garder même en complément de goaccess, ça sert a rien..
      Merci pour les commandes supplémentaires 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

4 × un =