domain-ermittlung.de

6. Internet Protocol Address

IPv4

Sind die Antwort vier in Dezimalschreibweise dargestellte (führende Nullen können unterschlagen werden), durch Punkte von einander getrennte Bytes (= acht Bit), so handelt es sich um eine IPv4-Adresse.

Die eigene lokale IPv4-Adresse kann man sich wie folgt ausgeben lassen:

GNU/Linux

$ ip address show


1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000


    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00


    inet 127.0.0.1/8 scope host lo


    valid_lft forever preferred_lft forever


2: eno1:  mtu 1500 qdisc fq_codel state UP group default qlen 1000


    link/ether 2c:4d:54:9d:c3:96 brd ff:ff:ff:ff:ff:ff


    inet 192.168.178.21/24 brd 192.168.178.255 scope global dynamic eno1


    valid_lft 6468sec preferred_lft 6468sec

BSD/Unix

$ ifconfig


lo0: flags=8049 mtu 16384


    options=1203


    inet 127.0.0.1 netmask 0xff000000


    inet6 ::1 prefixlen 128


    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1


    nd6 options=201


en0: flags=8863 mtu 1500


    ether b8:e8:56:42:f8:0a


    inet6 fe80::64:13c7:3ae3:4e27%en0 prefixlen 64 secured scopeid 0x7


    inet 10.3.1.25 netmask 0xffffff00 broadcast 10.3.1.255


    nd6 options=201


    media: autoselect


    status: active

Microsoft Windows

PS C:\Windows\system32> ipconfig /all




Windows-IP-Konfiguration




    Hostname. . . . . . . . . . . . . : HOST01


    Primäres DNS-Suffix . . . . . . . :


    Knotentyp . . . . . . . . . . . . : Hybrid


    IP-Routing aktiviert. . . . . . . : Nein


    WINS-Proxy aktiviert. . . . . . . : Nein


    DNS-Suffixsuchliste . . . . . . . : fritz.box




Ethernet-Adapter Ethernet:




    Verbindungsspezifisches DNS-Suffix: fritz.box


    Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V


    Physische Adresse . . . . . . . . : 2C-4D-54-9D-9F-0D


    DHCP aktiviert. . . . . . . . . . : Ja


    Autokonfiguration aktiviert . . . : Ja


    IPv4-Adresse. . . . . . . . . . . : 192.168.178.21(Bevorzugt)


    Subnetzmaske. . . . . . . . . . . : 255.255.255.0


    Lease erhalten. . . . . . . . . . : Montag, 13. Mai 2019 14:06:25


    Lease läuft ab. . . . . . . . . . : Dienstag, 14. Mai 2019 18:29:50


    Standardgateway . . . . . . . . . : 192.168.178.1


    DHCP-Server . . . . . . . . . . . : 192.168.178.2


    DNS-Server. . . . . . . . . . . . : 192.168.178.3


    NetBIOS über TCP/IP . . . . . . . : Aktiviert

Mit dem Internet wird man selber i. d. R. nicht direkt verbunden sein. Die lokalen IPv4-Adressen sollen per Definition auch nicht weitergeroutet. Weshalb mit dem Internet über die externe IPv4-Adresse des Routers (z. B. der Fritz!Box) kommuniziert wird.

Deine aktuelle IPv4-Adresse im Internet lautet: 18.206.194.21

Hat man fahrlässiger Weise mehr als die unbedingt benötigten Webbrowser-Plugins (z. B. WebRTC) aktiviert, kommen auch Webserver im Internet (z. B. whoer.net) an die interne IPv4-Adresse!

Achtung Schleudergefahr "Verstecken" sich IP-Adressen in mehreren Protokolldateien, kann man auch diese z. B. mit Hilfe eines "regulären Ausdrucks" finden und weiterverarbeiten. (Für mehr Details bitte klicken!)


# IPV4EXTREGEXP="((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"

# /bin/zgrep --extended-regexp \

             --only-matching \

             --no-filename "${IPV4EXTREGEXP}" /var/log/nginx/access.log* \

| /usr/bin/sort \

| /usr/bin/uniq --count \

| /usr/bin/sort --numeric-sort --reverse \

| /usr/bin/awk '$1 >= 100 { print $0; }'

   1493 87.148.0.84

    493 93.230.182.70

    406 213.133.113.83

    389 213.133.113.86

    386 93.230.190.40

    384 213.133.113.84

    370 205.211.169.31

    289 79.211.37.31

    288 178.255.215.98

    210 79.211.37.154

    112 62.214.90.107

In unserem Beispiel lautet der A Resource Record "213.165.66.8".

Linux/BSD/Unix

$ dig A hilfe-center.1und1.de



; <<>> DiG 9.14.1 <<>> A hilfe-center.1und1.de

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9633

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1



;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 65494

;; QUESTION SECTION:

;hilfe-center.1und1.de.		IN	A



;; ANSWER SECTION:

hilfe-center.1und1.de.	158	IN	A	213.165.66.8



;; Query time: 0 msec

;; SERVER: 127.0.0.53#53(127.0.0.53)

;; WHEN: Wed May 08 14:55:21 CEST 2019

;; MSG SIZE  rcvd: 66

Microsoft Windows

PS C:\Users\user01>

nslookup
-q=A hilfe-center.1und1.de



Server:  fritz.box


Address:  192.168.178.1




Nicht autorisierende Antwort:


Name:    hilfe-center.1und1.de


Address:  213.165.66.8

eToolz

Nicht alle IP-Adressen sind weltweit einmalig!

Da man bereits recht früh erkannt hat, dass die 4.294.967.296 (rechnerisch) möglichen IPv4-Adressen schneller als gewollt aufgebraucht sein könnten, hat man Subnetze definiert, die mehrfach in lokalen Netzen vergeben werden können und durch Router nicht weitergeleitet werden.

Diese Subnetze können wiederum in mehrere kleinere Subnetze aufgeteilt werden.

Die Größe eines Subnetzes wird durch eine Netzmaske festgelegt. Im Fall von IPv4 ist diese ebenfalls 4 x 8 Byte = 32 Bit lang. Alle Einsen (1) legen den Teil des gemeinsamen Netzes in der IPv4 fest und der Teil der Nullen (0) stehen als individuelle Adressen für die einzelnen Rechner zur Verfügung. Die Netzmaske kann wie eine IPv4-Adresse (z. B. 255.255.255.0) oder in der CIDR-Schreibweise (z. B. /24) notiert werden. Im Fall der CIDR-Notation gibt die Zahl hinter dem "/" (Schrägstrich) die Anzahl der Einsen (1) in der Netzwerkmaske an.

Besondere Subnetze:

0.0.0.0/0 ("keine" IP-Adresse bzw. der gesamte Adressraum)
127.0.0.0/8 (Loopback: 127.0.0.1-127.255.255.254)
10.0.0.0/8 (ein privates Klasse A-Netz: 10.0.0.1-10.255.255.254)
169.254.0.0/16 (Link Local: 169.254.0.1-169.254.255.254)
172.16.0.0/12 (16 private Klasse B-Netze: 172.16.0.1-172.31.255.254)
192.168.0.0/16 (256 private Klasse C-Netze: 192.168.0.1-192.168.255.254)
224.0.0.0/4 (Multicast)
255.255.255.255/32 (Limited Broadcast)

Achtung Schleudergefahr Interessieren einen bei einem "Hausbesuch" sowohl der Netzwerkverkehr als auch eine Statistik über die darin enthaltenen IPv4-Adressen, bietet es sich an, den Netzwerkverkehr zuerst forensisch sauber aufzuzeichnen und im Anschluss z. B. mit tcpdump und ein bisschen Kommandozeilen-Kung-Fu eine Statistik zu erstellen. (Für mehr Details bitte klicken!)


# netsniff-ng -i eth2 -o traffic.pcap -J -H -s

Running! Hang up with ^C!



        1088  packets incoming (6 unread on exit)

        1094  packets passed filter

           0  packets failed filter (out of space)

      0.0000% packet droprate

          12  sec, 489895 usec in total

# tcpdump -r traffic.pcap -n -t ip 2> /dev/null \

  | cut -d " " -f 2,3,4 \

  | tr ">" "\n" \

  | tr -d " :" \

  | cut -d "." -f 1,2,3,4 \

  | sort \

  | uniq -c \

  | sort -nr

[...]

Domain ≠ Hostname

Für eine Rückwärtsauflösung ist der PTR-Resource Record zuständig, z. B.:

Linux/BSD/Unix

$ dig -x 213.165.66.8



; <<>> DiG 9.14.1 <<>> -x 213.165.66.8

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61396

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1



;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 65494

;; QUESTION SECTION:

;8.66.165.213.in-addr.arpa.	IN	PTR



;; ANSWER SECTION:

8.66.165.213.in-addr.arpa. 8547	IN	PTR	hilfe-center.1und1.de.



;; Query time: 26 msec

;; SERVER: 127.0.0.53#53(127.0.0.53)

;; WHEN: Wed May 08 14:55:56 CEST 2019

;; MSG SIZE  rcvd: 89

Microsoft Windows

PS C:\Users\user01>

nslookup -q=PTR 213.165.66.8



Server:  fritz.box


Address:  192.168.178.1




Nicht autorisierende Antwort:


8.66.165.213.in-addr.arpa    name = hilfe-center.1und1.de

eToolz

Wird die IP-Adresse rückwärts nicht auf die ursprüngliche Domain aufgelöst, handelt es sich in der Regel um den Hostnamen, den der ISP im Rahmen der Konfiguration des Servers vergeben hat, z. B.:

domain-ermittlung.eu.pn ---( A RR )---> 83.125.22.219 ---( PTR RR )---> f15-www.runhosting.com

Ein Grund dafür kann sein, dass der Kunde selber keine PTR Resource Records anlegen kann (was in der Regel bei Webhosting-Angeboten der Fall ist) oder dieses einfach "vergessen" hat.

Im Fall der Verbindung von Haushalten über Router ins Internet (z. B. ISDN, VDSL, LTE, ...) handelt es sich in der Regel um Hostnamen, z. B.: p4FD32410.dip0.t-ipconnect.de.

Da IP-Adresse und Hostname zu Zeiten der Zwangstrennung mind. täglich wegwechselt haben, entstand ein entsprechender Markt für Anbieter von Dynamischen DNS, z. B.:

zuhause.dyndns.org ---( A )---> 18.206.194.21 ---( PTR )---> ec2-18-206-194-21.compute-1.amazonaws.com

IPv6

Sind es dagegen acht in Hexadezimalschreibweise dargestellte, durch Doppelpunkte voneinander getrennte „Doppel“-Bytes (= 16 Bit), so handelt es sich um eine IPv6-Adresse.

Der AAAA Resource Record von "www.heise.de" lautet z. B. "2a02:2e0:3fe:1001:7777:772e:2:85" (weil "hilfe-center.1und1.de" keinen AAAA-Record besitzt!).

Linux/BSD/Unix

$ dig AAAA www.heise.de



; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> AAAA www.heise.de

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33980

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0



;; QUESTION SECTION:

;www.heise.de.			IN	AAAA



;; ANSWER SECTION:

www.heise.de.		1356	IN	AAAA	2a02:2e0:3fe:1001:7777:772e:2:85



;; Query time: 0 msec

;; SERVER: 10.1.1.11#53(10.1.1.11)

;; WHEN: Sun Oct 11 22:33:24 2015

;; MSG SIZE  rcvd: 58

Microsoft Windows

PS C:\Users\user01>

nslookup -q=AAAA www.heise.de



Server:  fritz.box


Address:  192.168.178.1




Nicht autorisierende Antwort:


Name:    www.heise.de


Address:  2a02:2e0:3fe:1001:7777:772e:2:85

eToolz

Leider unterstützt eToolz aktuell keine IPv6-Abfragen!

Folgende IPv6-Subnetze sind für lokale Netzwerke reserviert:

::/128 ("keine" IP-Adresse)
::1/128 (loopback)
fc00::/7 (analog zu den lokalen/privaten IPv4-Netzwerkadressen)
ff00::/8 (Multicast)
ff01::1, ff02::1 ("All Nodes", entspricht dem Broadcast unter IPv4)

weiter