6. Internet Protocol Address

IPv4

Sind die Antwort vier in Dezimalschreibweise dargestellte (führende Nullen können unterschlagen werden), durch Punkte von einander getrennte Bytes (= acht Bit), so handelt es sich um eine  IPv4-Adresse.

Die eigene lokale IPv4-Adresse kann man sich wie folgt ausgeben lassen:

GNU/Linux

$ ip address show
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    valid_lft forever preferred_lft forever
2: eno1: mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 2c:4d:54:9d:c3:96 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.21/24 brd 192.168.178.255 scope global dynamic eno1
    valid_lft 6468sec preferred_lft 6468sec

BSD/Unix

$ ifconfig
lo0: flags=8049 mtu 16384
    options=1203
    inet 127.0.0.1 netmask 0xff000000
    inet6 ::1 prefixlen 128
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1
    nd6 options=201
en0: flags=8863 mtu 1500
    ether b8:e8:56:42:f8:0a
    inet6 fe80::64:13c7:3ae3:4e27%en0 prefixlen 64 secured scopeid 0x7
    inet 10.3.1.25 netmask 0xffffff00 broadcast 10.3.1.255
    nd6 options=201
    media: autoselect
    status: active

Microsoft Windows

PS C:\Windows\system32> ipconfig /all

Windows-IP-Konfiguration

    Hostname. . . . . . . . . . . . . : HOST01
    Primäres DNS-Suffix . . . . . . . :
    Knotentyp . . . . . . . . . . . . : Hybrid
    IP-Routing aktiviert. . . . . . . : Nein
    WINS-Proxy aktiviert. . . . . . . : Nein
    DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter Ethernet:

    Verbindungsspezifisches DNS-Suffix: fritz.box
    Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V
    Physische Adresse . . . . . . . . : 2C-4D-54-9D-9F-0D
    DHCP aktiviert. . . . . . . . . . : Ja
    Autokonfiguration aktiviert . . . : Ja
    IPv4-Adresse. . . . . . . . . . . : 192.168.178.21(Bevorzugt)
    Subnetzmaske. . . . . . . . . . . : 255.255.255.0
    Lease erhalten. . . . . . . . . . : Montag, 13. Mai 2019 14:06:25
    Lease läuft ab. . . . . . . . . . : Dienstag, 14. Mai 2019 18:29:50
    Standardgateway . . . . . . . . . : 192.168.178.1
    DHCP-Server . . . . . . . . . . . : 192.168.178.2
    DNS-Server. . . . . . . . . . . . : 192.168.178.3
    NetBIOS über TCP/IP . . . . . . . : Aktiviert

Mit dem Internet wird man selber i. d. R. nicht direkt verbunden sein. Die lokalen IPv4-Adressen sollen per Definition auch nicht weitergeroutet. Weshalb mit dem Internet über die externe IPv4-Adresse des Routers (z. B. der Fritz!Box) kommuniziert wird.

Deine aktuelle IPv4-Adresse im Internet lautet: 18.206.194.134

Hat man fahrlässiger Weise mehr als die unbedingt benötigten Webbrowser-Plugins (z. B. WebRTC) aktiviert, kommen auch Webserver im Internet (z. B. whoer.net) an die interne IPv4-Adresse!

Achtung Schleudergefahr "Verstecken" sich IP-Adressen in mehreren Protokolldateien, kann man auch diese z. B. mit Hilfe eines "regulären Ausdrucks" finden und weiterverarbeiten. (Für mehr Details bitte klicken!)

# IPV4EXTREGEXP="((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"
# /bin/zgrep --extended-regexp \
             --only-matching \
             --no-filename "${IPV4EXTREGEXP}" /var/log/nginx/access.log* \
| /usr/bin/sort \
| /usr/bin/uniq --count \
| /usr/bin/sort --numeric-sort --reverse \
| /usr/bin/awk '$1 >= 100 { print $0; }'
   1493 87.148.0.84
    493 93.230.182.70
    406 213.133.113.83
    389 213.133.113.86
    386 93.230.190.40
    384 213.133.113.84
    370 205.211.169.31
    289 79.211.37.31
    288 178.255.215.98
    210 79.211.37.154
    112 62.214.90.107

In unserem Beispiel lautet der A Resource Record "213.165.66.8".

Linux/BSD/Unix

$ dig A hilfe-center.1und1.de

; <<>> DiG 9.14.1 <<>> A hilfe-center.1und1.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9633
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;hilfe-center.1und1.de. IN A

;; ANSWER SECTION:
hilfe-center.1und1.de. 158 IN A 213.165.66.8

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed May 08 14:55:21 CEST 2019
;; MSG SIZE rcvd: 66

Microsoft Windows

PS C:\Users\user01> nslookup -q=A hilfe-center.1und1.de
Server: fritz.box
Address: 192.168.178.1

Nicht autorisierende Antwort:
Name: hilfe-center.1und1.de
Address: 213.165.66.8

eToolz

eToolz DNS - A RR

Nicht alle IP-Adressen sind weltweit einmalig!

Da man bereits recht früh erkannt hat, dass die 4.294.967.296 (rechnerisch) möglichen IPv4-Adressen schneller als gewollt aufgebraucht sein könnten, hat man Subnetze definiert, die mehrfach in lokalen Netzen vergeben werden können und durch Router nicht weitergeleitet werden.

Diese Subnetze können wiederum in mehrere kleinere Subnetze aufgeteilt werden.

Die Größe eines Subnetzes wird durch eine Netzmaske festgelegt. Im Fall von IPv4 ist diese ebenfalls 4 x 8 Byte = 32 Bit lang. Alle Einsen (1) legen den Teil des gemeinsamen Netzes in der IPv4 fest und der Teil der Nullen (0) stehen als individuelle Adressen für die einzelnen Rechner zur Verfügung. Die Netzmaske kann wie eine IPv4-Adresse (z. B. 255.255.255.0) oder in der CIDR-Schreibweise (z. B. /24) notiert werden. Im Fall der CIDR-Notation gibt die Zahl hinter dem "/" (Schrägstrich) die Anzahl der Einsen (1) in der Netzwerkmaske an.

Besondere Subnetze:

Achtung Schleudergefahr Interessieren einen bei einem "Hausbesuch" sowohl der Netzwerkverkehr als auch eine Statistik über die darin enthaltenen IPv4-Adressen, bietet es sich an, den Netzwerkverkehr zuerst forensisch sauber aufzuzeichnen und im Anschluss z. B. mit tcpdump und ein bisschen Kommandozeilen-Kung-Fu eine Statistik zu erstellen. (Für mehr Details bitte klicken!)

# netsniff-ng -i eth2 -o traffic.pcap -J -H -s
Running! Hang up with ^C!

        1088 packets incoming (6 unread on exit)
        1094 packets passed filter
           0 packets failed filter (out of space)
      0.0000% packet droprate
          12 sec, 489895 usec in total
# tcpdump -r traffic.pcap -n -t ip 2> /dev/null \
  | cut -d " " -f 2,3,4 \
  | tr ">" "\n" \
  | tr -d " :" \
  | cut -d "." -f 1,2,3,4 \
  | sort \
  | uniq -c \
  | sort -nr

[...]

Domain ≠ Hostname

Für eine Rückwärtsauflösung ist der PTR-Resource Record zuständig, z. B.:

Linux/BSD/Unix

$ dig -x 213.165.66.8

; <<>> DiG 9.14.1 <<>> -x 213.165.66.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61396
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;8.66.165.213.in-addr.arpa. IN PTR

;; ANSWER SECTION:
8.66.165.213.in-addr.arpa. 8547 IN PTR hilfe-center.1und1.de.

;; Query time: 26 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed May 08 14:55:56 CEST 2019
;; MSG SIZE rcvd: 89

Microsoft Windows

PS C:\Users\user01> nslookup -q=PTR 213.165.66.8
Server: fritz.box
Address: 192.168.178.1

Nicht autorisierende Antwort:
8.66.165.213.in-addr.arpa name = hilfe-center.1und1.de

eToolz

eToolz DNS - PTR RR

Wird die IP-Adresse rückwärts nicht auf die ursprüngliche Domain aufgelöst, handelt es sich in der Regel um den Hostnamen, den der ISP im Rahmen der Konfiguration des Servers vergeben hat, z. B.:

domain-ermittlung.eu.pn ---( A RR )---> 83.125.22.219 ---( PTR RR )---> f15-www.runhosting.com

Ein Grund dafür kann sein, dass der Kunde selber keine PTR Resource Records anlegen kann (was in der Regel bei Webhosting-Angeboten der Fall ist) oder dieses einfach "vergessen" hat.

Im Fall der Verbindung von Haushalten über Router ins Internet (z. B. ISDNVDSLLTE, ...) handelt es sich in der Regel um Hostnamen, z. B.: p4FD32410.dip0.t-ipconnect.de.

Da IP-Adresse und Hostname zu Zeiten der Zwangstrennung mind. täglich wegwechselt haben, entstand ein entsprechender Markt für Anbieter von Dynamischen DNS, z. B.:

zuhause.dyndns.org ---( A )---> 18.206.194.134 ---( PTR )---> ec2-18-206-194-134.compute-1.amazonaws.com

IPv6

Sind es dagegen acht in Hexadezimalschreibweise dargestellte, durch Doppelpunkte voneinander getrennte „Doppel“-Bytes (= 16 Bit), so handelt es sich um eine IPv6-Adresse.

Der AAAA Resource Record von "www.heise.de" lautet z. B. "2a02:2e0:3fe:1001:7777:772e:2:85" (weil "hilfe-center.1und1.de" keinen AAAA-Record besitzt!).

Linux/BSD/Unix

$ dig AAAA www.heise.de

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> AAAA www.heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33980
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.heise.de. IN AAAA

;; ANSWER SECTION:
www.heise.de. 1356 IN AAAA 2a02:2e0:3fe:1001:7777:772e:2:85

;; Query time: 0 msec
;; SERVER: 10.1.1.11#53(10.1.1.11)
;; WHEN: Sun Oct 11 22:33:24 2015
;; MSG SIZE rcvd: 58

Microsoft Windows

PS C:\Users\user01> nslookup -q=AAAA www.heise.de
Server: fritz.box
Address: 192.168.178.1

Nicht autorisierende Antwort:
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85

eToolz

Leider unterstützt eToolz aktuell keine IPv6-Abfragen!

Folgende IPv6-Subnetze sind für lokale Netzwerke reserviert:

weiter