May202018

自己动手清理Mac磁盘空间

作者: 主机迷 分类: Mac
Mac笔记本电脑使用的256G的SSD磁盘,磁盘空间很容易就捉襟见肘,以前使用过一款清理磁盘的软件,效果还行,但它自作主张把qq聊天记录给删光了,再也不敢用了。
这次使用手动清理磁盘,以命令行操作为主(在Mac的实用工具里打开终端执行),记录如下。
1. 删除临时文件
sudo rm -rf /private/var/tmp/*
2. 删除QuickLook快速查看的缓存文件,可以节省出100MB-300MB硬盘空间
sudo rm -rf /private/var/folders/*
3. 移除系统Voices文件,可以节省出500MB到3GB硬盘空间
如果你不使用文字转语音功能,那么你肯定不会使用到OSX内置的Voices文件,你可以删除这些文件重新获得硬盘空间。
sudo rm -rf /System/Library/Speech/Voices/*
如果你执行了命令,那么你将无法使用系统的文字转语音功能。

4. 不使用Emacs的可以删除Emacs,可节省出30MB+的硬盘空间
sudo rm -rf /usr/share/emacs
5. 清除Chrome浏览器的缓存
点击Chrome浏览器右上角的菜单键-工具-清除浏览数据,在弹出的窗口的勾选“缓存的图片和文件”,然后点击“清除浏览数据”按钮即可。

6. 删除所有系统日志
此操作需谨慎,有多人反映删除系统日志后,重开机无法进入系统
sudo rm -rf /private/var/log/*
7. 清除缓存文件
缓存文件有很多种,比如网页浏览记录,应用meta数据等等。这些缓存文件的容量究竟多大跟用户使用的应用有关,也与Mac重启的频率有关。此外,很多在线音乐播放app也会产生大量的缓存文件,我们可以通过下面的命令删除这些缓存文件:
sudo rm -rf ~/Library/Caches/*
8. 禁用SafeSleep休眠模式,能节省出4GB-16GB空间
由于还需要休眠功能,暂时不做处理,具体操作见https://www.macx.cn/thread-2091292-4-1.html

9. 使用“Disk Inventory X”等免费Mac App可以方便的查看磁盘中大文件的分布情况,可自行删除不要的大文件。
例如,QQ文件夹中可能存在大量的图片,可进入QQ图片目录删除500K以上的大图片。
目录为/Users/username/Library/Containers/com.tencent.qq/Data/Library/Application Support/QQ/12345678/Image 其中12345678为qq号

问题:
删除/private/var/log/* 有可能会导致部分软件启动异常,比如系统自带的apache有个日志文件夹在log/apache2,
当删除后apache就出现启动异常了,表现为apachectl start启动无异常提示,但无法打开网站
# sudo httpd
httpd: Could not reliably determine the server's fully qualified domain name, using hostsname.local for ServerName
(2)No such file or directory: httpd: could not open error log file /private/var/log/apache2/error_log.
Unable to open logs
---
修复方法为 sudo mkdir /private/var/log/apache2

参考:
https://www.zhihu.com/question/26377116
https://www.macx.cn/thread-2091292-4-1.html



Apr272018

如何在centos6安装yara

作者: 主机迷 分类: Linux技术

什么是Yara?Yara号称是识别恶意软件的瑞士军刀。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。这是一个Yara规则的例子:

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

在centos6安装Yara的步骤:

wget -c https://github.com/VirusTotal/yara/archive/v3.7.1.tar.gz
tar -zxvf v3.7.1.tar.gz
cd yara-3.7.1
./bootstrap.sh
./configure
make && make install
Jan252018

虚拟货币传销诈骗花样繁多 一年涉案上千亿

作者: 主机迷 分类: 行业内幕
以下为第一财经日报(上海)报导。
[2016年以来裁判文书网所公示的以虚拟货币为幌子的传销诈骗案件多达180余件,涉案总金额高达上千亿元人民币。]
虽然近期包括美国、韩国、中国在内的全球多个国家连续对虚拟货币所带来的风险作出警示并提出相应监管措施,但以比特币为代表的虚拟货币价格依然居高不下,整个市场仍然高烧不止。
在此情况下,众多不法分子也不惜一切代价,利用虚拟货币为幌子,进行诈骗、传销等违法犯罪活动。近日,公安部发文称将联合工商总局重点查处以“虚拟货币”为幌子的网络传销活动,并称此类案件常与非法集资等违法犯罪活动交织,欺骗性强,诱惑力大。
华东政法大学律师事务所研究所所长、教授王俊民对第一财经表示,虚拟货币传销诈骗犯罪行为本质上与其他传销诈骗犯罪相同,鉴于虚拟货币具有可兑换性,或可转换为实际货币,利用虚拟货币诈骗,更具有真假难辨的特征。犯罪分子只是利用普通老百姓知识上的空白,虚拟货币是用于诈骗的一个噱头。
据第一财经不完全统计,2016年以来裁判文书网所公示的以虚拟货币为幌子的传销诈骗案件多达180余件,涉案总金额高达上千亿元人民币,其中90%的案件属于通过发展下线进行各类传销活动。
五花八门的“传销币”盛行
第一财经记者通过梳理发现,在涉及虚拟货币的刑事案件中,90%属于利用虚拟货币进行层级推销的传销案件,上百名涉案人员均以组织或领导传销活动罪被法院依法追究刑事责任。
虽然“亚洲币”、“中华币”、“米米币”、“中富通宝币”、“恒星币”、“维卡币”、“龙币”、“U币”、“善心币”,还有德国某基金开发的二代虚拟货币“利物币”等花样繁多,令人瞠目结舌,但其中的传销“套路”,通常趋于一致。
通常,犯罪分子会通过建立微信群、现场讲解等方式,组织、领导以推销虚拟货币,或要求参加者以缴纳费用购买虚拟货币的方式获得加入资格。此后按照一定顺序组成层级,直接或者间接从下线处获得返利,以高额回报为诱饵,引诱参与者继续发展他人参加,骗取财物。
王俊民分析称,虚拟货币诈骗犯罪与普通诈骗犯罪的区别在于犯罪的直接对象不同。普通诈骗对象为现金货币及财物,虚拟货币犯罪对象则为表现形式各异的虚拟货币。
以“恒星币”传销案为例,广东省遂溪县人民法院和广东省中山市第二人民法院的两份判决书里均涉及这一币种,可见此类传销地域传播性很强。恒星(国际)控股发展有限公司系虚拟货币网络传销组织,恒星币是该组织网络交易平台,参与者在网站内以“挖矿”、提成或买卖恒星币的方式获得利益。
被告人何某还通过线下介绍宣传恒星币,吹嘘恒星币的投资收益及发展前景,引诱他人注册成为恒星币会员并投资购买能挖掘恒星币的“矿机”,按照一定顺序组成层级,以发展下线人员数量及销售“矿机”的数量作为返利的依据,实施网络传销活动。
另有被告人刘某通过创建微信群,以拉人头的方式发展了50名直推下线,并能获得直推会员挖掘恒星币的10%的奖励,随后这50名直推下线继续发展,一共发展了12个层级共计1728名下线人员加入这个虚拟货币网络传销组织。据警方调查,恒星币传销组织涉案人员总计1400余人。
除了涉案人员众多,一些案件的涉案金额也巨大。在江苏省连云港市中级人民法院判处的一起“U币”传销案中,多起案件并发,截至案发,会员投资金额总计7400万元。
判决书显示,2014年以来,泰国优趣集团在境外搭建U币虚拟货币网络交易平台,宣称U币项目合法经营并受监管,投资U币项目具有升值前景,同时以投资者发展下线会员,按照层级顺序可获取动态利益,引诱投资者不断发展下线。具体模式为:投资者缴纳人民币3500元、7000元、35000元、70000元、350000元不等的投资款后,可注册为网站“一星”至“五星”会员。
第一财经此前还报道过一起维卡币传销大案,仅仅因为穿上了比特币这件高科技“马甲”,犯罪分子跨境诈骗金额高达159亿欧元(折合人民币1270亿元)。腾讯安全反欺诈实验室相关负责人此前曾表示,监测发现,国内目前进行交易的此类传销平台总计超过3000多个,涉案金额巨大。
假理财、代购及诈骗防不胜防
除了披着虚拟货币外衣的传销之外,涉及虚拟货币的犯罪还包括发售相关理财产品;以“国内买不到,只能去海外买”为由代购莱特币等虚拟货币;更有甚者直接在网络上以卖“虚拟货币”为名,对亲朋好友实施诈骗。
在安徽省合肥市蜀山区人民法院判处的一起案件中,被告人李某就简单粗暴地做起了“代购”莱特币的买卖。他在微信群中看见陆某想要购买莱特币,便谎称可以帮助陆某购买价值50000元的莱特币。此后,在收到陆某的转账后,又谎称已将价值50000元的莱特币转入陆某账户,并伪造两张虚假的转出截图蒙骗陆某,后一直以系统太慢为由欺骗拖延。
四川省绵阳市游仙区人民法院判处的一则案件中,投资人在没有详细了解实际情况后就投资虚拟货币“利物币”理财项目,此后血本无归。
该投资项目对外宣称,利物币是德国磐石基金开发的第二代虚拟货币,如果要投资利物币,投资者可以进入利物币官方网站进行注册申购,一名投资者最少要交600元人民币才能获得购买1000枚利物币申购激活1台矿机的资格,每天1台矿机可以产生25枚专属于自己的利物币。利物币以0.6元价格出售给自己的上下级从而获利。
另有名叫“中富通宝”的理财项目,对外声称“能保本、赚钱快”,进入乡镇、村庄等消息闭塞地区宣传,诱骗村民通过“中富通宝币”进行“投资理财”,并以“返利”为由诱导村民通过口口相传的方式发展亲朋好友一起“发大财”,使得村民们最终血本无归。
多部委联手重拳出击
针对披着虚拟货币外衣的网络诈骗日益猖獗,公安部近日在其官网发布《公安部国家工商总局部署开展网络传销违法犯罪活动联合整治》,表示将与工商总局联手,重点查处四类网络传销活动,其中就包含以“虚拟货币”为幌子的网络传销活动。
公安部表示,近年来,以“虚拟货币”“金融互助”“爱心慈善”“股权投资”“微商”等为幌子的网络传销层出不穷,并常与非法集资等违法犯罪活动交织,欺骗性强,诱惑力大。尤其随着互联网、微信、QQ等社交软件、自媒体以及第三方支付平台的发展,涉案传销信息传播更为广泛,涉案资金转移更加迅速。
王俊民表示,天上是不会掉馅饼的,防范被骗,关键还在于杜绝贪财心理。公安机关加强对类似犯罪的打击,有关部门加强对虚拟货币监管及宣传,将有效提高社会防范意识。
以公安部官网公布的一则“虚拟货币”特大传销案为例,2016年江苏徐州市公安机关破获一起“网络黄金积分”网络传销案,抓获犯罪嫌疑人49人,冻结、暂扣涉案资金3.8亿元。警方发现市民魏某以购买“全球兑”购物券赠送“网络黄金超级积分”(下称“ES”)为幌子,在“全球共赢商业积分控股集团”会员发展平台上发展会员300余人,注册账号1659个。
“随着会员的增多,需求量增大,ES就会升值,投资人可以将手里的ES出售赚钱。但是,只有上涨5%,才可以解冻相应上涨的部分并予以出售。这样的结果是,前期1元等于1个ES,投入7000元可以买7000个ES,当ES升值成5元,后期的投资人再投资7000元,实际只买到了1400个ES,后期加入的投资人所投资金就被前期投资人赚走。”另一名涉案人员在供述中如是说。
随着ES价格越高,项目吸引力就会下降,交易流动性也会减弱,ES的涨幅就减缓。根据“上涨5%才可解冻提现”的规定,后期投的钱就被套死了。犯罪嫌疑人董某交代,“很少有人能够从中获利,基本都是钱一进来就出不去了”。
虽然全国公安机关与工商部门密切配合,对传销活动持续开展专项打击和常态化整治,连续侦破“善心汇”“五行币”等一大批全国性重大传销犯罪案件,初步遏制了传销活动的猖獗蔓延势头。但公安部也表示传销犯罪问题依然较为突出,特别是网络传销活动,依托互联网病毒式传播蔓延,裹挟大量人员和资金,给广大人民群众造成重大经济损失。
Nov292017

如何查看 linux vps 使用的是 kvm、OpenVZ 还是 Xen

作者: 主机迷 分类: vps主机

vps 买久了,就忘了系统使用的什么虚拟技术了,有一个开源小软件 virt-what 能够检测 vps 使用哪种虚拟化技术。
CentOS 系统使用 yum 安装:
yum install -y virt-what
Debian 和 Ubuntu 可以使用 apt-get 安装:
apt-get install virt-what
安装完成后运行 virt-what 命令就能看到系统的虚拟化技术类型。

Nov022017

关于IP whois入门介绍以及部署实践

作者: 主机迷 分类: 网络安全

这是关于IP whois一篇非常不错的文章,讲了不少IP whois原理方面的东西,解答了不少疑问。

背景

whois分两种,一种是查询域名的,一种是查询IP的。这里说的时候后者。

背景不提,你大可以认为我是闲的蛋疼,毕竟互联网上公开的whois数据库非常多,而且没有任何使用的限制。国内可能有前人摸索过,但是目前还没有在某个平台上看到有人提起,所以才斗胆来写了这篇文章。

说起IP Whois,有不少专业名词,一个个解释不过来,这里只放几个链接,做做科普就好了。

1、AS (维基百科

2、BGP (维基百科

3、RIRs (维基百科

如果你用过whois(Mac下自带的whois工具是用来查询域名的,使用brew安装的是whois3,其他平台上就只有ip的whois)工具,那么你可以留意一下,其实大部分的whois服务器,都是用的是同一套软件,只不过版本不一样而已。

另外,虽然whois使用的非常少,但是依然有相应的协议和规范(RFC3912),所以,即使在不同的平台上进行查询,命令格式、查询结果的格式也都是类似的。

whois常用命令行:

whois3: [-4|-6] [-h host | --host=host] [-p port | --port=port] -k | query

-h 指定查询的whois数据库,五大RIR都有自己的whois数据库,另外有部分第三方提供的数据库。如果未指定,就使用默认的whois.ripe.net

-p whois协议有自己的端口,如果使用自建的whois镜像,可能需要指定端口

query 查询语句有很多种,虽然使用同一套程序,但是不同的数据库,可能会支持不同的功能,如果不知道具体使用什么样的查询语句,可以直接使用下面的命令行来获取帮助信息

whois -h whois.apinc.net --help

IP whois 查询能够提供什么样的信息呢?

1.1.220.2是此前我在测试中捕捉到的一个发送垃圾邮件的IP地址,对这个IP的whois查询结果如下

dbint@whois:~$ whois -h whois.apnic.net 1.1.220.2 % [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
% Information related to '1.1.192.0 - 1.1.255.255' inetnum:        1.1.192.0 - 1.1.255.255 netname:        TOTNET
descr:          Dynamic IP Address for residential Broadband Customers
country:        TH
admin-c:        AG100-AP
tech-c:         AG100-AP
status:         ASSIGNED NON-PORTABLE
mnt-by:         MAINT-TH-TOT
mnt-lower:      MAINT-TH-TOT
mnt-routes:     MAINT-TH-TOT
mnt-routes:     MAINT-TH-TOT-ISP
mnt-irt:        IRT-TOT-TH
changed:        apipolg@tot.co.th 20140525 source:         APNIC
irt:            IRT-TOT-TH
address:        TOT Public Company Limited
address:        89/2 Moo 3 Chaengwattana Rd, Laksi,Bangkok 10210 THAILAND
e-mail:         apipolg@tot.co.th
abuse-mailbox:  abuse@totisp.net
admin-c:        ira3-ap
tech-c:         ira3-ap
auth:           # Filtered mnt-by:         MAINT-TH-TOT
changed:        apipolg@tot.co.th 20150703 source:         APNIC
person:         Apipol Gunabhibal
nic-hdl:        AG100-AP
e-mail:         apipolg@tot.co.th
address:        TOT Public Company Limited
address:        89/2 Moo 3 Chaengwattana Rd, Laksi, Bangkok 10210 THAILAND
phone:          +66-2574-9178 fax-no:         +66-2574-8401 country:        TH
changed:        apipolg@tot.co.th 20110215 mnt-by:         MAINT-TH-TOT
source:         APNIC
% Information related to '1.1.192.0/19AS23969' route:          1.1.192.0/19 descr:          TOT Public Company Limited
origin:         AS23969
mnt-by:         MAINT-TH-TOT
changed:        boy@totbb.net 20120220 source:         APNIC
% Information related to '1.1.192.0/19AS9737' route:          1.1.192.0/19 descr:          TOT Public Company Limited
origin:         AS9737
country:        TH
mnt-routes:     MAINT-TH-TOT
mnt-by:         MAINT-TH-TOT
changed:        apipolg@tot.co.th 20120223 source:         APNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r7-SNAPSHOT (WHOIS1)

我们检索出了IP地址所属的网段,AS号,注册时间,注册组织以及注册组织所属的国家。某些情况下,注册组织可能会上报IP地址的规划情况,那么我们就可以大致的判断出这个地址段是用来做什么的了。

获取看这个链接你会得到更直观的结果:点击查看


4134是中国CN2(百度百科)网络的AS号。基本上在国内,必须要接入CN2网络,才能连接到互联网(没有具体考证,从08年前后电信泄露的文档中推断出来的)

只从上面的图中,1.92.0.0/13这个段被直接分别分配给了一个公司,相比之下,某些身份只能拿到一些零散的C段,那么这个公司一定是一个很有分量的公司。

实际上这些数据都是AS注册组织向RIR机构上报的信息,因为层层上报的原因,在加上RIR机构是完全没有办法来判断是到底有没有虚报,所以这些信息仅仅只能作为一个参考作用。

从4134所有网段的描述信息里,还是找到了几个IDC的网段。有兴趣的可以自己尝试一下。

除了这些信息,whois数据对威胁情报,也起到了不小作用。比较直观的一点就是,IP地址的分配是动态的,并不是说DHCP那个动态,而是,尽管IP地址资源有限,还是有会一些IP地址出现冗余,被回收和重新分配。

一个主要的原因是,欧美地区在推行IPv6的同时,一些IPv4的地址就不再需要了,空出来的这部分就被释放掉,交回RIR进行重新分配,然后又有其他的机构去申请使用。所有会出现,一个IP地址,可能上个月是欧洲的,这个月就变成了中国的。

另外,对于腾讯和阿里,拥有自己的AS号,是可以直接从whois数据中检索出他们所拥有的全部地址段的。

这里要介绍的,是自建whois镜像,每个人有自己关注的点,如何从whois数据库中找到你需要的信息,是因人而异的。只是看不惯很多whois查询站点数据不准,还没完没了的验证码和广告,觉得有必要分享给大家。

系统环境准备

whois server正常运行需要的内存不大,但是初次导入数据的时候需要消耗巨大的内存。官方的文档里推荐至少8G内存,8GSWAP,至少120G磁盘空间。

实践下来,CentOS下需要调整很多内核设置,而且最终运行效果也不是很理想,所以不推荐用CentOS来承载。

在CentOS下失败了多次之后,在Ubuntu上一次部署成功。所以推荐的,还是Ubuntu(我使用的是Ubuntu Server 14.04 x64)

需要JDK1.8

需要Mariadb 5.5

需要Maven

需要make(Ubuntu Server默认是没有gcc和make工具的)

需要gcc

需要jmx (jmx下载地址  Mac下jmx有BUG,无法使用,就别折腾了)

增强配置

由于在初次导入数据的时候需要对文本进行大量的解析,如果你打算把whois服务器开放的话,查询量也会很大所以需要对系统和Mariadb的配置做一些调整。

sysctl -w kern.maxfiles=1048600

sysctl -w kern.maxfilesperproc=1048576

如果使用的是Ubuntu Server这两条配置默认是满足的,可以不考虑其它的。

MariaDB虽然接近于MySQL,我没有尝试使用MySQL来做whois数据的存储。

一些配置如下:

max_allowed_packet = 20M

wait_timeout = 31536000

innodb_buffer_pool_size = 2356M

innodb_additional_mem_pool_size = 32M

编译安装

源码地址:下载地址

下载并且解压,然后在whois源码目录中运行:

mvn clean install -P release 

编译过程可能要很长时间,我自己的机器上,编译了整整一天。-_-|||

建立数据库结构

初始化数据库的脚本放在whois-commons/src/main/resource/目录下

dbint@whois:~/whois/whois-commons/src/main/resources$ ls -alh
total 100K
drwxrwxr-x 3 dbint dbint 4.0K May  2 22:50 .
drwxrwxr-x 4 dbint dbint 4.0K May  2 22:50 ..
-rw-rw-r-- 1 dbint dbint 5.3K May  2 22:50 acl_schema.sql
-rw-rw-r-- 1 dbint dbint 3.7K May  2 22:50 applicationContext-commons.xml
-rw-rw-r-- 1 dbint dbint 4.6K May  2 22:50 dnscheck_schema.sql
-rw-rw-r-- 1 dbint dbint 1.3K May  2 22:50 internals_data.sql
-rw-rw-r-- 1 dbint dbint 2.4K May  2 22:50 internals_schema.sql
-rw-rw-r-- 1 dbint dbint 2.3K May  2 22:50 mailupdates_schema.sql
drwxrwxr-x 2 dbint dbint 4.0K May  2 22:50 patch
-rw-rw-r-- 1 dbint dbint   35 May  2 22:50 version.properties
-rw-rw-r-- 1 dbint dbint 1.2K May  2 22:50 versions_schema.sql
-rw-rw-r-- 1 dbint dbint  123 May  2 22:50 whois_data.sql
-rw-rw-r-- 1 dbint dbint 4.3K May  2 22:50 whois.properties
-rw-rw-r-- 1 dbint dbint  34K May  2 22:50 whois_schema.sql

其中,xxxx_schema.sql就是用来建立数据库结构的脚本,其他的脚本不要动,实践证明,没啥卵用。

whois.properties是whois的核心配置文件,后面会给出我的配置样例。

数据库结构包括:

LOCAL—————————————-使用whois_schema.sql初始化

ACL_LOCAL——————————–使用acl_schema.sql初始化

DNSCHECK_LOCAL———————使用dnscheck_schema.sql初始化

MAILUPDATES_LOCAL—————–使用mailupdates_schema.sql初始化

INTERNALS_LOCAL———————使用internals_schema.sql初始化

这几个表是必须的,哪怕你根本不用acl和mailupdate的功能,这几个schema也必须要有。

另外,由于我们要建立的是一个完整的whois镜像,所以每一个镜像源需要有一个与之对应的schema。

我只镜像了五大RIR的数据,所以有五个镜像schema。

WHOIS_MIRROR_RIPE_GRS

WHOIS_MIRROR_APNIC_GRS

WHOIS_MIRROR_ARIN_GRS

WHOIS_MIRROR_AFRINIC_GRS

WHOIS_MIRROR_LACNIC_GRS

以上五个schema,都使用whois_schema.sql来初始化。

如果需要,可以考虑添加RADB和JIRR的数据,实际上,这两个RIR机构的数据也是包含在APNIC的数据里面的,我没有添加。

whois主程序使用空密码的dbint账户来连接数据库,可以用下面的方式来创建账户:

CREATE USER 'dbint'@'localhost' IDENTIFIED BY '';GRANT ALL PRIVILEGES ON *.* TO 'dbint'@'localhost';FLUSH PRIVILEGES;

我当然知道这有点不安全,反正数据都是别人的,你拿走也没有任何意义,就这样配置好啦。

如果你想自己指定一个账户也行,但是你必须在后面的配置文件里详细写清楚。

whois配置

1、把之前下载的jmxterm-<my version>-uber.jar复制到whois源码目录下

2、把whois-commons/src/main/resource/whois.properties文件复制到whois源码目录下,并改名为properties

3、maven编译生成的主程序文件在whois-db/target/whois-db-1.87.jar,使用不同的发行版本编译,得到的文件名会有所差异,自行区分。需要把这个包复制到whois源码目录下。

4、运行whois的一些在tools目录中,把这些文件全部拷贝到whois源码目录中。

5、修改whois.init脚本,把其中JMXTERMPATH修改为之前下载的jmx文件的文件名。

6、在whois源码目录下,创建空的var文件夹(dump文件,日志,export文件都会放在这里面)

7、修改properties文件(这里是大头,官方文档中没有完全说明,我摸索了好久才理解的,经管理解了,但是依然巨坑无数,所以,各位如果有好的办法,请务必分享一下)

# The main / default whois source (RIPE|TEST) whois.source=LOCAL
whois.additional.sources=RIPE-GRS,APNIC-GRS,LACNIC-GRS,AFRINIC-GRS,ARIN-GRS# 默认情况下,whois只对LOCAL做数据查询,但是我们的镜像数据分散在多个schema中,所以需要额外添加。注意,不需要写完整的shema名,whois会自动把source name转换成WHOIS_MIRROR_(SOURCE_NAME)的形式 # GRS是whois的自动跟新机制,每天凌晨自动同步数据,不需要深究 # Service ports #设定whois数据的监听端口 port.query=8187 #whois协议有专门的端口,我使用的是8187 port.api=8188 #ripe-ncc提供的whois server也可以使用RESTful接口 port.nrtm=0 #拒绝给其他服务器提供nrtm数据更新服务 # File system locations dir.rpsl.export=var${jvmId:}/export dir.rpsl.export.tmp=var${jvmId:}/export_tmp
dir.rpsl.export.internal=internal
dir.rpsl.export.external=dbase_new
dir.rpsl.export.external.legacy=dbase
dir.freetext.index=
dir.update.audit.log=var${jvmId:}/log/audit
dir.grs.import.download=var${jvmId:}/grs
freetext.index.update.interval.msecs=60000 # API configuration api.rest.baseurl=http://rest.db.ripe.net #使用五大RIR机构的数据来进行同步,还有部分小的RIR机构,包含在了五大机构的数据中 # Comma separated list of GRS sources grs.sources=RIPE-GRS,APNIC-GRS,LACNIC-GRS,AFRINIC-GRS,ARIN-GRS
grs.sources.dummify=# Comma separated list of IP ranges from which sensitive operations are accessible #whois server完全没有身份验证,所有的安全防护都通过限制IP地址进行。这里限制的是某些敏感操作 ipranges.trusted=127.0.0.1,::1 # Comma separated list of IP ranges from which the OSI layer2 load balancer health checks are executed from #设置whois服务监听地址 ipranges.loadbalancer=127.0.0.1,::1 # Mail properties # RIR的会员组织可以通过邮件的方式来接收更新数据,不是member就不需要这项了 mail.smtp.enabled=false mail.smtp.host=
mail.from=RIPE Database Administration local <unread@ripe.net>
mail.update.threads=2 mail.dequeue.interval=1000 mail.smtp.retrySending=true # NRTM server # 不启用NTRM更新,也是RIR会员组织专项 nrtm.enabled=false nrtm.update.interval=15 # NRTM client nrtm.import.enabled=false nrtm.import.sources=# RpslExport rpsl.export.enabled=true # GRS source-specific properties to acquire dumps grs.import.enabled=true grs.import.sources=RIPE-GRS,APNIC-GRS,LACNIC-GRS,AFRINIC-GRS,ARIN-GRS# GRS RIPE-NCC grs.import.ripe.resourceDataUrl=ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-extended-latest grs.import.ripe.download=ftp://ftp.ripe.net/ripe/dbase/ripe.db.gz grs.import.ripe.source=RIPE-GRS# GRS APNIC grs.import.apnic.resourceDataUrl=ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest #grs.import.apnic.download= # APNIC没有完整的dump数据,都是分散的,所以我采用了多次导入的方式grs.import.apnic.source=APNIC-GRS # LACNIC是唯一一家不提供归档数据的,所以需要注册成为一个会员,通过其他的方式来获取数据,即使注册了会员,也啥都看不到 # GRS LACNIC grs.import.lacnic.resourceDataUrl=ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest #grs.import.lacnic.userId= #grs.import.lacnic.password= grs.import.lacnic.source=LACNIC-GRS# GRS AFRINIC grs.import.afrinic.resourceDataUrl=ftp://ftp.afrinic.net/stats/afrinic/delegated-afrinic-extended-latest grs.import.afrinic.download=ftp://ftp.afrinic.net/dbase/afrinic.db.gz grs.import.afrinic.source=AFRINIC-GRS# GRS ARIN # ARIN的数据也存在一个比较严重的问题,他提供的dump文件格式不是whois所接受的,也没有像APNIC那种分散的归档文件,所以暂时是空的 grs.import.arin.resourceDataUrl=ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest grs.import.arin.download=
grs.import.arin.source=ARIN-GRS#GRS RADB #grs.import.radb.download=ftp://ftp.radb.net/radb/dbase/radb.db.gz #grs.import.radb.source=RADB-GRS # GRS JPIRR #grs.import.jpirr.docwnload=ftp://ftp.nic.ad.jp/jpirr/jpirr.db.gz #grs.import.jpirr.source=JPIRR-GRS # SSO translation properties crowd.rest.url=http://crowd.prepdev.ripe.net:8095/crowd crowd.rest.user=db
crowd.rest.password=evarylli# Unref cleanup unrefcleanup.enabled=false unrefcleanup.deletes=false whois.countrycodes=AD,AE,AF,AG,AI,AL,AM,AO,AQ,AR,AS,AT,AU,AW,AX,AZ,BA,BB,BD,BE,BF,BG,BH,BI,BJ,BL,BM,BN,BO,BQ,BR,BS,BT,BV,BW,BY,BZ,CA,CC,CD,CF,CG,CH,CI,CK,CL,CM,CN,CO,CR,CU,CV,CW,CX,CY,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,EH,ER,ES,ET,EU,FI,FJ,FK,FM,FO,FR,GA,GB,GD,GE,GF,GG,GH,GI,GL,GM,GN,GP,GQ,GR,GS,GT,GU,GW,GY,HK,HM,HN,HR,HT,HU,ID,IE,IL,IM,IN,IO,IQ,IR,IS,IT,JE,JM,JO,JP,KE,KG,KH,KI,KM,KN,KP,KR,KW,KY,KZ,LA,LB,LC,LI,LK,LR,LS,LT,LU,LV,LY,MA,MC,MD,ME,MF,MG,MH,MK,ML,MM,MN,MO,MP,MQ,MR,MS,MT,MU,MV,MW,MX,MY,MZ,NA,NC,NE,NF,NG,NI,NL,NO,NP,NR,NU,NZ,OM,PA,PE,PF,PG,PH,PK,PL,PM,PN,PR,PS,PT,PW,PY,QA,RE,RO,RS,RU,RW,SA,SB,SC,SD,SE,SG,SH,SI,SJ,SK,SL,SM,SN,SO,SR,SS,ST,SV,SX,SY,SZ,TC,TD,TF,TG,TH,TJ,TK,TL,TM,TN,TO,TR,TT,TV,TW,TZ,UA,UG,UM,US,UY,UZ,VA,VC,VE,VG,VI,VN,VU,WF,WS,YE,YT,ZA,ZM,ZW
whois.languagecodes=ab,aa,af,ak,sq,am,ar,an,hy,as,av,ae,ay,az,bm,ba,eu,be,bn,bh,bi,bs,br,bg,my,ca,ch,ce,ny,zh,cv,kw,co,cr,hr,cs,da,dv,nl,dz,en,eo,et,ee,fo,fj,fi,fr,ff,gl,ka,de,el,gn,gu,ht,ha,he,hz,hi,ho,hu,ia,id,ie,ga,ig,ik,io,is,it,iu,ja,jv,kl,kn,kr,ks,kk,km,ki,rw,ky,kv,kg,ko,ku,kj,la,lb,lg,li,ln,lo,lt,lu,lv,gv,mk,mg,ms,ml,mt,mi,mr,mh,mn,na,nv,nb,nd,ne,ng,nn,no,ii,nr,oc,oj,cu,om,or,os,pa,pi,fa,pl,ps,pt,qu,rm,rn,ro,ru,sa,sc,sd,se,sm,sg,sr,gd,sn,si,sk,sl,so,st,es,su,sw,ss,sv,ta,te,tg,th,ti,bo,tk,tl,tn,to,tr,ts,tt,tw,ty,ug,uk,ur,uz,ve,vi,vo,wa,cy,wo,fy,xh,yi,yo,zu
whois.maintainers.power=RIPE-NCC-HM-MNT
whois.maintainers.enduser=RIPE-NCC-END-MNT
whois.maintainers.legacy=RIPE-NCC-LEGACY-MNT
whois.maintainers.alloc=RIPE-NCC-HM-MNT,RIPE-NCC-HM-PI-MNT
whois.maintainers.enum=RIPE-GII-MNT,RIPE-NCC-MNT
whois.maintainers.dbm=RIPE-DBM-MNT,RIPE-NCC-LOCKED-MNT,RIPE-DBM-STARTUP-MNT,RIPE-DBM-UNREFERENCED-CLEANUP-MNT,RIPE-ERX-MNT
whois.dummy_role.nichdl = DR1-TEST# Source aware data sources # 如果你为whois指定了特定的数据库账户。需要在下面指定 whois.db.driver=org.mariadb.jdbc.Driver
whois.db.master.driver=net.ripe.db.whois.common.jdbc.driver.LoggingDriver
whois.db.master.url=jdbc:log:mariadb://localhost/LOCAL;driver=org.mariadb.jdbc.Driver whois.db.master.username=dbint
whois.db.master.password=
whois.db.slave.url=jdbc:mariadb://localhost/LOCAL whois.db.slave.username=dbint
whois.db.slave.password=
whois.db.grs.master.baseurl=jdbc:mariadb://localhost/WHOIS_MIRROR whois.db.grs.slave.baseurl=jdbc:mariadb://localhost/WHOIS_MIRROR # 这里配置的只是数据库的前缀,每添加一个GRS数据源,就要建立一个相应的数据库,命名方式是WHOIS_MIRROR_(SOURCE_NAME) # 后面这部分的设置基本上没什么用,不用改动 # Common data sources mailupdates.database.url=jdbc:mariadb://localhost/MAILUPDATES_LOCAL mailupdates.database.username=dbint
mailupdates.database.password=
dnscheck.database.url=jdbc:mariadb://localhost/DNSCHECK_LOCAL dnscheck.database.username=dbint
dnscheck.database.password=
acl.database.url=jdbc:mariadb://localhost/ACL_LOCAL acl.database.username=dbint
acl.database.password=
internals.database.url=jdbc:mariadb://localhost/INTERNALS_LOCAL internals.database.username=dbint
internals.database.password=#Feature Toggles feature.toggle.changed.attr.available=true

数据导入和更新

首先,启动whois服务:

./whois.init start

在var/console.log中可以看到whois运行的一些信息,会有很多错误,但是只要whois能够成功运行,问题就不大。

使用jmx-term来下发数据导入的任务

./whois.init jmx

>bean net.ripe.db.whois:name=GrsImport

>run grsImport "RIPE-GRS" "first"

grsImport有两个参数,第一个表示要导入的数据源,名字必须跟porperties中指定的grs.import.ripe.source对应,第二个参数只是注释,用来区分每一次操作。

数据源可以直接指定“all”,一次性下发所有数据源的导入任务。但是由于APNIC,ARIN和LACNIC的数据都存在一些问题,不建议这么干。

同理,导入APNIC的数据可以这样:

>run grsImport "APNIC-GRS" "first"

停止whois服务:

./whois.init stop

如果数据正在更新,会等待更新完毕才退出,所以退出之前请确认没有数据导入的任务正在执行。

注:数据导入会消耗非常长的时间,我在工作站上运行的,光导入初始数据就花了两天。

whois server会每天自动同步,前提是你所指定的每一个grs source都已经完成了初始化导入并且配置了更新文件的路径。(更新文件路径在我给出的配置文件中已经帮你写好了,但是ARIN和LACNIC的初始数据导入有不少问题,暂时不建议使用。)

另外,APNIC的数据没有提供完整的dump文件,而是把一个dump文件拆分成了多个部分。

最终我的办法如下:

1、在配置文件中不配置APNIC的初始化数据文件。

2、在whois程序目录创建dump文件夹

3、下载https://ftp.apnic.net/apnic/whois/中的所有.gz压缩文件到dump目录

4、使用jmx强制导入

./whois.init jmx

>bean net.ripe.db.whois:name=Bootstrap 

>run loadDumpRisky initialimport dump/压缩文件.gz

导入过程中会产生大量错误,但是最终数据还是可以用的。每有一个压缩文件,就得手工导入一次。

使用whois查询

前面提到有Linux/Mac平台下有whois工具可以使用

本地镜像导入之后,就可以使用下面的命令行来做查询了。

whois -h 127.0.0.1 -p 8187  query

同时,whois server也提供了REST API,这个我还没有研究透,暂时不讨论。官方的文档里有比较详细的介绍。

如果你需要在程序中使用whois的API,可以参考官方的说明文档 RIPE-NCC Whois RIPE API

查询单个IP的基本格式是:

http://127.0.0.1:8188/whois/search?source={source}&query-string={query}

比如,查询1.1.220.2:

http://127.0.0.1:8188/whois/search?source=apnic-grs&query-string=1.1.220.2

返回结果可以是json或xml,可以用accept-content 来指定。

另外,RIPE官方也提供了比较完整的API,如果你懒得折腾,但是又很需要这些数据,可以直接使用RIPE-NCC官方的数据:http://rest.db.ripe.net/ 

一些心得

你可能会觉得,源码是别人的,文档也是别人的,我这篇文章到底有啥意义。咳咳,你自己折腾一遍你就知道了,真的是很多很多的坑……

官方的文档根本不是提供给我们看的,而是提供给各家RIR机构的。虽然官方说明了几种不同的数据导入方式,但是每一种都100%会失败。

你也可能觉得,反正网上有别人做好的whois服务器,直接用别人的就好了,干嘛自己费这么大劲儿去折腾。

其实,很简单,当全球的网段划分信息都摆在你面前的时候,你会懂我的。

如何分析?

这个我想等各位来帮我补充,诸如从whois数据中筛选出腾讯云和阿里云的全部IP地址段,这种我觉得都没啥意思了。算是抛砖引玉吧。

对于做威胁情报的平台,whois数据中会更新IP地址的变化,一旦IP地址被重新分配,那么此前的情报用处就不大了。目前IBM就是这么做的,在情报时间线中标明了某一个时刻,某一家RIR机构宣布IP地址的归属发生了变化,这个时刻以前的数据,就只能作为一个参考,而不作为评估依据。

每天大概会有4000个IP段发生变化,还是值得关注一下的。还有就是,AS存在一个挂载的问题,注册信息里显示国家为CN的AS,有不少,但绝大部分都挂载在AS4134下面,这个可以很直观的看出来。

其他类似的AS也有不少,这些AS就是全球的互联网的承载,或者叫骨干网。设想一下,如果这些网络的骨干节点被攻击,可能影响到的就是半个地球的人了(稍微夸大了一下,应该不会那么容易被攻击的)。

从这些数据里,可以简单的识别出一些IP地址的归属和具体用途,前面也提到了。对Desc字段中包含 Co., Ltd的IP地址段做筛选,可以罗列出不少IDC的地址段。某些ISP甚至会标注IP段是不是用来做宽带地址池的,或者做静态线路的。

期待大家来发掘这份数据吧。任何关于whois服务器的问题,可以在微博上戳我@戒小贤。后续我把数据源准备完毕,可能会考虑开放我们的数据库以及我们的一些分析结果。感谢@宫一鸣cn及时点拨,我才没有走错路。^_^

* 作者:戒贤,转载自FreeBuf


主机迷 is powered by Typecho