# 一个来自保留IP地址的连接


昨天看了一篇文章，文章最后使用IP logger进行钓鱼，最后记录下来的IP地址让我大跌眼镜

万万没有想到，记录下来的IP地址竟然是是 244.242.105.51

![Logger](ip-logger.png)

这可是一个E类IP地址，是属于保留地址，是未来用来做ip研究用的，目前并没有开放使用啊

考虑到文章中是对一个地下黑客组织进行钓鱼，所以我有理由相信，这个访问记录是通过某种高超的我从来没有听说过的手段实现的

IP Logger为啥会记录到这样一个IP的访问呢？ 这个问题一直到现在都在困扰我

下面记录一下我对这个的分析

## 大端？小端？

众所周知计算机程序根据cpu架构和操作系统种类不同，数据在内存中存放有大端序和小端序两种情况，这个顺序叫做主机序

而网络传输需要在不同主机序的计算机之间兼容，所以又规定了一个网络序，规定网络传输一律使用大端序

文章中作者猜测是访问者使用的主机是小端序的，所以会又这样一个记录

我个人认为这个猜测不成立

因为一般ip层报文都是由操作系统网络栈来构造的，操作系统自身不会犯忘记转换成网络序的错误

即使是访问者技术高超自己写代码构造的ip包，那源ip是E类ip地址，返程的ip包根本没有路由啊，这样子连tcp连接都建立不了，更不要谈ip logger记录下浏览器的user-agent

## Tor?

考虑到记录下来的user-agent与tor浏览器的一致，并且对方是黑客组织，使用tor也是非常普遍，所以分析一下通过tor能不能实现伪造自己的ip为E类ip

tor连接的流程中，每个tor relay不会知道完整的路由路径，只知道上一个节点与下一个节点，并且这个路由是在应用层实现的，如果黑客控制了某些tor relay，通过这些relay能不能实现这个伪造？

### 提供onion service

如果ip logger提供onion service，那他记录下来的ip应该是 会合节点的ip

通过我上一篇博客学习的内容可以知道，这个会合节点是由客户端选择的，所以我们假设黑客这里选择了自己控制的某个tor relay作为会合节点，并且将这个E类ip地址写在介绍信中发送给介绍节点

ip logger服务器如果没有怀疑这个E类IP地址，通过tor网络去连接这个会合节点，那在它的exit relay那里一定会连不上这个ip，因为会出现空路由

所以如果要让连接成功建立，必须让ip logger到会合节点的relay路径中某个relay节点对这个错误的ip进行了更正，最简单的是控制exit relay，检查到最终访问的是错误ip便进行更正

而这个relay路径中的每个relay都是ip logger自己选择的，所以黑客需要控制tor网络中的大部分relay????这不现实！！！

### 不提供onion service

如果ip logger不是提供onion service，而是提供公开的服务，那它记录下来的应该是 黑客选择的exit relay，即使黑客控制了这个relay也没办法伪造ip啊

所以通过tor的某些机制伪造成这个E类ip不太现实

## 路由劫持？

我对公网的路由不太了解，但是看样子进行路由劫持是有可能的

如果黑客创建了一条假的路由路径，并在路由途中的某个节点对这个E类ip进行更正，也是有可能的，不过看起来难度很大啊

> 才疏学浅，文中可能有错误，欢迎指正
> 目前这个问题还在困扰我，如果有大佬知道答案，希望能够告诉我