Информационные агентства иногда сообщают о том, что какая-то организация взяла на себя ответственность за совершение очередного террористического акта, путем размещения сообщения на общественном информационном ресурсе. В сентябре 2004 года, в подозрении в причастности к террористической организации, была задержана группа лиц, которая размещала подобные сообщения на Интернет форумах. В данном случае необходимо рассмотреть как минимум два момента: 1) Действительно ли они являются пособниками террористов 2) Данный случай лишь проявление компьютерного хулиганства И в первом и во втором случае необходимо найти компьютер, с которого было отправлено данное сообщение. Факт несанкционированного доступа в компьютерную систему обнаружить и доказать сложно. Но еще сложнее найти того, кто осуществил взлом этой системы. Необходимо найти компьютер, с которого осуществлялась атака. Примеров необходимости идентификации того, кто находится на другом конце провода, можно привести достаточное количество. При этом необходимо учесть, что далеко не каждый, кто заходит на ваш сайт является потенциальным террористом или хакером. Стоит задача создания системы выявления и идентификации удаленного пользователя, которая смогла бы собрать максимальную информацию о посетителе, не нарушая при этом его прав.

С точки зрения информатики наиболее важными представляются сведения, характеризующие свойства информации: объективность, полнота, достоверность, адекватность, доступность и актуальность. Что бы уверенно говорить об этих качествах, была разработана программа, которая работает в реальном времени. (Рис 1) Т.е. идентификация пользователя происходит в тот же самый момент, когда он заходит на определенную страничку, отправляет сообщение на форуме и т.д. Рассмотрим основные функции работы программы Redirect WITS При соединении с определенном портом сервера (порт, на который прослушивает программа на входящие соединения) в основном списке появляется еще одна запись, содержащая в себе: время, IP адрес посетителя, строка запроса на станицу. На вкладке отчет представлен общий отчет о подключении.

Любые HTTP заголовки в себе несут определенную информацию об их отправителе. (Рис 2). Они показаны на вкладке «HTTP заголовки» Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */* Accept-Language: ru User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; Maxthon; .NET CLR 1.1.4322) Host: 213.156.223.132:8080 Connection: Keep-Alive
Приблизительно так выглядит заголовок HTTP запроса. Откуда мы можем сказать, что язык пользователя – русский (Accept-Language: ru), его браузер – Internet Explorer 5.01 (MSIE 5.01), операционная система – Windows 2k (Windows NT 5.0). Так же здесь содержится техническая информация о подключении. Так же здесь содержится строка Cookie.

Вкладка трассировка маршрута представляет собой визуальную информацию о ходе пакетов от удаленного пользователя до конечного сервера. В визуальной базе данных содержится информация о 126 странах мира и о 65 крупных Российских города.

Данная вкладка выводит информацию о переменных окружения. Они представляют особый интерес, т.к. в них может содержаться информация о клиенте, даже если он использует прокси сервер. Ничего удивительного нет в том, тот, кому есть что скрывать, желает остаться анонимным. А любой пользователь всемирной паутины, желающий остаться анонимным, должен использовать прокси серверы. Какие бывают прокси серверы.

- HTTP-прокси. Самые распространенные прокси, которые позволяют работать по HTTP и (иногда) FTP протоколам. Степень обеспечиваемой анонимности определяется переменными окружения, которые прокси передают конечному серверу. Самые значимые из них – REMOTE_ADDR (IP-адрес клиента/прокси), HTTP_VIA (информация о прокси сервере), HTTP_X_FORWARDING_FOR (реальный IP-адрес клиента). HTTP-прокси также делятся на прозрачные, анонимные и искажающие. Прозрачные не только не скрываю своего присутствия, но и выдают всю информацию о клиенте. Основные задачи у них – кэширование информации и организация совместного доступа в Интернет с нескольких машин. Анонимные строку HTTP_X_FORWARDING_FOR заменяют своим IP адресом. А искажающие в эту строку пишут произвольный IP.
- Socks-прокси. Этот тип прокси работает не только по HTTP и FTP, но и по любому другому TCP/IP протоколу прикладного уровня (FTP, POP3, SMTP и т.д.). Дело в том, что SOCKS не обрабатывает информацию, а просто передает данные от клиента к серверу, играя роль посредника. Поэтому нет привязки к конкретному протоколу. Выделяют две основных версии SOCKS: 4 и 5. Пятая версия умеет использовать не только TCP, но и UDP соединения.
- CGI-прокси. В последнее время появилась еще одна группа прокси – анонимайзеры. Это скрипты, которые сами выкачивают удаленную веб-страницу и выдают ее браузеру пользователя. В общем случае необходимо установить сам факт использования прокси сервера, а как частный – установление реального IP адреса пользователя.

Вкладка Дополнительная информация отображает результат запроса о IP адресе клиента в сервис WhoIs. Типично эта информация выглядит так:

inetnum: 213.156.223.0 - 213.156.223.255
netname: KRAFT-S
descr: Dynamic IP pool for access server
descr: usr1.kraft-s.ru
country: RU
admin-c: VPA1-RIPE
admin-c: AS13450-RIPE
tech-c: GZ1032-RIPE
tech-c: AS13450-RIPE
status: ASSIGNED PA
notify: hostmaster@kraft-s.net
mnt-by: KRAFT-S-NOC
changed: tingor@kraft-s.ru 20011017
source: RIPE
route: 213.156.192.0/19
descr: KRAFTSNET
descr: Samara Commerce Network
descr: Supported by Kraft-S JSC
origin: AS13227
notify: admin@kraft-s.ru
mnt-by: KRAFT-S-NOC
changed: tingor@kraft-s.ru 20000905
source: RIPE
person: Sergey Y. Afonin
address: Kraft-S jsc
address: 156 Sadovaya str, Samara, Russia 443041
phone: +7 8462 427427
fax-no: +7 8462 412412
e-mail: asy@kraft-s.ru
nic-hdl: AS13450-RIPE
remarks: ------------------------------------------
remarks: Please see KR5688-RIPE for common adresses
remarks: ------------------------------------------
mnt-by: KRAFT-S-NOC
notify: asy@kraft-s.ru
changed: asy@kraft-s.ru 20000209
changed: asy@kraft-s.ru 20040508
source: RIPE
person: Vladimir P Alexandrov
address: Kraft-S JSC
address: 156, Sadovaya str. Samara Russia 443041
phone: +7 8462 427427
fax-no: +7 8462 427427
e-mail: alex@kraft-s.ru
nic-hdl: VPA1-RIPE
notify: alex@kraft-s.ru
mnt-by: KRAFT-S-NOC
changed: tingor@kraft-s.ru 20010425
source: RIPE
person: Gregg B Zemskoff
address: Kraft-s jsc
address: 156 Sadovaya str Samara Russia 443001
phone: +7 8462 412412
fax-no: +7 8462 412412
e-mail: tingor@kraft-s.ru
nic-hdl: GZ1032-RIPE
notify: tingor@kraft-s.ru
changed: tingor@kraft-s.ru 20000131
source: RIPE

Программа работает в многопоточном режиме. Одновременно могут быть идентифицированы сразу несколько пользователей. Все зависит от технических характеристик сервера, на котором запущенная данная программа.

Достоверность полученных данных зависит от многих факторов. Однозначно утверждать, что пользователь является тем, за кого себя выдает нельзя. Яркий тому пример – использование Socks или искажающих прокси. Но если никаких дополнительных средств-посредников задействовано не было, то система определит удаленного пользователя с точностью, до организации, которая обеспечила доступ в Интернет.