原文地址:https://nixintel.info/osint/geolocating-mobile-phones-with-an-ip/
文章原名:Geolocating Mobile Phones With An IP
作者: Nixintel
原文发布时间:2020-07-05
}
本文与 *Matthias Wilson (@MWOSINT)*共同撰写,其个人网站也进行了发布。
IP地址在数字取证方面占据着重要地位,但对地理定位有多大用处?事实上,尽管IP地址在侦查方面有许多用处,但在作为定位手段上来说是不可靠的。
IP地址技术本身限制了其成为定位工具。当前的IPv4协议仅允许存在43亿个不同的IP地址,这在设计它的1980年代并不算得上问题,但如今所需的IP地址远超协议所能提供的。
为了解决IP地址短缺问题,ISP在过去的几十年里开发了多种方案。例如,反向代理服务器可以让上千台服务器使用相同的静态IP地址。
网站和服务使用的IP地址通常是固定的。但如果你从家用网络访问这篇文章,你很有可能被你的ISP分配了动态IP。这一IP地址可能在几小时或几天内不变,但ISP商们会经常根据需要调整并重分配IP地址。今天你所拥有的IP地址可能明天就属于这个国家其他地方的人。
在移动互联网方面来说,IP地址短缺问题甚至更加严重。无论你何时连接到3G或4G网络,就可能与几千名其他用户在同一时间分享IP地址。在蜂窝网络中,IP地址也改变的极其迅速,有时甚至几秒一次。
在地理位置与蜂窝网络IP地址之间并不存在真正的相关性。其组织方式并不像老式固定电话一样,而是更取决于ISP的分组方式与服务类型。
有关这一方面的更多细节推荐阅读这两篇论文:
Where’s that Phone?: Geolocating IP Addresses on 3G Networks
Geolocating IP Addresses in Cellular Data Networks | SpringerLink
那对于像 Maxmind 这样的IP地址定位服务如何评价?稍微研究一下它们所提供的数据准确性报告可知,对于其提供的地理信息要谨慎对待。
以德国为例,Maxmind声称其百分之八十三的IP地址与真实地址真正相关,但这是在五十公里半径内,并仅指固定宽带线路。
而对于蜂窝网络IP,其准确性骤降,在五十公里半径中仅有百分之三十八
位置越具体,置信度越低。在德国,IP地址与特定城市关联的置信度仅为百分之十六。而在美国,这一数据为百分之十二,有百分之七十三的IP地址被认为解析不正确。如果说即使是世界领先的IP地址定位公司对于50公里半径定位的精确度也只有如此低的信心,更别说对于具体的城市,那么您还相信蜂窝网络IP定位的准确性吗?
这并不是IP地址定位商的过错,它仅仅是反映了ISP商们按照网络需求而不是地理位置分配IP的现实。
然而,众所周知,可以对手机进行定位。当手机连接到信号塔时,实际上也同时连接到周围所有的信号塔(至少可以监控信号强度)。每个信号塔都存在唯一ID,这一ID可以通过很多方式获取,例如拦截手机与信号塔之间的无线连接,或通过网络反向链接获取连接信息。如果知晓了信号塔的地理位置,就可以通过这些ID粗略定位手机位置。然而,这仅能由强力部门和情报机构在合法情况下实现。那么能用除蜂窝ID以外的信息定位手机吗?
现在大多数手机都一直连接在互联网上。通过智能手机,我们用类似于Signal或Whatsapp的服务访问网站,发送信息,检查并回复邮件。任何这样的连接将依赖于一个关联在我们手机上的IP地址进行传输。在我日用的计算机上,我能通过像 IPLocation的网站查找我的IP地址,它将显示我最有可能所在的地理位置。当然,这仅在我没有使用代理和虚拟专用网络的情况下有用。不同的数据库在地理位置上可能存在细微差别,但正如在下例中所示,根据我的IP地址,我位于慕尼黑附近的某个地方。
为了使这些位置更加直观,我将它们绘制在地图上。在写这篇文章时,我就处于这张图的某个位置上,看起来并不是那么精准,对吧?
这是我使用固定线路的结果,那如果通过IP地址定位手机会怎样?获取手机当前的IP地址并不是听上去那么简单的。就算我收到了从目标手机发送而来的电子邮件,那也有很高的概率其并不包含原始IP地址,尤其是从Gmail或Hotmail这种邮件服务商发来的邮件。那么我们如何获取目标手机的实际IP地址?
在继续阅读之前,请注意:下一步在某些国家可能是非法的,并且非常具有侵略性。我绝不是推荐你必须这样积极的达成目标,我只是使用该技术来证明我的观点。
我向目标发送了一个带有追踪像素(Tacking Pixel)的邮件。别担心,所谓的目标是我的一次性手机。在连接到4G(LTE)的情况下,我打开了这封自己发给自己的邮件。追踪像素,也就是所谓的网页臭虫(Web Beacon),被用于分析一名用户是否访问了位于网页或邮件等内容。这些跟踪器将提供访问时间以及访问内容的 IP 地址等信息。我通过 GetNotify网站来获取追踪像素,然后在手机上打开邮件,结果如下:
由此可见,追踪像素返回了邮件打开的时间,来自我手机浏览器的User Agent字段以及一个IP地址。此IP地址已经注册到Telefonica Germany,该一次性电话的生产商。让我们在IP地址网站上再确认一下:
很好,我们再次看到了慕尼黑,但是还有两个候选城市在地图上。
我就在这附近,但是从地图上来看,另外两个城市距离慕尼黑很远。由此可见,由提供商分配给我手机的IP地址似乎提供了一个相当不准确的位置。4G网络的结构能解释一部分原因。
手机获取到的动态 IP 地址是由所谓的分组数据网关 (P-GW) 分配的。这基本上是互联网的出口节点,IP地址是随机选择的,其来自于地址池。每次重新连接网络时,即使再次连接到同一小区(用于 LTE eNodeB),您也会从此池中获取一个新的随机地址。IP 地址与网络的任何其他元素(例如手机信号塔 (eNodeB))之间没有直接联系。通常,来自 P-GW 的传出流量会为多个已注册的手机分配相同的 IP 地址。虽然来自手机的连接可能会由区域P-GW处理,但在我的情况下,实际位于慕尼黑的P-GW也可以注册到数百公里外的P-GW。我花了一个小时试图找到一个也使用Telefonica/O2的朋友,并请他们协助我。我给她发了一封带有跟踪像素的邮件。以下是返回的内容:
这个IP地址据说也来自于慕尼黑,但我的朋友住在附帕绍近,足足170公里远!请记住,这还是在没有代理和虚拟专用网络的情况下。这是我在LTE上通过比利时IP访问互联网的一次性电话:
总之,通过IP地址对手机进行定位可能会提供一个大致位置(足够幸运的话),但就像其他常规IP地址一样,并不能进行精确定位。我认为,在大多数情况下,固话线路的IP地址所提供的定位比手机IP更加精确。请记住这一点,以便在今后的侦查。
Matthias Wilson & Nixintel 2020年7月5日