《网络攻防技术（第2版）》 —2.5.3　网络实体IP地理位置定位

2.5.3　网络实体IP地理位置定位

网络实体IP 地理位置定位是指确定一个网络目标节点在某个粒度层次的地理位置，由于每一个直接与互联网相连的主机通常都可被一个唯一的IP 地址标识，因此通常利用IP地址来寻找其地理坐标映射，也称为IP 定位。网络实体IP 地理位置定位技术可以通过已知数据库的查询和网络测量定位实现。

1. 基于查询信息的定位

基于查询信息的定位方法依据网络实体的主机名及所属机构的信息，通过查询相关的数据库得到其位置信息，如在WhoIs 数据库中查询注册信息、解析规则的域名或主机名等。

当机构在WhoIs服务器注册域名信息时， 提交的信息中包括ISP、机构、用户名、电子邮箱、电话号码、通信地址等，那么从电话号码和通信地址就可以推断出地理位置。当查询的IP 地址有相应的注册信息时，会向IP 地址所属RIR（Regional Internet Registry，地区性互联网注册管理机构）的WhoIs服务器发送查询请求，这也成为得到IP 地址的地理位置信息的一种途径。此外，域名本身也可能会透露出主机的地理位置，如在国家顶级域名中就包含相应国家的名称代码，它包含两个英文字母，例如.cn（中国）、.au（澳大利亚）。

除了WhoIs数据库以外，还有很多国内外的公司都在维护和发布将IP 地址映射到地理位置的数据库，国外的有MaxMind、IP2Location、 Quova、Geobytes及Cqcounter等，国内的数据库有IP138、QQWry及IPcn等。

基于查询信息的定位实现简单，不需要基础设施，对在已有数据中蕴含着地理信息的实体能够快速给出定位结果，但该算法的结果受限于注册信息的准确性，若登记信息错误或过时，得到的定位结果也是不可信的。此外，由于不是每一个IP 地址都有对应的注册信息，很多情况下，都是一个IP 段对应着一个位置，因此基于查询信息的算法通常只能得到粗粒度的定位结果。

2. 基于网络测量的定位

基于网络测量的定位方法主要通过探测源与目标实体的时延、拓扑或其他信息来估计目标实体的位置，得到的定位结果为一个单点或区域。

这里以利用时延进行IP地址定位为例，该方法认为网络实体之间的时延与距离具有相关性，因此可通过实体间的时延来估计两者之间的地理距离。为了保证定位的准确性，需要在互联网上部署多个地理位置可控的探测源，同时在互联网上寻找一些已经确定了地理位置的IP作为参考地标。首先，利用探测源向已知的地标和目标实体发送探测数据包，从而得到探测源与目标及探测源与地标之间的时延向量值，然后计算目标实体的时延向量与一组地标的时延向量之间的相似性，把与目标时延向量距离最短的地标作为目标实体的具体位置。

除了利用时延进行探测以外，拓扑信息实体间数据包的转发路径及该路径上的路由器信息也能反映出目标实体的位置，因此，结合目标寻径和目标实体所在网络的拓扑发现，可为目标实体的位置估计提供更多参考。随着大数据和机器学习技术的不断发展，IP地址定位技术的精准度在不断提高，相应的数据库也日益丰富和具体，攻击者通过简单的数据库查询命令即可获得目标设备的具体位置。