ふとした思いつきで作ってみた物なので、決してryはありません。
TOPページに仕掛けを作ってあり、HTMLページを表示した時間、リモートホストをメールアドレスを表示し、Crawlerに喰わせるという仕組みを作ってみた。これで、Crawlに使われた本体のリモートホストの取得と、実際にspamを送信に使われたリモートホストと網羅出来るだろうという仕組み。勿論、このアドレスに送信された内容はそのまま関係者各位にフォワードされ、調査対象となる。
Received: from sv.toproad.jp by gyojya.jp for <dos-request-20050527_194402_222.145.175.7[at]gyojya.jp> ; Sun, 29 May 2005 06:38:46 +0900 From: "dfasd" <dfasd@sv.toproad.jp> Subject: =?GB2312?B?i4aLyYFJlrOXv4LMj2+J74KijG6NVZeqgZo=?= To: dos-request-20050527_194402_222.145.175.7[at]gyojya.jp Content-Type: text/plain;charset="EUC" Reply-To: dfasd@dns1.ucatv.ne.jp Date: Sun, 29 May 2005 05:38:43 +0900 X-Priority: 2 X-Mailer: Microsoft Outlook Express 5.00.2615.200 X-MDRcpt-To: dos-request-20050527_194402_222.145.175.7[at]gyojya.jp X-Return-Path: dfasd@sv.toproad.jp 出会いとはこういう事さ・・・! http://peasv.toproad.jpch-naturalwater.com/date メール拒否はこちらまで。 paulresis@yahoo.com
ここから簡単に説明しよう。
To: 欄には、dos-request-20050527_194402_222.145.175.7 とある。この、`20050527_194402' というのは、HTMLを取得した日時が含まれ、`222.145.175.7' とは、HTMLを取得したリモートホストである。場合によっては、複数固定IP等割り当てられたアドレスブロックの場合、管理者も判明する事もあるだろうし、組織も判ることも有るだろうと考えられる。ただ、最近は野良無線LAN等が多いので、悪用されている恐れもあるため、微妙なところであり、調査が必要になるだろう。その辺は、spamを送信してきたリモートホストに対しても同じようなことが言える。
参考
222.145.175.7 = p2007-ipbf708marunouchi.tokyo.ocn.ne.jp = OCN 丸の内収容のBフレッツファミリー
sv.toproad.jp = 211.133.243.96 = 211.133.243.0/25(株式会社リンク) =
AT+LINKのサーバ若しくは線を使用してspam送信