⚠️В мире OSINT-расследований установление связи между виртуальной личностью и реальным физическим местоположением часто является ключевой задачей. Мы мастерски анализируем метаданные фотографий, паттерны поведения в соцсетях, пересекаем данные из разных источников. Но иногда цель ведет себя осторожно, не оставляя цифровых следов в открытых источниках⚠️
⚡️ Однако существует метод, позволяющий в определенных условиях получить один из самых ценных артефактов — реальный IP-адрес пользователя. Этот метод основан не на уязвимостях в привычном смысле, а на фундаментальном принципе работы современных коммуникаций — протоколе STUN. В этой статье мы разберем, как это работает, как применить это на практике с помощью Wireshark, и, что крайне важно, обсудим ограничения и этические рамки этого метода.
Прежде чем хвататься за Wireshark, важно понять механизм. Мессенджеры (Telegram, WhatsApp, Signal... практически все) используют сквозное шифрование (E2EE). Это защищает содержимое сообщений, но не отменяет необходимость устанавливать прямое соединение для таких функций, как голосовые и видеозвонки, особенно в режиме P2P (peer-to-peer).
Здесь на сцену выходит STUN (Session Traversal Utilities for NAT). Его задача — помочь клиентам за NAT узнать свой собственный публичный IP-адрес и порт, чтобы сообщить их другому участнику звонка для установления прямого соединения. Для выполнения своей работы клиент мессенджера вынужден отправлять запросы к публичным STUN-серверам (часто принадлежащим самим мессенджерам). И именно эти запросы, отправляемые до начала шифрования медиапотока, и могут быть перехвачены.
❗️ Нам потребуется только один главный инструмент — Wireshark. Это мощнейший сетевой анализатор, который должен быть в арсенале любого цифрового следопыта. Скачайте его с официального сайта https://www.wireshark.org/download.html и установите на свой компьютер.
❗️ Запустите захват трафика. Откройте Wireshark. В поле фильтра введите: stun (для отображения только STUN-пакетов). Инициируйте звонок в Telegram. Как только пользователь ответит на звонок, тут же у нас начнут отображаться данные и среди них будет IP адрес юзера, которому звонили. Используйте поиск по пакетам, нажмите на иконку лупы или Ctrl+F. В поле поиска выберите параметр "String" и введите XOR-MAPPED-ADDRESS. Просмотрите найденные пакеты — в них будет содержаться IP-адрес.
⚡️ Техника перехвата IP-адреса через STUN-запросы — это изящный пример того, как понимание фундаментальных сетевых протоколов расширяет арсенал OSINT-специалиста. Она напоминает нам, что даже в мире сквозного шифрования метаданные (факт, время, направление соединения) зачастую не менее ценны, чем содержимое.
