Controllo IP applicazione

[Stefanokj]

Ho bisogno di un consiglio, sto cercando di analizzare il traffico di un'applicazione Android, per verificare se contatta IP non ufficiali. L'applicazione in questione è una mod.
Utilizzando PCAP Remote sul mio telefono ho creato un file di log delle connessioni e l'ho trasferito sul PC, dove lo sto analizzando con wireshark.
Il mio problema è che ci sono dozzine di IP diversi e non riesco a trovare alcuna informazione di questi IP su Internet. (Su whoIs posso solo vedere che appartengono a Facebook/Google)
Cosa consigliate per capire se sono tutti ufficiali?
PS Tutti questi IP sono solo dell'applicazione in questione, non dell'intero sistema
PPS Apparentemente gli unici protocolli utilizzati sono TCP e TLSv1.2

 

[cdtux]

Che siano pacchetti TCP non è nulla di strano, se fossero stati UDP sarebbe stato "singolare". TLS perchè probabilmente usa le api facebook/google che sono su https. Il problema è che i pacchetti https sono enctypted e, semplificando al massimo, per "vedere" i dettagli devi avere le chiavi (su google ci sono un sacco di tutorial, vedi se sono utili al tuo scopo)

 

[Stefanokj]

Che siano pacchetti TCP non è nulla di strano, se fossero stati UDP sarebbe stato "singolare". TLS perchè probabilmente usa le api facebook/google che sono su https. Il problema è che i pacchetti https sono enctypted e, semplificando al massimo, per "vedere" i dettagli devi avere le chiavi (su google ci sono un sacco di tutorial, vedi se sono utili al tuo scopo)

Io non pensavo di controllare il contenuto ma solo il destinatario del pacchetto, se tutti i destinatari sono "standard", cioè usati anche nellapp non moddata, allora è safe.
Il problema è che non so come distinguere gli indirizzi ufficiali da un IP a caso (whois non da tante info, se un eventuale IP malevolo è hostato in California potrei prenderlo per buono).
Forse l'unico modo è prima loggare l'app scaricata dallo store e poi fare un confronto

 

[cdtux]

Mi sa che non avevo ben compreso la domanda.. partiamo da tre assunti:
- Il destinatario di una request lo vedi con il whois, che ti mostra a chi è registrato un ip/dominio.
- Non necessariamente il server che ti risponde è associato allo stesso dominio. Esempio:
Quando fai una request a https://jsonplaceholder.typicode.com/posts/1, il dominio (che è typicode.com) è registrato ad una società, ma la risposta ti arriverà da un server registrato a cloudflare.
- Se vuoi vedere l'url completo (su https) della richiesta (ad esempio la parte in grassetto di https://graph.facebook.com/blabla/blabla) devi necessariamente decriptare lo stream come detto nel mio post precedente.

Se vuoi confrontare se le richieste di un app moddata con quelle dell'app standard, la via più semplice è confrontare le richieste al dns più che gli stream TCP (se hanno gli ip hardcoded sono dei cani di programmatori). Se puntano tutte su google.com/facebook.com (e sottodomini) non ci vedrei niente di strano (la localizzazione dei server non serve a niente guardarla dato che queste infrastrutture sono estremamente distribuite).
Il modo migliore rimane comunque analizzare il codice della mod in caso sia open source.

edit:
se vuoi fare un esempio di ip che non ti convince appieno, postalo e lo verifichiamo