Como encontrar um domínio com base no endereço IP?


20

Fomos contatados pelo nosso provedor dizendo que um de nossos servidores estava lançando um ataque em outro computador.

May 23 14:11:35 wdc lfd[14308]: *Port Scan* detected from ***.***.***.***
(US/United States/-). 11 hits in the last 245 seconds - *Blocked in csf* for
3600 secs [PS_LIMIT]

Não sei o que isso significa, mas nosso servidor é uma imagem de fábrica, com apenas alguns programas em execução.

Gostaria de conhecer o domínio, mas não sei como procurá-lo.

Respostas:


21

Usar nslookup

Por exemplo, vamos encontrar o domínio para 207.46.19.254

C: \> nslookup -type = PTR 254.19.46.207.in-addr.arpa   
Resposta não autorizada:                                                   
254.19.46.207.in-addr.arpa name = wwwbaytest2.microsoft.com            

Observe que você inverte a ordem dos quatro números e acrescenta .in-addr.arpa

Lembre-se de que um endereço IP pode ter vários domínios e que os administradores nem sempre (mas principalmente devem) configuram os mapeamentos reversos no DNS.


10

Duas coisas que você pode fazer. Um é a pesquisa reversa de DNS.

dig -x x.x.x.x

Você também pode usar a geoiplookup para encontrar a área geral da fonte.


2

O ping -acomando também não funcionaria?

Isto é . Nem sempre é bem sucedido, mas é provavelmente o método mais fácil.ping -a insert IP address here


1

O ARIN WHOIS é provavelmente o padrão para resolver IPs para os nomes registrados, embora eu também use o SANS frequentemente. A caixa de pesquisa nos dois sites está no canto superior direito.
Isso resolverá apenas nomes de domínio na Internet, não nomes de domínio internos que você possa estar procurando.


Acho que você pretendia colocar esse comentário ao lado da minha resposta sobre como o problema poderia estar com qualquer computador atrás de um roteador NAT - mas agora que você disse que o NAT não está envolvido, excluí minha resposta. Espero que você consiga rastrear esse problema.
Linker3000 23/05

Ah - agora você mudou sua observação para a minha resposta excluída !!! Acho que estamos brincando de gato e rato !!! Deixarei meus comentários para que todos vejam que o NAT não está envolvido.
Linker3000

Se você possui o endereço IP da WAN do seu ISP, isso não está relacionado a um servidor específico?
Linker3000 #


0

A whoispartir da linha de comando, recebo muitas informações, ou você pode sempre tentar um Network Lookupou Whoisem www.nwtools.com


0

Os dois comandos a seguir estão OK!

208.97.177.124 => apache2-argon.william-floyd.dreamhost.com

nslookup -type=PTR 208.97.177.124 in-addr.arpa

nslookup -type=PTR 208.97.177.124

nslookup 208.97.177.124

Howerver, este comando NÃO está certo!

208.97.177.124 => CPE-124-177-97-208.lns6.cha.bigpond.net.au

nslookup -type=PTR 208.97.177.124.in-addr.arpa

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124.in-addr.arpa
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
208.97.177.124.in-addr.arpa     name = CPE-124-177-97-208.lns6.cha.bigpond.net.au

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124 in-addr.arpa
*** Can't find server address for 'in-addr.arpa':
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>

links de referência:

https://ist.mit.edu/network/ip



0

você também pode usar o comando host (testado no Linux): host -a 1.2.3.4

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.