Comment trouver un domaine basé sur l'adresse IP?

20

Nous avons été contactés par notre FAI disant qu'un de nos serveurs était en train d'attaquer un autre ordinateur.

May 23 14:11:35 wdc lfd[14308]: *Port Scan* detected from ***.***.***.***
(US/United States/-). 11 hits in the last 245 seconds - *Blocked in csf* for
3600 secs [PS_LIMIT]

Je ne sais pas ce que cela signifie, mais notre serveur est une image d'usine, avec seulement quelques programmes en cours d'exécution.

Je voudrais connaître le domaine, mais je ne sais pas comment le rechercher.

Jeremy Boyd
la source

Réponses:

21

Utilisation nslookup

Par exemple, trouvons le domaine pour 207.46.19.254

C: \> nslookup -type = PTR 254.19.46.207.in-addr.arpa   
Réponse sans autorité:                                                   
254.19.46.207.in-addr.arpa name = wwwbaytest2.microsoft.com            

Notez que vous inversez l'ordre des quatre nombres et ajoutez .in-addr.arpa

N'oubliez pas qu'une adresse IP peut avoir plusieurs domaines et que les administrateurs ne configurent pas toujours (mais surtout devraient) configurer les mappages inverses dans DNS.

RedGrittyBrick
la source
10

Vous pouvez faire deux choses. La première est la recherche DNS inversée.

dig -x x.x.x.x

Vous pouvez également utiliser geoiplookup pour trouver la zone générale de la source.

Keith
la source
2

La ping -acommande ne fonctionnerait-elle pas également?

C'est . Ce n'est pas toujours un succès, mais c'est probablement la méthode la plus simple.ping -a insert IP address here


la source
1

ARIN WHOIS est probablement le goto par défaut pour résoudre les IP en noms enregistrés, bien que j'utilise souvent SANS également. Le champ de recherche sur les deux sites se trouve dans le coin supérieur droit.
Cela ne résoudra que les noms de domaine sur Internet, pas les noms de domaine internes que vous recherchez.

Le pont Charles
la source
Je pense que vous vouliez faire apparaître ce commentaire à côté de ma réponse sur la façon dont le problème pourrait être avec n'importe quel ordinateur derrière un routeur NAT - mais maintenant que vous avez dit que le NAT n'est pas impliqué, j'ai supprimé ma réponse. J'espère que vous réussirez à retrouver ce problème.
Linker3000
Ah - vous avez maintenant déplacé votre remarque à côté de ma réponse supprimée !!! Je pense que nous jouons au chat et à la souris !!! Je vais cependant laisser mes commentaires pour que tout le monde voit que NAT n'est pas impliqué.
Linker3000
Si vous avez l'adresse IP WAN de votre FAI, cela ne concerne-t-il pas un serveur spécifique?
Linker3000
1

DomainTools whois et reverse dns a toujours été mon go-to pour un sluething facile et précis de ce type.

http://www.domaintools.com/

music2myear
la source
Checkout www.nwtools.com = très utile
paradroid
0

Un à whoispartir de la ligne de commande m'obtient beaucoup d'informations, ou vous pouvez toujours essayer un Network Lookupou Whoisà www.nwtools.com

paradroid
la source
0

Les deux commandes suivantes sont OK!

208.97.177.124 => apache2-argon.william-floyd.dreamhost.com

nslookup -type=PTR 208.97.177.124 in-addr.arpa

nslookup -type=PTR 208.97.177.124

nslookup 208.97.177.124

Howerver, cette commande n'est PAS correcte!

208.97.177.124 => CPE-124-177-97-208.lns6.cha.bigpond.net.au

nslookup -type=PTR 208.97.177.124.in-addr.arpa

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124.in-addr.arpa
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
208.97.177.124.in-addr.arpa     name = CPE-124-177-97-208.lns6.cha.bigpond.net.au

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124 in-addr.arpa
*** Can't find server address for 'in-addr.arpa':
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>

liens de référence:

https://ist.mit.edu/network/ip

xgqfrms
la source
0

vous pouvez également utiliser la commande host (testée sous Linux): host -a 1.2.3.4

pd12
la source