>

서버에 연결된 모든 IP 주소를 검색하려고하는데 nslookup 에서 악의적 인 서버를 찾고 싶습니다.  결과.

nslookup 31.204.150.10 | grep "in-addr"

일부 예제 결과 :

209.190.54.154          154.54.190.209.in-addr.arpa name = 9a.36.be.static.xlhost.com.
209.51.199.34           34.199.51.209.in-addr.arpa  name = 22.c7.33.static.xlhost.com.
209.51.197.234          234.197.51.209.in-addr.arpa name = ea.c5.33.static.xlhost.com.
31.204.150.10           10.150.204.31.in-addr.arpa  name = hosted-by-i3d.net.
209.51.197.218          218.197.51.209.in-addr.arpa name = da.c5.33.static.xlhost.com.
207.46.13.25            25.13.46.207.in-addr.arpa   name = msnbot-207-46-13-25.search.msn.com.
200.105.189.165         165.189.105.200.in-addr.arpa    name = static-200-105-189-165.acelerate.net.
198.62.109.139          139.109.62.198.in-addr.arpa name = jangan.sebok.share.
78.187.209.209          209.209.187.78.in-addr.arpa name = 78.187.209.209.static.ttnet.com.tr.
197.33.99.78            78.99.33.197.in-addr.arpa   name = host-197.33.99.78.tedata.net.
197.157.0.45            ** server can't find 45.0.157.197.in-addr.arpa.: NXDOMAIN
180.76.15.6             6.15.76.180.in-addr.arpa    name = baiduspider-180-76-15-6.crawl.baidu.com.
176.10.104.243          243.104.10.176.in-addr.arpa name = tor2e1.privacyfoundation.ch.
174.129.237.157         157.237.129.174.in-addr.arpa    name = ec2-174-129-237-157.compute-1.amazonaws.com.
174.102.192.129         129.192.102.174.in-addr.arpa    name = cpe-174-102-192-129.wi.res.rr.com.

예를 들어, nslookup 97.33.99.78  결과

97.33.99.78         78.99.33.197.in-addr.arpa   name = host-197.33.99.78.tedata.net.

tedata.net 를 추출하고 싶습니다  도메인 기반.

그러나 일부 도메인 기반에는 3 개 또는 4 개의 구성 요소가 있습니다 : wi.res.rr.com  그리고 static.ttnet.com.tr

XLHOST 도 , 나는 static.xlhost.com 를 선택 확신하지 않습니다  또는 xlhost.com  검색 반복 패턴.

209.190.54.154          154.54.190.209.in-addr.arpa name = 9a.36.be.static.xlhost.com.
209.51.199.34           34.199.51.209.in-addr.arpa  name = 22.c7.33.static.xlhost.com.
209.51.197.234          234.197.51.209.in-addr.arpa name = ea.c5.33.static.xlhost.com.

특정 서버에서 생성 된 악의적 인 IP를 탐지하기 위해 권장하는 것은 무엇입니까?

  • 답변 # 1

    검색에 사용한 IP 주소가 차단에 중요합니다. 호스트 이름은 주소를 암시 할 수있는 임의의 이름을 가질 수 있지만 해당 이름이 의미하는 한 해당 호스트의로컬네트워크에있는 이름 만 의미 할 수 있습니다.

    주어진 서버는게이트웨이서버 일 수 있으며 (상대적으로) 결백 할 수 있습니다.

  • 이전 Continuous log rotated tcpdump - 연속 로그 회전 tcpdump - 인터페이스 단절 처리
  • 다음 shell script - XML 파일에서 공백과 따옴표가있는 문자열 제거