私のサーバーに接続されているすべてのIPアドレスを検索しようとしていて、nslookup
結果から悪意のあるサーバーを見つけようとしています。
nslookup 31.204.150.10 | grep "in-addr"
いくつかの例の結果は次のとおりです。
209.190.54.154 154.54.190.209.in-addr.arpa name = 9a.36.be.static.xlhost.com.
209.51.199.34 34.199.51.209.in-addr.arpa name = 22.c7.33.static.xlhost.com.
209.51.197.234 234.197.51.209.in-addr.arpa name = ea.c5.33.static.xlhost.com.
31.204.150.10 10.150.204.31.in-addr.arpa name = hosted-by-i3d.net.
209.51.197.218 218.197.51.209.in-addr.arpa name = da.c5.33.static.xlhost.com.
207.46.13.25 25.13.46.207.in-addr.arpa name = msnbot-207-46-13-25.search.msn.com.
200.105.189.165 165.189.105.200.in-addr.arpa name = static-200-105-189-165.acelerate.net.
198.62.109.139 139.109.62.198.in-addr.arpa name = jangan.sebok.share.
78.187.209.209 209.209.187.78.in-addr.arpa name = 78.187.209.209.static.ttnet.com.tr.
197.33.99.78 78.99.33.197.in-addr.arpa name = host-197.33.99.78.tedata.net.
197.157.0.45 ** server can't find 45.0.157.197.in-addr.arpa.: NXDOMAIN
180.76.15.6 6.15.76.180.in-addr.arpa name = baiduspider-180-76-15-6.crawl.baidu.com.
176.10.104.243 243.104.10.176.in-addr.arpa name = tor2e1.privacyfoundation.ch.
174.129.237.157 157.237.129.174.in-addr.arpa name = ec2-174-129-237-157.compute-1.amazonaws.com.
174.102.192.129 129.192.102.174.in-addr.arpa name = cpe-174-102-192-129.wi.res.rr.com.
たとえば、nslookup 97.33.99.78
結果について
97.33.99.78 78.99.33.197.in-addr.arpa name = host-197.33.99.78.tedata.net.
tedata.net
ドメイン名データベースを抽出したいです。
ただし、一部のドメインライブラリには3〜4個のコンポーネントがありますwi.res.rr.com
。static.ttnet.com.tr
また、XLHOST
オプションstatic.xlhost.com
やxlhost.com
繰り返しパターンを検索する方法はわかりません。
209.190.54.154 154.54.190.209.in-addr.arpa name = 9a.36.be.static.xlhost.com.
209.51.199.34 34.199.51.209.in-addr.arpa name = 22.c7.33.static.xlhost.com.
209.51.197.234 234.197.51.209.in-addr.arpa name = ea.c5.33.static.xlhost.com.
特定のサーバーで生成された悪意のあるIPをどのように検出することをお勧めしますか?
答え1
ルックアップに使用するIPアドレスは、ブロックに非常に重要です。ホスト名は、アドレスを暗示する任意の名前を持つことができますが、その名前が意味する限り、そのホストの意味でもあります。地元のネットワーク。
特定のサーバーゲートウェイサーバーであり(比較的)無実です。