Nous avons été contactés par notre FAI disant qu'un de nos serveurs était en train d'attaquer un autre ordinateur.

May 23 14:11:35 wdc lfd[14308]: *Port Scan* detected from ***.***.***.***
(US/United States/-). 11 hits in the last 245 seconds - *Blocked in csf* for
3600 secs [PS_LIMIT]

Je ne sais pas ce que cela signifie, mais notre serveur est une image d'usine, avec seulement quelques programmes en cours d'exécution.

Je voudrais connaître le domaine, mais je ne sais pas comment le rechercher.

Utilisation nslookup

Par exemple, trouvons le domaine pour 207.46.19.254

C: \> nslookup -type = PTR 254.19.46.207.in-addr.arpa   
Réponse sans autorité:                                                   
254.19.46.207.in-addr.arpa name = wwwbaytest2.microsoft.com            

Notez que vous inversez l'ordre des quatre nombres et ajoutez .in-addr.arpa

N'oubliez pas qu'une adresse IP peut avoir plusieurs domaines et que les administrateurs ne configurent pas toujours (mais surtout devraient) configurer les mappages inverses dans DNS.

Vous pouvez faire deux choses. La première est la recherche DNS inversée.

dig -x x.x.x.x

Vous pouvez également utiliser geoiplookup pour trouver la zone générale de la source.

La ping -acommande ne fonctionnerait-elle pas également?

C'est . Ce n'est pas toujours un succès, mais c'est probablement la méthode la plus simple.ping -a insert IP address here

ARIN WHOIS est probablement le goto par défaut pour résoudre les IP en noms enregistrés, bien que j'utilise souvent SANS également. Le champ de recherche sur les deux sites se trouve dans le coin supérieur droit.
Cela ne résoudra que les noms de domaine sur Internet, pas les noms de domaine internes que vous recherchez.

DomainTools whois et reverse dns a toujours été mon go-to pour un sluething facile et précis de ce type.

http://www.domaintools.com/

Un à whoispartir de la ligne de commande m'obtient beaucoup d'informations, ou vous pouvez toujours essayer un Network Lookupou Whoisà www.nwtools.com

Les deux commandes suivantes sont OK!

208.97.177.124 => apache2-argon.william-floyd.dreamhost.com

nslookup -type=PTR 208.97.177.124 in-addr.arpa

nslookup -type=PTR 208.97.177.124

nslookup 208.97.177.124

Howerver, cette commande n'est PAS correcte!

208.97.177.124 => CPE-124-177-97-208.lns6.cha.bigpond.net.au

nslookup -type=PTR 208.97.177.124.in-addr.arpa

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124.in-addr.arpa
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
208.97.177.124.in-addr.arpa     name = CPE-124-177-97-208.lns6.cha.bigpond.net.au

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124 in-addr.arpa
*** Can't find server address for 'in-addr.arpa':
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>

liens de référence:

https://ist.mit.edu/network/ip

vous pouvez également utiliser la commande host (testée sous Linux): host -a 1.2.3.4