Что состоит в том, чтобы получить лучший способ, ТОЧНОЕ доменное имя от IP-адреса вошло в систему журнал iptables
В iptables я регистрируюсь, определенные общедоступные IP-адреса... говорят относительно веб-сайтов, посещенных от различных рабочих станций, в зависимости от номера целевого порта... Все это не действительно относится к вопросу, но я просто заявляю это здесь, таким образом, мои цели становятся ясными.
Теперь я хочу проанализировать данные... У меня только есть IP-адреса... Что лучший способ состоит в том, чтобы получить доменное имя. Хорошо, я знаю, что можно использовать nslookup и вырыть, но отображенное доменное имя является возможно записью в данных DNS, которые обычно не являются доменным именем, которое каждый ищет...
Я немного нечеток о деталях..., но в чем я нуждался бы, например, кто-то посещает cnbc.com, я смотрю на зарегистрированные IP-адреса, и я получаю все виды доменов от услуг Amazon Web до facebook.com. Самым близким доменом, для которого зарегистрирован IP, был nbcuni.com...
Есть ли некоторый "сервис", API, программное обеспечение, стороннее решение, доступное для получения "самого близкого" распознаваемого доменного имени для данного IP?
Править: Существует другая проблема... Системы контроля, кажется, обрабатывают их. Системы прокси (как рекомендуется ниже) не могут различать указанный URL и URL содержания на странице, которую посещают. Или могут они? Любой URL, который посещают, явно, как указано в браузере или косвенно любой URL, содержание которого отображено на странице, обнаружатся как URL, который посещают. Существует ли способ различать? Через журналы Прокси или иначе?
Я не уверен, что у меня есть полная картина, но, поскольку вы пишете о веб-сайтах, я думаю, что вы используете инструмент, который не совсем подходит для этой задачи.
imho вы ищете для этой информации (посещаемое доменное имя) на неправильном уровне: у вас должен быть прокси-сервер и анализировать его журналы для сбора этой информации.
Прокси-сервер находится «рядом» с клиентом и имеет точную и точную информацию, которую вы ищете .
Прозрачный прокси-сервер сможет собирать эту информацию без изменения конфигурации клиента.
Вы не можете легко определить, что пользователь ввел в адресную строку своего браузера, используя только журнал IP-адресов: вы не можете определить, получил ли кто-то доступ к 104.16.13.13 через набрав aircraft.stackexchange.com или tex.stackexchange.com (лучшее, что вы можете определить - это IP-адрес CloudFlare).
Чтобы получить нужную информацию вам нужно будет либо выполнить перекрестную ссылку с запросами на вашем DNS-сервере примерно в одно и то же время, либо захватить весь пакет и найти что-то в данных протокола (например, HTTP-запрос), раскрывающее имя хоста. Последнее легко обмануть: просто получайте доступ к сайтам через https или какой-либо другой зашифрованный транспорт.
Учитывая IP-адрес, лучшее, что вы можете сделать, это получить обратную запись DNS PTR ( dig -x или аналогичный), или информацию о владельце сетевого блока и его владельца (через whois ),которые вы уже отклонили как не отвечающие вашим требованиям.
Вы решаете эту проблему не на том уровне. Буквально уровень 4, когда вам следует использовать уровень 7.
Не записывать TCP-соединения в iptables. Вместо этого перехватите HTTP-трафик и проверьте заголовок Host в запросах, которые делают клиенты.