Очистить IP-адреса поддоменов с помощью записей PTR
Я ищу решение неясной проблемы. По соображениям политики безопасности у нас есть рабочая станция, использующая PeerBlock со списком блокировки, который, по сути, заносит в черный список весь Интернет, а затем список разрешенных для нескольких IP-адресов, которые мы считаем приемлемыми.
На этой конкретной рабочей станции есть одно поддерживаемое программное обеспечение. сторонней компанией, и их предпочтительным инструментом удаленной поддержки является Teamviewer. У нас было много «дискуссий» об использовании альтернативного пакета, и достаточно сказать, что они не сдвинутся с места, и я не в силах это изменить. Итак, теперь мне нужно найти способ внести teamviewer в белый список.
Согласно Teamviewer KB :
... мы не можем предоставить список IP-адресов наших серверов. Однако все наши IP-адреса имеют записи PTR, которые разрешаются в * .teamviewer.com
. Так что теперь мне интересно, могу ли я использовать записи PTR, чтобы каким-то образом очистить и вытащить все используемые поддомены вместе с их связанными IP-адреса.
У меня есть рабочая станция с Windows и Ubuntu для периодического выполнения этой задачи, поэтому я предпочитаю сценарии PowerShell или оболочки.
Есть ли способ добиться того, что я пытаешься сделать? Я смотрел на dig , но не могу понять его.
Один из возможных путей, на который вы можете обратить внимание, зависит от поставщика, имеющего официальное назначение блока IP от ARIN или соответствующего реестра IP для их географического местоположения. Неформальное назначение IP-адресов от их интернет-провайдера также может работать, но будет немного сложнее найти границы блока, неофициально назначенного интернет-провайдером. Как только такой диапазон IP-адресов известен, вы можете ограничить анализ обратного поиска этим блоком IP-адресов.
Учитывая, что они не сообщают вам свои IP-адреса, я могу придумать один из способов - создать образец сеанса TeamViewer и проверять входящий и исходящий сетевой трафик целевой машины. Это даст вам, вероятно, только один IP-адрес, который может использовать TeamViewer. Вы можете выполнить поиск whois по этому IP-адресу, чтобы узнать, является ли он частью большего блока, а затем ограничить парсинг PTR этим сетевым блоком.
Это все еще не лучшее решение, IMO. Это, конечно, не очень весело и, что еще хуже, хрупко. Во-первых, нет никакой гарантии, что найденный вами сетевой блок IP является единственным, который они используют. Кроме того, если TeamViewer изменит IP-адреса на своих серверах, ВАШИ вещи, скорее всего, сломаются, поэтому вы находитесь в их власти в том смысле, что изменение, которое они могут внести в любое время, о котором они не обязаны уведомлять вас, может вызвать ваша конфигурация выйдет из строя без предварительного уведомления.
Как говорит @Jramdom,Лучше найти решение, подобное оболочке tcp, которое сделает за вас обратный поиск. Это будет иметь несколько преимуществ. Во-первых, ваша система должна будет искать только один IP-адрес за раз, и этот поиск не будет выполняться, пока он не понадобится. Это приводит ко второму преимуществу, заключающемуся в том, что при обратном поиске всегда будут использоваться данные из самой последней информации DNS, опубликованной TeamViewer, а не из цикла парсинга, который может длиться много месяцев. Оболочка TCP будет искать PTR-запись в момент подключения и проверять, соответствует ли она * .teamviewer.com. Это делает вашу настройку более устойчивой к изменениям, которые может внести TeamViewer, при условии, что они обновляют свой обратный DNS каждый раз при изменении IP-адресов серверов.
Я не думаю, что ты действительно хочешь делать полный обратный просмотр интервенций, так что, если возможно, посмотри на tcp-обертки.