Nuestro ISP nos contactó diciendo que uno de nuestros servidores estaba emitiendo un ataque en otra computadora.

May 23 14:11:35 wdc lfd[14308]: *Port Scan* detected from ***.***.***.***
(US/United States/-). 11 hits in the last 245 seconds - *Blocked in csf* for
3600 secs [PS_LIMIT]

No sé lo que significa, pero nuestro servidor es una imagen de fábrica, con solo un par de programas en ejecución.

Me gustaría saber el dominio, pero no sé cómo buscarlo.

Utilizar nslookup

Por ejemplo, busquemos el dominio para 207.46.19.254

C: \> nslookup -type = PTR 254.19.46.207.in-addr.arpa   
Respuesta no autorizada:                                                   
254.19.46.207.in-addr.arpa name = wwwbaytest2.microsoft.com            

Tenga en cuenta que invierte el orden de los cuatro números y agrega .in-addr.arpa

Recuerde que una dirección IP puede tener múltiples dominios, y que los administradores no siempre (pero en su mayoría deberían) configurar las asignaciones inversas en DNS.

Dos cosas que puedes hacer. Uno es la búsqueda inversa de DNS.

dig -x x.x.x.x

También puede usar geoiplookup para encontrar el área general de la fuente.

¿No ping -afuncionaría también el comando?

Es decir, . Sin embargo, no siempre es exitoso, pero es probable que sea el método más fácil.ping -a insert IP address here

ARIN WHOIS es probablemente el goto predeterminado para resolver IP a los nombres registrados, aunque también uso SANS a menudo. El cuadro de búsqueda en ambos sitios está en la esquina superior derecha.
Esto solo resolverá los nombres de dominio en Internet, no los nombres de dominio internos que pueda estar buscando.

DomainTools whois y reverse dns siempre ha sido mi opción para obtener un manejo fácil y preciso de este tipo.

http://www.domaintools.com/

A whoispartir de la línea de comandos me consigue un buen montón de información, o siempre se puede intentar una Network Lookupo Whoisen www.nwtools.com

¡Los dos comandos siguientes están bien!

208.97.177.124 => apache2-argon.william-floyd.dreamhost.com

nslookup -type=PTR 208.97.177.124 in-addr.arpa

nslookup -type=PTR 208.97.177.124

nslookup 208.97.177.124

¡Howerver, este comando NO es correcto!

208.97.177.124 => CPE-124-177-97-208.lns6.cha.bigpond.net.au

nslookup -type=PTR 208.97.177.124.in-addr.arpa

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124.in-addr.arpa
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
208.97.177.124.in-addr.arpa     name = CPE-124-177-97-208.lns6.cha.bigpond.net.au

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124 in-addr.arpa
*** Can't find server address for 'in-addr.arpa':
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>

enlaces de referencia:

https://ist.mit.edu/network/ip

También puede usar el comando host (probado en Linux): host -a 1.2.3.4