Вопрос или проблема
Я ищу домены, которые имеют IP-адреса, на которые я вижу трафик в своей сети GCP, чтобы настроить правило брандмауэра для этого конкретного домена.
Для 142.251.211.234 я знаю, что это Google API, поскольку журналы потока VPC указывают, что src_google_service — это “GOOGLE_API” (ссылка). Этот IP-адрес также находится в диапазонах GCP сервисов Google (ссылка).
Обычно я могу посмотреть в журналах DNS в редакторе журналов, фильтруя по logName="projects/<project_name>/logs/dns.googleapis.com%Fdns_queries", и это дает мне ответ. Но не для 142.251.211.234.
Обратный DNS-запрос, такой как dig -x <ip>, кажется, оказывается довольно бесполезным для Google API. Например, для 216.239.38.174 обратный DNS-запрос не предоставляет домен:
$ dig -x 216.239.38.174
; <<>> DiG 9.10.6 <<>> -x 216.239.38.174
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>HEADER<<- операция: QUERY, статус: NXDOMAIN, id: 8237
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИТЕТ: 1, ДОПОЛНИТЕЛЬНЫЙ: 1
;; OPT PSEUDOSECTION:
; EDNS: версия: 0, флаги:; udp: 4096
;; РАЗДЕЛ ЗАПРОСА:
;174.38.239.216.in-addr.arpa. IN PTR
;; РАЗДЕЛ АВТОРИТЕТА:
38.239.216.in-addr.arpa. 60 IN SOA ns1.google.com. dns-admin.google.com. 679515077 900 900 1800 60
;; Время запроса: 36 мс
;; СЕРВЕР: 192.168.2.1#53(192.168.2.1)
;; КОГДА: Сб, 28 сентября 2024 г., 18:22:03 EDT
;; РАЗМЕР MSG: 116
но IP-адрес 216.239.38.174 принадлежит: logging-alv.googleapis.com
$ dig logging.googleapis.com
; <<>> DiG 9.10.6 <<>> logging.googleapis.com
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>HEADER<<- операция: QUERY, статус: NOERROR, id: 14750
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 5, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНЫЙ: 1
;; OPT PSEUDOSECTION:
; EDNS: версия: 0, флаги:; udp: 4096
;; РАЗДЕЛ ЗАПРОСА:
;logging.googleapis.com. IN A
;; РАЗДЕЛ ОТВЕТА:
logging.googleapis.com. 101 IN CNAME logging-alv.googleapis.com.
logging-alv.googleapis.com. 209 IN A 216.239.34.174
logging-alv.googleapis.com. 209 IN A 216.239.32.174
logging-alv.googleapis.com. 209 IN A 216.239.38.174
logging-alv.googleapis.com. 209 IN A 216.239.36.174
;; Время запроса: 17 мс
;; СЕРВЕР: 192.168.2.1#53(192.168.2.1)
;; КОГДА: Сб, 28 сентября 2024 г., 18:21:51 EDT
;; РАЗМЕР MSG: 141
Необязательно поддерживать обратные записи DNS, поэтому, когда отсутствует PTR-запись, DNS не поможет вам определить пользователя/владельца конкретного IP-адреса.
Даже когда существует обратная запись DNS для этого IP-адреса:
Много различных имен хостов FQDN могут указывать на один и тот же IP-адрес, но обратная запись DNS для этого IP на самом деле может указывать только на один FQDN; поэтому вы не можете использовать обратный DNS для поиска полного списка этих имен хостов.
Обратите внимание, что, несмотря на это, DNS не является самым надежным способом определить владельца/обслуживающего IP-адреса. Владелец диапазона IP-адресов и связанной зоны in-addr.arpa. могут настроить PTR-записи с любого домена, включая домены, которые они не управляют или не являются их собственностью.
Только когда и обратные, и прямые записи DNS совпадают, обратная запись DNS может считаться надежным источником для определения предполагаемого пользователя IP-адреса.
Право собственности на IP-адрес можно определить через WHOIS, но часто это будет показывать провайдеров услуг связи или других провайдеров как владельцев. Вы, вероятно, хотите узнать о клиенте провайдера и текущем пользователе конкретного IP-адреса. Провайдеры услуг связи редко обновляют WHOIS с данными своих клиентов и текущего пользователя, которому было предоставлено использование данного IP-адреса.
Ответ или решение
Для определения доменов, которые имеют IP-адрес 142.251.211.234 и принадлежат Google API, можно воспользоваться несколькими подходами. Но прежде всего важно отметить, что прямые методы, такие как обратный DNS-запрос или WHOIS, могут не дать полной информации, поскольку такие IP-адреса часто используются для множества сервисов.
Метод 1: Использование DNS-записей
Как вы уже упомянули, для идентификации доменов можно исследовать DNS-записи. Однако для Google API это может быть неэффективно, так как многие сервисы не имеют обратных записей земных хостов.
Шаги:
- Проверка через DNS: Вы можете использовать команды типа
digдля проверки известных сервисов Google, таких какstorage.googleapis.com,cloudfunctions.googleapis.comи т.д. Например:dig storage.googleapis.comЭто может помочь вам узнать, какие IP-адреса назначены конкретному домену. Но нужно помнить, что один и тот же IP-адрес может обслуживать множество доменов.
Метод 2: Использование gstatic.com
Обнаруженные вами диапазоны IP для Google Cloud, указанные по ссылке https://www.gstatic.com/ipranges/goog.json, могут быть полезны. В этом документе указаны отправные IP-адреса и соответствующие сервисы, которые используют эти адреса.
- Скачайте и прочитайте файл: Загрузите файл JSON, чтобы ознакомиться с диапазонами и сопоставить их с вашими IP-адресами.
Метод 3: Анализ трафика и логов
Если вы видите трафик из вашего GCP, вы можете использовать VPC Flow Logs для анализа и идентификации источников трафика.
- Фильтрация логов: Используйте логи VPC Flow и фильтруйте по
src_google_service, как вы делали раньше:logName="projects/<project_name>/logs/compute.googleapis.com%2Factivity_log"Это может дать вам представление о том, какие домены генерируют трафик на эти IP.
Метод 4: Использование WHOIS
Хотя WHOIS может быть неэффективным для получения информации о конечных пользователях или доменах, он может дать информацию о владельце диапазона IP, в случае если вы хотите проверить, принадлежат ли эти адреса Google.
- Команда WHOIS:
whois 142.251.211.234Это может помочь вам увидеть, какие организации зарегистрировали этот IP и его диапазоны.
Заключение
Таким образом, для нахождения доменов, которые имеют IP-адрес 142.251.211.234 и определены как Google API, потребуется использование комбинации методов.
Опирайтесь на знание о том, что Google использует множество идентификаторов для своих сервисов, и часто одни и те же IP могут обслуживать разноименные домены. Поэтому сам по себе DNS-запрос может быть неэффективным. Наилучшим подходом будет анализировать данные из VPC Flow Logs и обращаться к актуальным справочным ресурсам о диапазонах IP Google.
Если есть необходимость в создании правил брандмауэра для конкретного домена, рассмотрите возможность использования более обобщенных правил, которые охватывают весь диапазон IP-адресов, относящихся к Google API.