Как найти домены, у которых определён IP-адрес 142.251.211.234, принадлежащий Google API?

Вопрос или проблема

Я ищу домены, которые имеют IP-адреса, на которые я вижу трафик в своей сети GCP, чтобы настроить правило брандмауэра для этого конкретного домена.

Для 142.251.211.234 я знаю, что это Google API, поскольку журналы потока VPC указывают, что src_google_service — это “GOOGLE_API” (ссылка). Этот IP-адрес также находится в диапазонах GCP сервисов Google (ссылка).

Обычно я могу посмотреть в журналах DNS в редакторе журналов, фильтруя по logName="projects/<project_name>/logs/dns.googleapis.com%Fdns_queries", и это дает мне ответ. Но не для 142.251.211.234.

Обратный DNS-запрос, такой как dig -x <ip>, кажется, оказывается довольно бесполезным для Google API. Например, для 216.239.38.174 обратный DNS-запрос не предоставляет домен:

$ dig -x 216.239.38.174

; <<>> DiG 9.10.6 <<>> -x 216.239.38.174
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>HEADER<<- операция: QUERY, статус: NXDOMAIN, id: 8237
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИТЕТ: 1, ДОПОЛНИТЕЛЬНЫЙ: 1

;; OPT PSEUDOSECTION:
; EDNS: версия: 0, флаги:; udp: 4096
;; РАЗДЕЛ ЗАПРОСА:
;174.38.239.216.in-addr.arpa.   IN  PTR

;; РАЗДЕЛ АВТОРИТЕТА:
38.239.216.in-addr.arpa. 60 IN  SOA ns1.google.com. dns-admin.google.com. 679515077 900 900 1800 60

;; Время запроса: 36 мс
;; СЕРВЕР: 192.168.2.1#53(192.168.2.1)
;; КОГДА: Сб, 28 сентября 2024 г., 18:22:03 EDT
;; РАЗМЕР MSG: 116

но IP-адрес 216.239.38.174 принадлежит: logging-alv.googleapis.com

$ dig logging.googleapis.com

; <<>> DiG 9.10.6 <<>> logging.googleapis.com
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>HEADER<<- операция: QUERY, статус: NOERROR, id: 14750
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 5, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНЫЙ: 1

;; OPT PSEUDOSECTION:
; EDNS: версия: 0, флаги:; udp: 4096
;; РАЗДЕЛ ЗАПРОСА:
;logging.googleapis.com.        IN  A

;; РАЗДЕЛ ОТВЕТА:
logging.googleapis.com. 101 IN  CNAME   logging-alv.googleapis.com.
logging-alv.googleapis.com. 209 IN  A   216.239.34.174
logging-alv.googleapis.com. 209 IN  A   216.239.32.174
logging-alv.googleapis.com. 209 IN  A   216.239.38.174
logging-alv.googleapis.com. 209 IN  A   216.239.36.174

;; Время запроса: 17 мс
;; СЕРВЕР: 192.168.2.1#53(192.168.2.1)
;; КОГДА: Сб, 28 сентября 2024 г., 18:21:51 EDT
;; РАЗМЕР MSG: 141

Необязательно поддерживать обратные записи DNS, поэтому, когда отсутствует PTR-запись, DNS не поможет вам определить пользователя/владельца конкретного IP-адреса.

Даже когда существует обратная запись DNS для этого IP-адреса:

Много различных имен хостов FQDN могут указывать на один и тот же IP-адрес, но обратная запись DNS для этого IP на самом деле может указывать только на один FQDN; поэтому вы не можете использовать обратный DNS для поиска полного списка этих имен хостов.

Обратите внимание, что, несмотря на это, DNS не является самым надежным способом определить владельца/обслуживающего IP-адреса. Владелец диапазона IP-адресов и связанной зоны in-addr.arpa. могут настроить PTR-записи с любого домена, включая домены, которые они не управляют или не являются их собственностью.

Только когда и обратные, и прямые записи DNS совпадают, обратная запись DNS может считаться надежным источником для определения предполагаемого пользователя IP-адреса.

Право собственности на IP-адрес можно определить через WHOIS, но часто это будет показывать провайдеров услуг связи или других провайдеров как владельцев. Вы, вероятно, хотите узнать о клиенте провайдера и текущем пользователе конкретного IP-адреса. Провайдеры услуг связи редко обновляют WHOIS с данными своих клиентов и текущего пользователя, которому было предоставлено использование данного IP-адреса.

Ответ или решение

Для определения доменов, которые имеют IP-адрес 142.251.211.234 и принадлежат Google API, можно воспользоваться несколькими подходами. Но прежде всего важно отметить, что прямые методы, такие как обратный DNS-запрос или WHOIS, могут не дать полной информации, поскольку такие IP-адреса часто используются для множества сервисов.

Метод 1: Использование DNS-записей

Как вы уже упомянули, для идентификации доменов можно исследовать DNS-записи. Однако для Google API это может быть неэффективно, так как многие сервисы не имеют обратных записей земных хостов.

Шаги:

  1. Проверка через DNS: Вы можете использовать команды типа dig для проверки известных сервисов Google, таких как storage.googleapis.com, cloudfunctions.googleapis.com и т.д. Например:
    dig storage.googleapis.com

    Это может помочь вам узнать, какие IP-адреса назначены конкретному домену. Но нужно помнить, что один и тот же IP-адрес может обслуживать множество доменов.

Метод 2: Использование gstatic.com

Обнаруженные вами диапазоны IP для Google Cloud, указанные по ссылке https://www.gstatic.com/ipranges/goog.json, могут быть полезны. В этом документе указаны отправные IP-адреса и соответствующие сервисы, которые используют эти адреса.

  1. Скачайте и прочитайте файл: Загрузите файл JSON, чтобы ознакомиться с диапазонами и сопоставить их с вашими IP-адресами.

Метод 3: Анализ трафика и логов

Если вы видите трафик из вашего GCP, вы можете использовать VPC Flow Logs для анализа и идентификации источников трафика.

  1. Фильтрация логов: Используйте логи VPC Flow и фильтруйте по src_google_service, как вы делали раньше:
    logName="projects/<project_name>/logs/compute.googleapis.com%2Factivity_log"

    Это может дать вам представление о том, какие домены генерируют трафик на эти IP.

Метод 4: Использование WHOIS

Хотя WHOIS может быть неэффективным для получения информации о конечных пользователях или доменах, он может дать информацию о владельце диапазона IP, в случае если вы хотите проверить, принадлежат ли эти адреса Google.

  1. Команда WHOIS:
    whois 142.251.211.234

    Это может помочь вам увидеть, какие организации зарегистрировали этот IP и его диапазоны.

Заключение

Таким образом, для нахождения доменов, которые имеют IP-адрес 142.251.211.234 и определены как Google API, потребуется использование комбинации методов.

Опирайтесь на знание о том, что Google использует множество идентификаторов для своих сервисов, и часто одни и те же IP могут обслуживать разноименные домены. Поэтому сам по себе DNS-запрос может быть неэффективным. Наилучшим подходом будет анализировать данные из VPC Flow Logs и обращаться к актуальным справочным ресурсам о диапазонах IP Google.

Если есть необходимость в создании правил брандмауэра для конкретного домена, рассмотрите возможность использования более обобщенных правил, которые охватывают весь диапазон IP-адресов, относящихся к Google API.

Оцените материал
Добавить комментарий

Капча загружается...