Tweet
Kiểm tra Name Resolution trong Linux
Khi hệ thống DNS đã được cấu hình đúng, Linux cung cấp nhiều công cụ để kiểm tra việc phân giải tên (name resolution). Công cụ phổ biến nhất là nslookup, cho phép bạn nhập vào một hostname để truy vấn. Khi hoàn tất, nó sẽ trả về địa chỉ IP (hoặc nhiều địa chỉ IP) tương ứng với hostname đó.
Ví dụ:
ed@ubuntu:/usr/lib/systemd$ nslookup cisco.com Server: 127.0.1.1 Address: 127.0.1.1#53 Non-authoritative answer: Name: cisco.com Address: 72.163.4.161
Trong ví dụ trên, DNS server chạy trên localhost (127.0.1.1). Kết quả “Non-authoritative answer” nghĩa là máy chủ DNS trả lời không phải là máy chủ gốc quản lý trực tiếp domain này, nhưng nó cung cấp IP chính xác.
Truy vấn DNS từ một DNS server khác
Bạn có thể chỉ định DNS server thay thế để thực hiện truy vấn, ví dụ dùng DNS công cộng của Google (8.8.8.8):
ed@ubuntu:/usr/lib/systemd$ nslookup cisco.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: cisco.com Address: 72.163.4.161
Reverse DNS Lookup
Ngoài việc phân giải hostname → IP, nslookup cũng hỗ trợ phân giải ngược IP → hostname:
ed@ubuntu:/usr/lib/systemd$ nslookup 72.163.4.161
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
161.4.163.72.in-addr.arpa name = www1.cisco.com
Kỹ thuật này hữu ích trong điều tra bảo mật, ví dụ khi bạn phát hiện một IP đáng ngờ kết nối đến hệ thống.
Xác định chủ sở hữu IP bằng Whois
Sau khi có IP, bạn có thể dùng công cụ whois để truy vấn thông tin về đơn vị sở hữu:
ed@ubuntu:/usr/lib/systemd$ whois 72.163.4.161
Kết quả cho thấy thông tin phân bổ dải IP:
Đây là bước khởi đầu quan trọng trong việc phân tích sự cố an ninh mạng, giúp bạn nhanh chóng xác định được bên quản lý địa chỉ IP hoặc domain nghi ngờ.
Câu hỏi ôn tập
1. Lệnh nào dùng để xem kết quả phân giải DNS cho một entry?
2. Lệnh nào dùng để lấy thông tin chi tiết về chủ sở hữu của một địa chỉ IP đã đăng ký?
Khi hệ thống DNS đã được cấu hình đúng, Linux cung cấp nhiều công cụ để kiểm tra việc phân giải tên (name resolution). Công cụ phổ biến nhất là nslookup, cho phép bạn nhập vào một hostname để truy vấn. Khi hoàn tất, nó sẽ trả về địa chỉ IP (hoặc nhiều địa chỉ IP) tương ứng với hostname đó.
Ví dụ:
ed@ubuntu:/usr/lib/systemd$ nslookup cisco.com Server: 127.0.1.1 Address: 127.0.1.1#53 Non-authoritative answer: Name: cisco.com Address: 72.163.4.161
Trong ví dụ trên, DNS server chạy trên localhost (127.0.1.1). Kết quả “Non-authoritative answer” nghĩa là máy chủ DNS trả lời không phải là máy chủ gốc quản lý trực tiếp domain này, nhưng nó cung cấp IP chính xác.
Truy vấn DNS từ một DNS server khác
Bạn có thể chỉ định DNS server thay thế để thực hiện truy vấn, ví dụ dùng DNS công cộng của Google (8.8.8.8):
ed@ubuntu:/usr/lib/systemd$ nslookup cisco.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: cisco.com Address: 72.163.4.161
Reverse DNS Lookup
Ngoài việc phân giải hostname → IP, nslookup cũng hỗ trợ phân giải ngược IP → hostname:
ed@ubuntu:/usr/lib/systemd$ nslookup 72.163.4.161
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
161.4.163.72.in-addr.arpa name = www1.cisco.com
Kỹ thuật này hữu ích trong điều tra bảo mật, ví dụ khi bạn phát hiện một IP đáng ngờ kết nối đến hệ thống.
Xác định chủ sở hữu IP bằng Whois
Sau khi có IP, bạn có thể dùng công cụ whois để truy vấn thông tin về đơn vị sở hữu:
ed@ubuntu:/usr/lib/systemd$ whois 72.163.4.161
Kết quả cho thấy thông tin phân bổ dải IP:
- NetRange: 72.163.0.0 – 72.163.255.255
- NetName: CISCO-GEN-7
- Organization: Cisco Systems, Inc.
Đây là bước khởi đầu quan trọng trong việc phân tích sự cố an ninh mạng, giúp bạn nhanh chóng xác định được bên quản lý địa chỉ IP hoặc domain nghi ngờ.
Câu hỏi ôn tập
1. Lệnh nào dùng để xem kết quả phân giải DNS cho một entry?
- Ip domain lookup
- net lookup
- nslookup ✅
- dnsresolv
2. Lệnh nào dùng để lấy thông tin chi tiết về chủ sở hữu của một địa chỉ IP đã đăng ký?
- ifconfig
- whois ✅
- whereis
- nslookup
Attached Files