Investigar una IP o dominio sospechoso

Dirija la investigación a través de los hechos del dominio, la propiedad de la IP y el alcance CIDR en un orden que produzca pruebas en lugar de conjeturas.

Este flujo de trabajo solo ayuda con la investigación de primera fase. No ofrece detección de phishing, cobertura de inteligencia de amenazas ni puntuación de malicia.

Comprobar un dominio Volver al centro de Red/Seguridad
Start here when
Un nombre de host, origen de inicio de sesión o rango de proveedor sospechoso necesita triaje antes de decidir si escalar.
Orden recomendado
Comience con el registro del dominio y SSL, pase a la propiedad de la IP y luego use CIDR solo si realmente se necesita un análisis de rango.
Why this order matters
Evita bloquear de forma demasiado amplia y mantiene la investigación fundamentada en hechos visibles del registrador, ASN y subred.
Flujos de ejemplo
Escenario: dominio sospechoso
Revise el registrador, las fechas de creación recientes, los servidores de nombres y los tiempos del certificado antes de pasar a la propiedad de la IP. 
1. Check a domain
2. Review registrar + nameservers
3. Inspect SSL issuer and days remaining
Escenario: IP de origen sospechosa
Comience por la propiedad del ASN cuando la alerta ya incluya una IP de origen pública. 
1. Lookup an IP
2. Compare ASN + range with the expected provider
3. Escalate with those facts
Escenario: pregunta a nivel de proveedor
Utilice cálculos de subred cuando alguien quiera permitir o bloquear un rango completo después de una búsqueda de un solo host. 
1. Open CIDR calculator
2. Measure host count and boundaries
3. Decide whether a narrower rule is safer
Lista de verificación de tres pasos

Siga estos pasos cuando necesite un proceso claro de primera fase.

  • Compruebe primero un dominio cuando tenga un nombre de host, URL u origen de inicio de sesión.
  • Busque una IP después del paso del dominio o inmediatamente cuando la alerta ya comience desde una IP pública.
  • Abra la calculadora CIDR solo cuando la pregunta se amplíe al alcance de la subred o del rango del proveedor.
WHOIS frente a RDAP

WHOIS sigue siendo común para los dominios, mientras que los datos estructurados de RDAP a menudo impulsan las búsquedas de propiedad de IP con WHOIS como respaldo cuando es necesario.

  • Use domain registration data for registrar, expiration, and nameserver facts.
  • Utilice los datos de propiedad de la IP para obtener contexto de ASN, registro y rango de red.
Confianza y limitaciones

Estos pasos le ayudan a verificar las pruebas de registros públicos. No reemplazan una revisión de seguridad más profunda ni un producto con datos de inteligencia de amenazas.

  • No sugiera una puntuación de malicia donde la herramienta no la proporcione.
  • No bloquee un rango de proveedor completo hasta que el contexto CIDR muestre el alcance que realmente está afectando.
Open the live tools
Lookup an IP
Abra la búsqueda de IP en vivo cuando la investigación comience desde una dirección de origen.
Open CIDR calculator
Mida la subred antes de ampliar una regla a un bloque completo de proveedor.
WHOIS vs RDAP guide
Open the comparison guide when you need to explain why domains and IPs lean on different registration protocols.
Centro de Red/Seguridad
Regrese al centro para las tarjetas de inicio rápido y la barra de decisión entre herramientas.