调查可疑的 IP 或域名
按照产生证据而非猜测的顺序,通过域名事实、IP 所有权和 CIDR 范围来引导调查。
此工作流仅有助于初步调查。它不提供网络钓鱼检测、威胁情报覆盖或恶意评分。
Start here when
可疑的主机名、登录源或提供商范围在决定是否升级之前需要进行分类。
推荐顺序
从域名注册和 SSL 开始,移至 IP 所有权,然后仅在确实需要范围分析时才使用 CIDR。
Why this order matters
您可以避免过度宽泛的屏蔽,并使调查基于可见的注册商、ASN 和子网事实。
场景:可疑域名
在转向 IP 所有权之前,查看注册商、最近的创建日期、名称服务器和证书时间。
1. Check a domain
2. Review registrar + nameservers
3. Inspect SSL issuer and days remaining
场景:可疑源 IP
当警报已包含公网源 IP 时,从 ASN 所有权开始。
1. Lookup an IP
2. Compare ASN + range with the expected provider
3. Escalate with those facts
场景:提供商范围的问题
当有人想在单主机查询后允许或阻止整个范围时,请使用子网计算。
1. Open CIDR calculator
2. Measure host count and boundaries
3. Decide whether a narrower rule is safer
当您需要清晰的初步流程时,请遵循以下步骤。
- 当您拥有主机名、URL 或登录来源时,先检查域名。
- 在域名步骤之后或当警报已经从公网 IP 开始时立即查询 IP。
- 仅当问题扩展到子网或提供商范围时,才打开 CIDR 计算器。
WHOIS 仍然常用于域名,而结构化 RDAP 数据通常支持 IP 所有权查询,并在需要时使用 WHOIS 作为备选。
- Use domain registration data for registrar, expiration, and nameserver facts.
- 使用 IP 所有权数据获取 ASN、注册机构和网络范围上下文。
这些步骤有助于您验证公共记录证据。它们不能替代更深入的安全审查或带有威胁情报数据的产品。
- 不要在工具未提供恶意评分的地方暗示它。
- 在 CIDR 上下文显示您实际影响的范围之前,不要阻止整个提供商范围。