Проверки безопасности IP домена

Что доказывает проверка и где ее пределы

Проверка IP домена показывает, что публичный DNS сейчас возвращает для введенного имени. Она не доказывает, что сервер исправен, что все пользователи получают тот же ответ или что адрес принадлежит только одному сайту. DNS отвечает за имена; HTTP, TLS, почтовая маршрутизация и репутация сети добавляют свои факты.

Всегда проверяйте точный hostname. Apex-домен, www, API, почтовый host и staging могут иметь разные записи. Результат для example.com нельзя автоматически считать доказательством для www.example.com или api.example.com, если DNS явно не показывает связь.

Для инцидента фиксируйте найденные адреса и URL инструмента. Такой результат проще воспроизвести другому инженеру, хостинг-провайдеру или специалисту безопасности, чем устное описание из переписки.

Практический порядок действий

Начните с /ru/domain-ip-lookup и вводите именно hostname, а не длинный URL из браузера с параметрами аналитики. Если в ответе есть IPv4 и IPv6, проверяйте оба семейства. Если ответ идет через CNAME, сначала прочитайте целевое имя и только потом делайте вывод о финальном IP.

Затем откройте /ru/dns-checker для того же host и сравните A, AAAA, CNAME, NS и TTL. После переезда TTL объясняет, почему часть резолверов еще отдает старые адреса. Если цель принадлежит CDN или SaaS, WHOIS и headers помогут понять, до какого слоя вы реально доходите.

После DNS проверьте прикладной слой. /ru/http-header-checker покажет редиректы, cache headers, server hints и признаки proxy. /ru/ssl-certificate-checker подтвердит, что сертификат для hostname совпадает с маршрутом, по которому идут пользователи.

Частые ошибки

CDN IP, общий хостинг или переиспользованный cloud-адрес могут создать ложную связь с чужой активностью, если не сохранить время проверки и hostname-контекст. Поэтому результат lookup нужно читать как набор признаков, а не как окончательный вердикт.

Еще одна частая ошибка — менять DNS у регистратора, когда авторитетные NS указывают на другого провайдера. Публичная проверка продолжит показывать старую зону, потому что измененная зона не делегирована. Перед жалобой на propagation сначала проверьте NS.

Не вставляйте голый IP в браузер и не ждите того же поведения, что у домена. Shared hosting и HTTPS часто зависят от Host и SNI; один IP может показать default page или предупреждение сертификата.

Когда сохранять baseline

Сохраняйте baseline перед DNS-миграциями, подключением CDN, сменой хостинга, запуском IPv6, обновлением сертификатов, изменением allowlist и security review. В baseline должны быть hostname, адреса, TTL, CNAME-цепочка и HTTP или TLS результат за именем.

Для автоматизации сравнивайте полный набор ответов, а не один ожидаемый адрес. Оповещайте, когда появляется адрес вне разрешенного диапазона провайдера, неожиданно пропадает IPv6 или CNAME меняется на неизвестный сервис.

Хороший baseline полезен не только DNS-команде. Support объясняет региональный кэш, security отделяет CDN от origin, а разработчики подтверждают, что staging и production случайно не делят одну запись.

Частые вопросы

Первый IP в ответе всегда настоящий сервер?

Нет. Это может быть edge CDN, балансировщик или общий адрес shared hosting. Смотрите весь набор ответов и проверяйте HTTP/TLS для hostname.

Почему разные резолверы показывают разные IP?

Причиной могут быть Geo DNS, CDN routing, балансировка и кэш TTL. Для сравнения резолверов используйте DNS Checker.

Можно ли использовать результат для firewall allowlist?

Осторожно. Адреса CDN и SaaS могут ротироваться. Для продакшена лучше брать диапазоны из документации провайдера или строить мониторинг.

Проверяет ли lookup почтовые серверы?

Только если вы ввели конкретный hostname. Для почты обычно нужны MX и TXT, а затем отдельная проверка адресов mail exchanger.