nslookup - query DNS interattive

Cosa fa

#

Interroga i server DNS per ottenere i record associati a un dominio. Utile per verificare configurazioni DNS, investigare domini sospetti e controllare record SPF/DMARC durante analisi phishing. nslookup (name server lookup) — ricerca nei nameserver.

Sintassi

#

nslookup [opzioni] dominio [server]

Comandi essenziali

#

Combinazioni utili

#

# Interroga un resolver specifico invece del tuo default
nslookup tryhackme.com 8.8.8.8

# Utile per confrontare: il tuo resolver e quello di Google
# danno la stessa risposta? Se no → qualcosa non va
nslookup tryhackme.com 1.1.1.1

# Verifica SPF e DMARC durante analisi phishing
nslookup -type=TXT dominio-sospetto.com
# cerco "v=spf1" e "v=DMARC1"

# Segui la catena CNAME completa
nslookup -type=CNAME store.tryhackme.com
# se la destinazione non risponde → potenziale subdomain takeover

Scenario Reale

#

Un analista SOC riceve una email sospetta da noreply@paypa1.com (occhio: paypa1 con il numero 1, non la L).

# 1. Verifico il record A — a che IP punta?
nslookup paypa1.com
# → IP sconosciuto, non di PayPal

# 2. Verifico SPF — chi è autorizzato a mandare email?
nslookup -type=TXT paypa1.com
# → nessun record SPF, o SPF con ~all (softfail)

# 3. Verifico MX — dove arrivano le email di risposta?
nslookup -type=MX paypa1.com
# → server di posta sconosciuto

Tre query, meno di un minuto, dominio di phishing confermato.

Dove l'ho usato

#

• dns-in-detail — esercizi record A, CNAME, MX, TXT

Note personali

#

nslookup è il modo veloce. Per vedere l'intera catena di risoluzione passo per passo (root → TLD → authoritative) usa: dig dominio.com +trace

Collegato a

#

• dns-resolution — come funziona la risoluzione DNS
• dns-records — tutti i tipi di record
• network — categoria
• ctf — categoria