Узнайте, как проверить подозрительную ссылку с помощью IP-репутации. Разбираем реальный кейс с инструментом KiloCheck. Попробуйте сами!
Вы когда-нибудь получали письмо от рекрутера с подозрительной ссылкой, и ваша интуиция кричала «мошенничество»? Но интуиция — это не доказательство. В этой статье я покажу, как с помощью утилиты KiloCheck и стандартных инструментов командной строки превратить догадку в факт. Вы научитесь отличать реальную угрозу от простого спама, не полагаясь на ощущения.
KiloCheck — это офлайн-движок репутации IP-адресов. Один бинарник размером ~12 МБ на Rust. Его логика — четырёхэтапный конвейер: загрузка подписанного списка угроз → нормализация данных → построение локального индекса → проверка IP. Всё работает без интернета, запросы не утекают, а данные криптографически верифицированы.
Установка проста:
curl -fsSL https://raw.githubusercontent.com/copyleftdev/kilocheck/v0.2.0/scripts/install.sh | sh
kilo update # загружает данные, выводит "Claims 3160"
kilo status --json # → "integrity": "verified", "freshness": "fresh"Утром я получил сообщение от «рекрутера» с предложением работы в аэрокосмической компании. Ссылка выглядела как трекер с параметрами. Вместо того чтобы гадать, я запустил эксперимент.
С помощью dig я получил IP-адрес, на который ведёт ссылка:
dig +short <хост-редиректа>
203.0.113.90Запускаем проверку:
kilo check 203.0.113.90 --json | jq '.data[0].verdict'Результат:
{
"disposition": "unknown",
"confidence": 0.0,
"recommended_action": "monitor",
"reason_codes": ["NOT_OBSERVED"]
}NOT_OBSERVED — инструмент честно сказал: «Я не знаю». Это важнее, чем ложная тревога.
Чтобы убедиться, что KiloCheck умеет обнаруживать реальные угрозы, я проверил известный C2-узел и публичный DNS:
203.0.113.90 → unknown monitor NOT_OBSERVED
162.243.103.246 → CRITICAL block COMMAND_AND_CONTROL (conf 0.99)
8.8.8.8 → unknown monitor NOT_OBSERVEDИнструмент работает корректно: ложных срабатываний нет, реальная угроза обнаружена.
Честный ответ KiloCheck не закрыл дело, а указал направление. Я использовал curl для проверки редиректа и openssl для чтения сертификата:
curl -I <ссылка>
HTTP/2 302 → /captcha-gate?...
openssl s_client -connect <хост>:443 </dev/null 2>/dev/null | openssl x509 -textРезультат: ссылка вела на легитимный агрегатор вакансий. Угрозы не было — просто спам от генератора лидов.
Соберите свой набор утилит: dig, curl, openssl и KiloCheck. Каждый инструмент делает одно дело и говорит на JSON. Полагайтесь на факты, а не на интуицию. Честный ответ «не знаю» ценнее, чем ложная уверенность.
Попробуйте сами: kilo check <подозрительный-IP> --json
Хочешь закрепить знания на практике?
Решай задачи на Algolit — интерактивная платформа для обучения
Начать бесплатно →