Почему запросы на обнаружение службы DNS для частных сетей отправляются моему провайдеру?

1881
Ivan Kovacevic

В последнее время я проводил некоторое тестирование, которое включало повторное рутирование (проксирование) регулярных DNS-запросов на персональном компьютере Mac OS X через мое программное обеспечение и обратно на DNS-сервер моего интернет-провайдера.

У меня была возможность увидеть все запросы от обычного использования компьютера. И эти заставили меня любопытно:

lb._dns-sd._udp.0.1.168.192.in-addr.arpa  db._dns-sd._udp.0.1.168.192.in-addr.arpa  b._dns-sd._udp.0.1.168.192.in-addr.arpa  b._dns-sd._udp.0.1.168.192.in-addr.arpa  db._dns-sd._udp.0.1.168.192.in-addr.arpa  lb._dns-sd._udp.0.1.168.192.in-addr.arpa

Я где-то читал, что это из открытия сервиса Apple Bonjour. Но разве это не должно работать только в локальной сети, так какова цель отправки этих запросов на DNS-сервер интернет-провайдера ?! Эти парни наводнены множеством этих запросов от людей, владеющих маками ?! Что мне здесь не хватает?

ОБНОВЛЕНИЕ: Я только что проверил данные ответов на эти запросы, и они всегда одинаковы. Я вижу следующее:

prisoner.iana.org

а также

hostmaster.root-servers

Упоминается в каждом ответе (примечание: я смотрю на необработанные данные, поэтому, возможно, я не декодирую это должным образом. Я вижу, прибегая к помощи, что получают другие, hostmaster.root-servers.orgно я не вижу orgв необработанных байтах моих ответов)

1
Это не по теме для ServerFault. В любом случае, я собираюсь ответить, потому что я не вижу кандидата, близкого к обманщику, в SuperUser. (куда это должно быть перенесено) Andrew B 10 лет назад 0
Это не обратный поиск DNS. Это действительно DNS Service Discovery. Хотя это обычно используется в многоадресном DNS, а не в одноадресном DNS. Daniel B 10 лет назад 0
Эндрю Б изменил мою несколько уродливую тему на «Почему обратный DNS для частных сетей отправляется моему провайдеру?» так что я на самом деле никогда не говорил, что это был обратный поиск DNS. Я изменил тему сейчас. Я также должен сказать, что это не было так не по теме для отказа сервера, поскольку этот вопрос мог рассматриваться с точки зрения системного администратора. Например, архитектура сети / протокола, положительные / отрицательные стороны, как это могло быть сделано и как эти запросы обрабатываются «профессиональными системными и сетевыми администраторами». Ivan Kovacevic 10 лет назад 0
Суффикс `in-addr.arpa` сделал этот вопрос обратным DNS по своей сути, в частности потому, что вы также интересовались` Prisoner.iana.org` - серверами черного холдинга. В тот момент я пытался приспособить вопрос к возможности повторного использования для будущего дублирования. Что касается актуальности, это включало наблюдения, сделанные на персональном устройстве, и обратный DNS (`in-addr.arpa`), просачивающийся к вашему провайдеру. Пожалуйста, обратитесь к meta.SF, если у вас есть дополнительные вопросы, это было обсуждено исчерпывающе. Andrew B 10 лет назад 0
Я понимаю. И спасибо за ваш ответ! Ivan Kovacevic 10 лет назад 0

1 ответ на вопрос

4
Andrew B

Your computer's resolver library has no concept of what is private address space and what is not. Any request for a reverse DNS lookup is going to be sent to the DNS servers your machine is configured to use.

Likewise, your client applications have no knowledge of whether your configured DNS servers are operated by you, or some other entity. The best they can do is attempt to use DNS for autodiscovery, and hope that you are operating your own DNS infrastructure that is authoritative for your LAN.

In a residential/enthusiast scenario, the most common case is that you're using your ISP's DNS servers. The queries for private network reverse DNS are going to "leak" to your ISP. There's no way around that in the DNS specification; this is considered normal operation. How the ISP responds at that point is completely up to them. These are the most common cases:

  • The ISP manages their own authoritative reverse DNS for private network space, and is exposing it to the customer. Often this results in you discovering the DNS entry for the machine holding that IP address on their network. (oops)
  • The ISP doesn't consider itself authoritative for that IP space, and they "leak" the query up to IANA's top level nameservers for reverse DNS. The prisoner.iana.org. authority data that you're seeing comes from IANA's blackholing servers. You can read more about them in the provided link, but the short version is that leakage of private network reverse DNS is incredibly common and these servers are set up to take the load off of IANA's real ones.
  • The nameserver software (or server operators) are more considerate than most and blackhole the query themselves. This is by far the least likely scenario. BIND implemented such a feature in 9.4.1. It is controlled by empty-zones-enable (default: yes), and the data returned is influenced by the empty-server and empty-contact options.

Похожие вопросы