Тип запроса несоответствия типа ответа с помощью инструмента dns Dig

338
BOND

Когда я сделал DNS-запрос домена с "dig @server тип домена"

[root@centos ~]# dig @8.8.8.8 www.google.com aaaa  ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> @8.8.8.8 www.google.com aaaa ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10074 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0  ;; QUESTION SECTION: ;www.google.com. IN AAAA  ;; ANSWER SECTION: www.google.com. 249 IN A 69.63.184.14  ;; Query time: 4 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Fri Sep 28 18:44:16 CST 2018 ;; MSG SIZE rcvd: 48

Что с этим? Я попытался tcpdump сетевой трафик, это было:

Tcpdump обрабатывает пакеты

0
4 мс это способ быстро. Это очень маловероятно, чтобы прийти от Google. Даже мой выделенный сервер занимает 14 мс, чтобы получить ответ от 8.8.8.8. Daniel B 5 лет назад 0
@DanielB: Да, это определенно фальшивка, но в целом это зависит от того, где он физически расположен и насколько хороша связь с хостом (Google предлагает прямой пиринг). 5–6 мс - это абсолютно нормально для моего дешевого VPS со временем пинга 1–2 мс просто потому, что оно очень близко к AMS-IX. grawity 5 лет назад 0
`69.63.184.14`, кстати, принадлежит Facebook. Daniel B 5 лет назад 0
Да, это слишком быстро, чем обычный сетевой пинг. это dns poisioning, ничего общего с «копать». Спасибо вам всем. BOND 5 лет назад 0

1 ответ на вопрос

0
grawity

Каждый DNS-запрос генерирует ровно один ответ. Если вы получаете три, это означает, что два других не приходят с реального сервера 8.8.8.8 - они приходят из другого места, то есть на вашем пути к Интернету находится вредоносное устройство. (Эти пакеты показывают различные TTL в их заголовках IP?)

Свяжитесь с вашим провайдером / администратором сети.

Спасибо, вы правы, TTL в заголовках IP различны, в пакете ответов DNS-записи A - 51, в ответе AAAA записи - 104, в пути должно быть вредоносное устройство. BOND 5 лет назад 0

Похожие вопросы