Warum werden DNS-Ermittlungsabfragen für private Netzwerke an meinen ISP gesendet?

1991
Ivan Kovacevic

Ich habe in letzter Zeit einige Tests durchgeführt, bei denen regelmäßige DNS-Abfragen auf einem persönlichen Mac OS X-Computer über meine Software und zurück zum DNS-Server meines Internetdienstanbieters wiederhergestellt wurden.

Ich hatte die Gelegenheit, alle Abfragen der normalen Computernutzung zu sehen. Und diese haben mich neugierig gemacht:

lb._dns-sd._udp.0.1.168.192.in-addr.arpa  db._dns-sd._udp.0.1.168.192.in-addr.arpa  b._dns-sd._udp.0.1.168.192.in-addr.arpa  b._dns-sd._udp.0.1.168.192.in-addr.arpa  db._dns-sd._udp.0.1.168.192.in-addr.arpa  lb._dns-sd._udp.0.1.168.192.in-addr.arpa

Ich habe irgendwo gelesen, dass diese von der Bonjour-Service-Entdeckung von Apple stammen. Aber sollte das nicht nur im lokalen Netzwerk funktionieren, was würde also der Zweck sein, diese Anfragen an den DNS-Server des ISP zu senden ?! Sind diese Leute mit einer Bootladung dieser Anfragen von Leuten besetzt, die Macs besitzen ?! Was fehlt mir hier?

UPDATE: Ich habe gerade die Antwortdaten aus diesen Abfragen geprüft und es ist immer dasselbe. Ich sehe folgendes:

prisoner.iana.org

und

hostmaster.root-servers

Erwähnt in jeder Antwort (Anmerkung: Ich betrachte Rohdaten, daher kann ich dies möglicherweise nicht richtig dekodieren. Ich sehe googeln, dass andere etwas bekommen, hostmaster.root-servers.orgaber ich sehe keine orgin den rohen Bytes meiner Antworten).

1
Dies ist ein Fremdwort für ServerFault. Ich werde sowieso antworten, weil ich auf SuperUser keinen dupierten nahen Kandidaten sehe. (wohin soll das migriert werden) Andrew B vor 10 Jahren 0
Dies ist kein Reverse-DNS-Lookup. Es ist in der Tat DNS Service Discovery. Obwohl dies normalerweise in Multicast-DNS verwendet wird, nicht in Unicast-DNS. Daniel B vor 10 Jahren 0
Andrew B änderte mein etwas hässliches Thema in "Warum wird Reverse-DNS für private Netzwerke an meinen ISP gesendet?" Also habe ich eigentlich nie gesagt, dass es sich um eine umgekehrte DNS-Suche handelt. Ich habe das Thema jetzt geändert. Ich muss auch sagen, dass dies für Serverfault kein Thema war, da die Frage möglicherweise aus der Sicht eines Sys-Administrators betrachtet wurde. Zum Beispiel Netzwerk- / Protokollarchitektur, Positiv / Negativ, wie dies hätte geschehen können und wie diese Abfragen von "professionellen System- und Netzwerkadministratoren" behandelt werden. Ivan Kovacevic vor 10 Jahren 0
Das Suffix "in-addr.arpa" machte dies im Kern zu einer umgekehrten DNS-Frage, vor allem, weil Sie auch nach "prisoner.iana.org", den Blackholing-Servern, gefragt haben. Zu diesem Zeitpunkt versuchte ich, die Frage dahingehend zu gestalten, dass sie für den zukünftigen Dupe-Closing wiederverwendbar ist. In Bezug auf die Aktualität waren dies Beobachtungen, die auf einem persönlichen Gerät gemacht wurden, und Reverse-DNS ("in-addr.arpa"), die an Ihren Internetdienstanbieter übertragen wurden. Bei weiteren Fragen wenden Sie sich bitte an meta.SF, dies wurde ausführlich diskutiert. Andrew B vor 10 Jahren 0
Ich verstehe. Und danke für deine Antwort! Ivan Kovacevic vor 10 Jahren 0

1 Antwort auf die Frage

4
Andrew B

Die Resolver-Bibliothek Ihres Computers hat keine Vorstellung davon, was privater Adressraum ist und was nicht. Jede Anfrage für eine umgekehrte DNS-Suche wird an die DNS-Server gesendet, für die der Computer konfiguriert ist.

Ebenso wissen Ihre Clientanwendungen nicht, ob Ihre konfigurierten DNS-Server von Ihnen oder einer anderen Entität betrieben werden. Am besten versuchen Sie, DNS für die automatische Erkennung zu verwenden, und hoffen, dass Sie Ihre eigene DNS-Infrastruktur betreiben, die für Ihr LAN autorisierend ist.

In einem Wohnbereich / Enthusiasten-Szenario ist der häufigste Fall, dass Sie die DNS-Server Ihres ISP verwenden. Die Abfragen für Reverse-DNS des privaten Netzwerks werden an Ihren ISP "durchgesickert". In der DNS-Spezifikation gibt es keinen Ausweg. Dies wird als normaler Betrieb betrachtet. Wie der ISP an diesem Punkt reagiert, liegt ganz bei ihnen. Dies sind die häufigsten Fälle:

  • Der ISP verwaltet seinen eigenen autorisierenden Reverse-DNS für den privaten Netzwerkbereich und stellt ihn dem Kunden zur Verfügung. Häufig führt dies dazu, dass Sie den DNS-Eintrag für den Computer ermitteln, der diese IP-Adresse in seinem Netzwerk besitzt. (Hoppla)
  • Der ISP hält sich nicht für autorisierend für diesen IP-Bereich und leitet die Abfrage an die Top-Level-Nameserver von IANA für Reverse-DNS weiter. Die prisoner.iana.org.Daten der Behörden, die Sie sehen, stammen von IANAs Blackholing-Servern . Sie können mehr über den bereitgestellten Link lesen, aber die kurze Version besagt, dass das Durchsickern von Reverse-DNS im privaten Netzwerk sehr häufig vorkommt und diese Server so eingerichtet sind, dass sie die echten IANA-Server entlasten.
  • Die Nameserver-Software (oder Serveroperatoren) ist rücksichtsvoller als die meisten anderen und die Abfrage selbst wird nicht berücksichtigt. Dies ist bei weitem das unwahrscheinlichste Szenario. BIND hat eine solche Funktion in 9.4.1 implementiert. Es wird von empty-zones-enable(Standardeinstellung: Ja) gesteuert, und die zurückgegebenen Daten werden von den Optionen empty-serverund beeinflusst empty-contact.

Verwandte Probleme