Почему запросы на обнаружение службы DNS для частных сетей отправляются моему провайдеру?
В последнее время я проводил некоторое тестирование, которое включало повторное рутирование (проксирование) регулярных DNS-запросов на персональном компьютере Mac OS X через мое программное обеспечение и обратно на DNS-сервер моего интернет-провайдера.
У меня была возможность увидеть все запросы от обычного использования компьютера. И эти заставили меня любопытно:
lb._dns-sd._udp.0.1.168.192.in-addr.arpa
db._dns-sd._udp.0.1.168.192.in-addr.arpa
b._dns-sd._udp.0.1.168.192.in-addr.arpa
b._dns-sd._udp.0.1.168.192.in-addr.arpa
db._dns-sd._udp.0.1.168.192.in-addr.arpa
lb._dns-sd._udp.0.1.168.192.in-addr.arpa
Я где-то читал, что это из открытия сервиса Bonjour от Apple. Но разве это не должно работать только в локальной сети, так какова цель отправки этих запросов на DNS-сервер интернет-провайдера?! Эти парни наводнены множеством этих запросов от людей, владеющих маками?! Что мне здесь не хватает?
ОБНОВЛЕНИЕ: я только что проверил данные ответов на эти запросы, и они всегда одинаковы. Я вижу следующее:
prisoner.iana.org
а также
hostmaster.root-servers
Упоминается в каждом ответе (примечание: я смотрю на необработанные данные, поэтому, возможно, я не декодирую это должным образом. По гуглю, я вижу, что другие получают hostmaster.root-servers.org
но я не вижу org
в сырых байтах моих ответов)
1 ответ
Библиотека распознавателя вашего компьютера не имеет понятия, что такое частное адресное пространство, а что нет. Любой запрос на обратный поиск DNS будет отправляться на DNS-серверы, которые настроено для использования вашей машиной.
Аналогично, ваши клиентские приложения не знают, работают ли ваши сконфигурированные DNS-серверы с вами или каким-либо другим лицом. Лучшее, что они могут сделать, - это попытаться использовать DNS для автоматического обнаружения и надеяться, что вы используете собственную DNS-инфраструктуру, которая является авторитетной для вашей локальной сети.
В бытовом / энтузиастическом сценарии наиболее распространенным случаем является использование DNS-серверов вашего интернет-провайдера. Запросы на обратный DNS в частной сети будут "просачиваться" к вашему провайдеру. Обойти это невозможно в спецификации DNS; это считается нормальной операцией. То, как интернет-провайдер отвечает в этот момент, полностью зависит от них. Это наиболее распространенные случаи:
- Интернет-провайдер управляет собственным авторитетным обратным DNS для частного сетевого пространства и предоставляет его клиенту. Часто это приводит к тому, что вы обнаруживаете запись DNS для машины, на которой находится этот IP-адрес в их сети. (Ой)
- Интернет-провайдер не считает себя авторитетным для этого пространства IP, и он "пропускает" запрос на серверы имен верхнего уровня IANA для обратного DNS.
prisoner.iana.org.
авторитетные данные, которые вы видите, поступают с черных серверов IANA. Вы можете прочитать о них больше в предоставленной ссылке, но короткая версия заключается в том, что утечка обратной DNS частной сети невероятно распространена, и эти серверы настроены на то, чтобы снять нагрузку с реальных IANA. - Программное обеспечение сервера имен (или операторы сервера) является более внимательным, чем большинство, и делает запрос черным. Это, безусловно, наименее вероятный сценарий. BIND реализовал такую функцию в 9.4.1. Контролируется
empty-zones-enable
(по умолчанию: да), и на возвращаемые данные влияетempty-server
а такжеempty-contact
опции.