Почему запросы на обнаружение службы DNS для частных сетей отправляются моему провайдеру?

В последнее время я проводил некоторое тестирование, которое включало повторное рутирование (проксирование) регулярных DNS-запросов на персональном компьютере Mac OS X через мое программное обеспечение и обратно на DNS-сервер моего интернет-провайдера.

У меня была возможность увидеть все запросы от обычного использования компьютера. И эти заставили меня любопытно:

lb._dns-sd._udp.0.1.168.192.in-addr.arpa  
db._dns-sd._udp.0.1.168.192.in-addr.arpa  
b._dns-sd._udp.0.1.168.192.in-addr.arpa  
b._dns-sd._udp.0.1.168.192.in-addr.arpa  
db._dns-sd._udp.0.1.168.192.in-addr.arpa  
lb._dns-sd._udp.0.1.168.192.in-addr.arpa

Я где-то читал, что это из открытия сервиса Bonjour от Apple. Но разве это не должно работать только в локальной сети, так какова цель отправки этих запросов на DNS-сервер интернет-провайдера?! Эти парни наводнены множеством этих запросов от людей, владеющих маками?! Что мне здесь не хватает?

ОБНОВЛЕНИЕ: я только что проверил данные ответов на эти запросы, и они всегда одинаковы. Я вижу следующее:

prisoner.iana.org

а также

hostmaster.root-servers

Упоминается в каждом ответе (примечание: я смотрю на необработанные данные, поэтому, возможно, я не декодирую это должным образом. По гуглю, я вижу, что другие получают hostmaster.root-servers.org но я не вижу org в сырых байтах моих ответов)

1 ответ

Решение

Библиотека распознавателя вашего компьютера не имеет понятия, что такое частное адресное пространство, а что нет. Любой запрос на обратный поиск DNS будет отправляться на DNS-серверы, которые настроено для использования вашей машиной.

Аналогично, ваши клиентские приложения не знают, работают ли ваши сконфигурированные DNS-серверы с вами или каким-либо другим лицом. Лучшее, что они могут сделать, - это попытаться использовать DNS для автоматического обнаружения и надеяться, что вы используете собственную DNS-инфраструктуру, которая является авторитетной для вашей локальной сети.

В бытовом / энтузиастическом сценарии наиболее распространенным случаем является использование DNS-серверов вашего интернет-провайдера. Запросы на обратный DNS в частной сети будут "просачиваться" к вашему провайдеру. Обойти это невозможно в спецификации DNS; это считается нормальной операцией. То, как интернет-провайдер отвечает в этот момент, полностью зависит от них. Это наиболее распространенные случаи:

  • Интернет-провайдер управляет собственным авторитетным обратным DNS для частного сетевого пространства и предоставляет его клиенту. Часто это приводит к тому, что вы обнаруживаете запись DNS для машины, на которой находится этот IP-адрес в их сети. (Ой)
  • Интернет-провайдер не считает себя авторитетным для этого пространства IP, и он "пропускает" запрос на серверы имен верхнего уровня IANA для обратного DNS. prisoner.iana.org. авторитетные данные, которые вы видите, поступают с черных серверов IANA. Вы можете прочитать о них больше в предоставленной ссылке, но короткая версия заключается в том, что утечка обратной DNS частной сети невероятно распространена, и эти серверы настроены на то, чтобы снять нагрузку с реальных IANA.
  • Программное обеспечение сервера имен (или операторы сервера) является более внимательным, чем большинство, и делает запрос черным. Это, безусловно, наименее вероятный сценарий. BIND реализовал такую ​​функцию в 9.4.1. Контролируется empty-zones-enable (по умолчанию: да), и на возвращаемые данные влияет empty-server а также empty-contact опции.
Другие вопросы по тегам