Co to jest odwrotny DNS?

10

Mam wiele żądań domen * .in-addr.arpa na moim koncie OpenDNS. Wiem, że to powinno być normalne i dotyczy odwrotnego DNS.

Czytałem tu i tam, ale nadal nie mogę naprawdę zrozumieć, jak to działa i dlaczego otrzymuję tak wiele próśb (więcej niż www.google.com). Potrzebowałbym tylko kogoś, kto, jak sugerował Einstein, mógłby wyjaśnij mi, do czego służy ten zwrotny DNS, tak jak wyjaśniłby to swojej babci.

Pitto
źródło

Odpowiedzi:

17

Odwrotny DNS to odwzorowanie z adresu IP na nazwę DNS. To jest jak DNS, ale wstecz. Jeśli masz przypisane adresy IP, musisz skonfigurować zwrotny DNS, aby powiedzieć światu, do czego służą te adresy.

W praktyce, jeśli chcesz wiedzieć, jaki system jest przy 216.239.32.10projektowaniu, nazywa się to wyszukiwaniem wstecznym poprzez odwrócenie adresu IP i dodanie do niego pliku in-addr.arpa. Tak to wygląda następująco: 10.32.239.216.in-addr.arpa. Rekord PTR powinien następnie powiedzieć, jaki to system. Narzędzie do kopania automatyzuje to za pomocą przełącznika -x.

pehrs$ dig -x 216.239.32.10

; <<>> DiG 9.6.0-APPLE-P2 <<>> -x 216.239.32.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49177
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;10.32.239.216.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
10.32.239.216.in-addr.arpa. 86400 IN    PTR ns1.google.com.

;; AUTHORITY SECTION:
32.239.216.in-addr.arpa. 86400  IN  NS  ns1.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns2.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns4.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns3.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.     205358  IN  A   216.239.34.10
ns1.google.com.     205358  IN  A   216.239.32.10
ns4.google.com.     205358  IN  A   216.239.38.10
ns3.google.com.     205358  IN  A   216.239.36.10

;; Query time: 63 msec
;; SERVER: x#53(x)
;; WHEN: Tue Jan  4 13:35:14 2011
;; MSG SIZE  rcvd: 204

Zwróć uwagę na rekord PTR. Mówi nam, że tak 216.239.32.10jest ns1.google.com.

pehrs
źródło
7

Krótka wersja polega na tym, że zwrotny DNS służy do uzyskania nazwy domeny z adresu IP, podczas gdy normalny DNS jest używany do uzyskania adresu IP z nazwy domeny.

Sposób, w jaki to faktycznie działa, polega na tym, że istnieje atrapa domeny najwyższego poziomu o nazwie in-addr.arpa, a aby znaleźć nazwę domeny dla adresu IP ABCD, klient DNS sprawdza w DCBAin-addr.arpa. Istnieją różne skomplikowane zasady delegowania subdomen inaddr.arpa, aby zapewnić, że żądania te trafią we właściwe miejsce. Artykuł w Wikipedii jest OK, choć może trochę zwięzły: http://en.wikipedia.org/wiki/Reverse_DNS_lookup .

Dla ciebie oznacza to, że jeśli posiadasz blok adresów IP i chcesz tworzyć odwrotne rekordy DNS dla tych adresów, aby ich nazwy domenowe mogły być wyszukiwane, musisz upewnić się, że ktokolwiek masz Block from skonfigurował odpowiednią delegację, abyś mógł zarządzać subdomeną in-addr.arpa i dzięki temu mógł utworzyć odpowiednie rekordy DNS PTR.

Mike Scott
źródło
+1 za wzmiankę o atrapie TLD .arpa, co dezorientuje większość ludzi, gdy mówi się o odwrotnym DNS.
Massimo,
6
W rzeczywistości .arpa nie ma nic obojętnego. To normalna TLD, tyle że rejestracja w .arpa jest bardzo ograniczona.
pehrs
Wiem, że ten wątek jest stary, ale czy ktoś mógłby wyjaśnić, co to znaczy „posiadać” blok adresów IP? Czy właściciel jest uważany za osobę, która korzysta z przestrzeni IP (która mogłaby następnie zarządzać strefami wyszukiwania wstecznego i rekordami PTR w tym samym miejscu, w którym ich serwery nazw są skonfigurowane dla rekordów hosta DNS) - czy też właściciel jest uważany za dostawcę usług internetowych który dzierżawi blok adresów IP firmie / osobie w celu wykorzystania ich w publicznych punktach końcowych (takich jak serwery WWW, serwery e-mail, punkty końcowe VPN itp.). Aby wyjaśnić moje pytanie: czy ma to znaczenie GDZIE zarządzane są publiczne rekordy PTR?
SturdyErde
@SturdyErde Nie ma znaczenia, kto szuka nazwy. Może to mieć znaczenie, jeśli korzystasz z przestrzeni adresowej i chcesz wprowadzić zmiany w strefie odwrotnej. Jeśli chodzi o to, kto jest właścicielem przestrzeni adresowej, powiedziałbym, że każdy, kto otrzymał adresy przypisane do nich z RIR (ARIN / RIPE / APNIC / ...) jest ich właścicielem, ale może oczywiście nadal delegować dalej w DNS (np. Do klienta ich), jeśli tego chcą.
Håkan Lindqvist
Dzięki, @ HåkanLindqvist. Więc jeśli moja organizacja otrzyma blok publicznych adresów IP od dostawcy usług internetowych, są właścicielami adresów IP, ale my jesteśmy delegatem, który może nimi zarządzać, jeśli uznamy to za stosowne. Moje dalsze pytanie brzmi: czy jako delegat możemy określić serwery nazw i zarządzać strefą odwrotną, gdziekolwiek chcemy, czy też jesteśmy ograniczeni do wprowadzania zmian za pośrednictwem właściciela adresów IP? (Ciekawe, ponieważ konsultant Exchange skomentował, co skłoniło mnie do zakwestionowania mojego zrozumienia, gdzie można zarządzać strefami odwrotnymi.)
SturdyErde
2

Ponieważ poprosiłeś o użycie odwrotnego DNS, rozważ następujące kwestie.

Ktoś chce dostarczyć wiadomość e-mail na Twój serwer pocztowy. Podaje się za serwer mail.example.com. Możesz użyć wyszukiwania wstecznego, aby sprawdzić, czy jego adres IP faktycznie należy do adresu mail.example.com. Jeśli nie, wiesz, że prawdopodobnie coś jest nie tak. Jeśli nie możesz nawet znaleźć odwrotnego wpisu, jest to jeszcze bardziej podejrzane. (Przynajmniej w ostatniej sytuacji poczta prawdopodobnie będzie spamem i będzie traktowana jako taka przez wielu dostawców).

To samo dotyczy również innych połączeń. W rzeczywistości sshdoznaczy próbę połączenia, POSSIBLE BREAK-IN ATTEMPT!jakby wpisy do tyłu i do przodu nie pasowały. Domyślnym zachowaniem jest jednak zignorowanie go.

Carsten Thiel
źródło