Что такое обратный DNS?

10

У меня много запросов доменов * .in-addr.arpa в моей учетной записи OpenDNS. Я знаю, что это должно быть нормально, и речь идет об обратном DNS.

Я читал здесь и там, но все еще не могу понять, как это работает и почему я получаю столько запросов (больше, чем www.google.com). Мне просто нужен кто-то, кто, как предположил Эйнштейн, мог бы объясните мне, для чего используется этот обратный DNS, как он объяснил бы своей бабушке.

domain-name-system reverse-dns Pitto
источник

Ответы:

17

Обратный DNS - это сопоставление IP-адреса с DNS-именем. Так что это как DNS, но в обратном направлении. Если вам назначены IP-адреса, вы должны настроить обратный DNS, чтобы сообщить миру, для чего эти адреса используются.

На практике, если вы хотите узнать, какая у 216.239.32.10вас система, спроектируйте так называемый обратный поиск, изменив IP-адрес и добавив в него in-addr.arpa. Так это выглядит следующим образом : 10.32.239.216.in-addr.arpa. Запись PTR должна затем сказать вам, что это за система. Инструмент копания автоматизирует это с ключом -x.

pehrs$ dig -x 216.239.32.10

; <<>> DiG 9.6.0-APPLE-P2 <<>> -x 216.239.32.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49177
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;10.32.239.216.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
10.32.239.216.in-addr.arpa. 86400 IN    PTR ns1.google.com.

;; AUTHORITY SECTION:
32.239.216.in-addr.arpa. 86400  IN  NS  ns1.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns2.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns4.google.com.
32.239.216.in-addr.arpa. 86400  IN  NS  ns3.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.     205358  IN  A   216.239.34.10
ns1.google.com.     205358  IN  A   216.239.32.10
ns4.google.com.     205358  IN  A   216.239.38.10
ns3.google.com.     205358  IN  A   216.239.36.10

;; Query time: 63 msec
;; SERVER: x#53(x)
;; WHEN: Tue Jan  4 13:35:14 2011
;; MSG SIZE  rcvd: 204

Обратите внимание на запись PTR. Это говорит нам о том, что 216.239.32.10на самом деле ns1.google.com.

pehrs
источник
7

Короткая версия заключается в том, что обратный DNS используется для получения доменного имени с IP-адреса, в то время как обычный DNS используется для получения IP-адреса от доменного имени.

На самом деле он работает так, что существует фиктивный домен верхнего уровня, называемый in-addr.arpa, и для поиска имени домена для IP-адреса ABCD DNS-клиент выполняет поиск по DCBAin-addr.arpa. Существуют различные сложные правила для делегирования поддоменов in-addr.arpa, чтобы гарантировать, что эти запросы направляются в правильное место. Статья в Википедии в порядке, хотя, возможно, немного краткая: http://en.wikipedia.org/wiki/Reverse_DNS_lookup .

Для вас это означает, что если у вас есть блок IP-адресов, и вы хотите иметь возможность создавать обратные записи DNS для этих адресов, чтобы можно было искать их доменные имена, вам необходимо убедиться, что кто бы вы ни получили Блок from настроил соответствующее делегирование, чтобы вы управляли поддоменом in-addr.arpa и, таким образом, могли создавать соответствующие записи DNS PTR.

Майк Скотт
источник
+1 за упоминание фиктивного домена верхнего уровня .arpa, что смущает большинство людей, когда речь идет об обратном DNS.
Массимо
6
На самом деле, нет ничего глупого в .arpa. Это обычный домен верхнего уровня, только регистрация в .arpa очень ограничена.
pehrs
Я знаю, что эта ветка старая, но кто-нибудь может уточнить, что значит «владеть» блоком IP-адресов? Считается ли владелец лицом, использующим пространство IP (которое затем может управлять зонами обратного просмотра и записями PTR в том же месте, в котором его серверы имен настроены для записей узла DNS), или владельцем считается поставщик услуг Интернета. который сдает в аренду блок IP-адресов компании / частному лицу для использования в качестве общедоступных конечных точек (таких как веб-серверы, почтовые серверы, конечные точки VPN и т. д.). Чтобы уточнить мой вопрос: имеет ли значение, ГДЕ ведутся публичные записи PTR?
SturdyErde
@SturdyErde Неважно, кто ищет имя. Для вас может иметь значение, если вы используете адресное пространство и хотите внести изменения в обратную зону. Что касается того, кому принадлежит адресное пространство, я бы сказал, что тот, кто получил адреса, назначенные ему от RIR (ARIN / RIPE / APNIC / ...), владеет ими, но они, конечно, могут продолжать делегировать в DNS (например, клиенту). их), если они этого хотят.
Хокан Линдквист
Спасибо, @ HåkanLindqvist. Поэтому, если моя организация получает блок общедоступных IP-адресов от интернет-провайдера, им принадлежат эти IP-адреса, но мы являемся делегатом, который может управлять ими там, где мы сочтем нужным. Мой следующий вопрос: можем ли мы, как делегат, указывать серверы имен и управлять обратной зоной везде, где мы хотим, или мы ограничены внесением изменений через владельца IP-адресов? (Любопытно, потому что консультант по Exchange сделал комментарии, которые заставили меня усомниться в моем понимании того, где можно управлять обратными зонами.)
SturdyErde
2

Поскольку вы просили использовать обратный DNS, учтите следующее.

Кто-то хочет доставить письмо на ваш почтовый сервер. Он претендует на роль сервера mail.example.com. Вы можете использовать обратный поиск, чтобы проверить, действительно ли его IP-адрес принадлежит адресу mail.example.com. Если нет, вы знаете, что, вероятно, что-то не так. Если вы даже не можете найти обратную запись, это еще более подозрительно. (По крайней мере, в последней ситуации почта, вероятно, будет спамом и будет рассматриваться как таковая многими провайдерами.)

То же самое относится и к другим соединениям. Фактически, sshdбудет отмечена попытка подключения, как POSSIBLE BREAK-IN ATTEMPT!если бы обратная и прямая запись не совпадали. Поведение по умолчанию - игнорировать его.

Карстен Тиль
источник