“dig .”实际上查询什么以及这些IP来自哪里?

“dig .”实际上查询什么以及这些IP来自哪里?

出于好奇,我dig .今天登录了。令我惊讶的是,我得到了一个 IP:

$ dig .

; <<>> DiG 9.10.3-P4-Ubuntu <<>> .
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45964
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      A

;; ANSWER SECTION:
.                       291     IN      A       172.217.23.174

;; Query time: 150 msec
;; SERVER: 10.0.0.138#53(10.0.0.138)
;; WHEN: Fri Feb 22 18:03:53 STD 2019
;; MSG SIZE  rcvd: 33

现在,这个 IP 似乎属于 Google,并且http://172.217.23.174/实际上重定向到http://www.google.com/

但是,反复尝试后我得到了不同的 IP:(52.95.34.225亚马逊)、157.240.1.13(Facebook)、52.114.128.9(微软)、23.195.9.143(Akamai)等......(这实际上读起来就像是互联网公司的名人录!)

对每个人进行谷歌搜索,除了他们所属的组织之外,没有发现任何特殊之处。

所以,现在我更加好奇:这些 IP 来自哪里?dig .实际上? 它似乎查询“DNS 根”,据我所知,它不应该有随机的 A 记录……

答案1

是的,.指的是 DNS“根”。是的,.除了 NS 和 SOA 之外,不应有任何其他记录类型(如果您使用 +dnssec 选项进行查询,则应有与 DNSSEC 相关的 RRSIG/DNSKEY)。

因此,在这种情况下,您将查询发送到10.0.0.138(这是 LAN 中的私有地址),并且它会向您发送完全虚构的回复。您应该调查谁拥有 LAN 上的该主机,以及为什么将其配置为您的 DNS 服务器。

(有趣的是,它仍然包含ad(已验证数据)标志,暗示它在响应之前已经通过 DNSSEC 验证了记录,这只是更多的谎言,并提醒不要相信“广告”标志。)

相关内容