我感兴趣的是获取一个日志文件,我将对其进行审查,并通过用反向 DNS 条目替换 IP 来“美化”其中的条目。
例如:
75.76.69.69: 无意义的- RDNS →
dynamic-75-76-69-69.knology.net.
我可以看到这是一个动态IP大开西部,可能是住宅
- RDNS →
185.100.85.212: 无意义的- RDNS →
vc.gg
我可以看到这是一个个人网站,可能是工业或租用的 IP
- RDNS →
它是立即的,有用信息……当且仅当它是真的。
但 IP 所有者可以随意设置其 RDNS 输出。如果我不做任何进一步验证就依赖这些输出,攻击者可以轻易“指责”其他网络或无辜域。
因此,我考虑只显示 RDNS 结果解析回它的 IP:该 IP 声称代表某个 DNS 名称和DNS 名称声称由该 IP 表示。在这种情况下,我可以肯定,通过查看 DNS 名称,我不太可能被蒙蔽。
然而…在给出的第一个例子中(用我的实际的IP),我确实得到了NXDOMAIN结果。那么,这是正常的吗?是否有任何标准规定 RDNS 条目“应该”是什么、代表什么、解析为什么或包含什么?
答案1
根据第 3.3.1 节或RFC 1035,管理员可以在 PTR 记录的名称部分提供任何值,只要它符合有效字符集和长度的标准规则。
PTRDNAME A 指向域名空间中的某个位置。
PTR 记录不会引起额外的部分处理。这些 RR 用于特殊域,以指向域空间中的其他位置。这些记录是简单数据,并不意味着任何类似于 CNAME 执行的特殊处理(用于识别别名)。有关示例,请参阅 IN-ADDR.ARPA 域的描述。
我猜测很多 DNS 服务器前端可能会阻止管理员输入不适当的数据,但没有要求软件这样做。