我的问题比较业余。我正在查看进出我电脑的流量。当我发现一个看起来可疑的 IP 地址时,我会对其使用 NSLookup。
如果我输入随机 IP 地址并从可疑网站获取奇怪的域名,我的电脑是否会被感染,或者网站管理员能否追溯到我?他们在 NSLookup 的另一端到底看到了什么?
答案1
NSlookup 是一个 DNS 查找工具。它可以在交互模式下使用,以查询许多不同类型的记录,但从命令行使用时,它将尝试根据提供的主机名执行标准的 IP 正向查找,或者如果输入的是 IP 地址,则执行反向查找。
因此,如果您输入一个随机 IP 地址,将会发生以下情况:
- 字节组将被恢复(1.2.3.4 变为 4.3.2.1)
- 固定 DNS 名称“.in-addr.arpa.”将附加在反向 IP 字符串的末尾。
- 结果的处理方式与常规 DNS 查询类似,只是它寻找的是 PTR 记录类型。
因此,假设您输入“nslookup 1.2.3.4”,您将生成“4.3.2.1.in-addr.arpa.”的 DNS 查询。然后,以下所有域的 DNS 服务器之一将处理此请求:
arpa.
in-addr.arpa.
1.in-addr.arpa.
2.1.in-addr.arpa.
3.2.1.in-addr.arpa.
前两个 DNS 服务器是全球互联网基础设施的一部分,由互联网号码分配机构由于同一组织还监督 IP 地址分配(以及全球 DNS 根),因此该机构可以(并且将)将查询路径中其他服务器的管理委托给 IP 块的各自所有者。
值得注意的是,你的计算机不会自己执行所有这些查询。通常,它会将请求发送到你的本地 DNS 服务器,该服务器将为你执行完整的查询,并只为你提供答案(它将执行递归 DNS 查询)。之后,一切都变得模糊,因为一切都取决于查询路径中每台服务器的配置方式。
因此,它的意思是:
- 你没有受到任何东西的感染,至少不会因为将随机 IP 地址输入到 nslookup 就会返回(随机)答案而受到感染。
- 由于几乎所有 DNS 服务器都会生成一些日志,因此您将在多个主机中留下查询的痕迹。在“最坏”的情况下,您的查询将包含您自己的公共 IP 地址,并被转发到链中的每个服务器。在每个步骤中,任何阅读日志的人都可以看到您的请求的痕迹,并查看是谁请求的(您或您使用的最后一个配置为响应递归查询的服务器)。如果您询问,如果执法部门参与其中(至少可以追溯到您的 ISP),这通常很容易追溯。
欲了解更多信息,我建议你先阅读有关 DNS 的维基百科文章系统,如果你真的感兴趣,可以继续阅读与 DNS 相关的众多 RFC 中的前几个(在维基百科文章中列出,但最有趣的可能是1034,1035和1591。