我有 2 台 Windows Server 2008 R2 DNS 服务器,它们共享域 xyz.wan,并位于我网络的 192.168.50.0/24 子网中。通过 IPSec VPN 站点到站点连接的是一些其他子网(192.168.51.0/24、192.168.52.0/24 等),它们在 Microsoft DNS 中有自己的反向查找区域。
最近,我的服务器开始出现异常,它将 DNS 中没有的所有地址(例如,没有 DNS 记录的远程站点上的某些静态客户端)解析为自己的名称 server1.xyz.wan,而不是在 Windows-perfmon 中显示 IP。
现在我发现,如果我在两台服务器中的一台上执行 nslookup 并输入一些我甚至不使用的 IP,例如 192.168.111.111,则另一台服务器会以“localhost”响应。
DNS 解析对域中的所有内容都非常有用。我还使用 Wireshark 跟踪了数据包:
192.168.50.161 192.168.50.163 DNS 88 Standard query PTR 111.111.168.192.in-addr.arpa
192.168.50.163 192.168.50.161 DNS 111 Standard query response PTR localhost
有人能告诉我这里发生了什么吗?我就是搞不懂。
答案1
我认为这是反向区域中的通配符记录。要么是您管理的反向区域,要么您的查询正在泄漏到上游名称服务器(可能是您的 ISP),并且响应来自那里。
如果通配符记录在您这边,您会在最适用的区域中找到类似以下内容的内容X.168.192.in-addr.arpa.:
* IN PTR localhost.
由于您很可能会发现这一点,因此更有可能的是 1)in-addr.arpa.不存在与所讨论 IP 对应的区域,并且 2) 查询泄漏到上游名称服务器。您可以通过直接对它们运行奇怪的反向查询来确认是否是这种情况。(绕过您的本地名称服务器)
这并不是 ISP 第一次将不寻常的反向 DNS 数据不必要地暴露给客户。