我们为 100 多个域名维护 DNS 服务,其中包括我们自己的一些域名,在浏览 DNS 服务器日志时,我注意到stomp1.<our_own_domain>.<tld>
A 记录的 DNS 请求流很慢,但或多或少是恒定的(~ 40 个请求/小时)。
他们来自很多不同ip 地址(平均每 2.5 个 dns 请求有一个唯一的 ip 地址,因此我们实际上看到来自数百个唯一 ip 地址的 dns 请求)在分配给 Google 的 74.125.0.0/16 网络块中。
一些实证研究表明它可以从包括 Google App Engine 在内的“杂项服务”中使用,但它不应该成为 Google 抓取活动的一部分。
我们在该地址没有任何 DNS 记录,因此只是为了好玩,我们添加了记录并将其指向127.0.0.1
一个多天的 ttl:到目前为止,它对请求流没有任何影响,请求流仍然以每小时约 40 个请求的速度进行。
据我所知,一些/许多合法踩踏客户端默认尝试解析stomp1
主机名,但我们从未使用过类似的东西。我们也从未在 Google 的系统上运行任何东西(例如 App Engine),也从未使用过与我们的域相关的任何服务(例如从未使用过 G Suite 或任何东西)。我也觉得很奇怪,我们在 100 多个域中只看到一个域有此类请求。
是否存在我完全遗漏的“已知和标准事物”(例如对 DNS 中的 spf 记录的查询、http 服务器中的 robots.txt 等等...)或者我是否应该怀疑某种针对我们域名的不当行为?
答案1
如果运行 STOMP 客户端的服务器/工作站配置为使用 Google 的公共解析器 8.8.8.8 和/或 8.8.4.4,并且它还具有<our_own_domain>.<tld>
搜索域,这可以合理解释默认请求如何stomp1
转换stomp1.<our_own_domain>.<tld>
以及 DNS 查询如何在您的日志中显示为源自 Google IP 地址。