Re: OT "." coby DNS jméno
David Obdrzalek
David.Obdrzalek na mff.cuni.cz
Čtvrtek Září 5 14:03:43 CEST 2013
Mam jen komentar k te tecce, ve skutecnosti totiz v odpovedi prijde jmeno
prazdne a ne ta tecka (resp. prijde rezec delky 1 vcetne koncove nuly). Tecku
totiz pro tisk pridava ten, kdo to zobrazuje (kdyby prislo rozumne jmeno, v
paketu s odpovedi tecka na konci nebude ale ve vypisu jo. Nslookup na Win z
prazdne odpovedi udela retezec "(root)").
Odpoved na tu dulezitejsi otazku ("proc?") bohuzel neznam; muzu se jen taky
domnivat, ze to je bud ten pokus o zakryti anebo nedobra konfigurace ci
implementace DHCP ci DNS serveru anebo jen zneuziti jejich vlastnosti
potouchlym klientem (treba ze by DHCP pouzil klientem dodane jmeno (ktere by
bylo prazdne) a dynamicky by to zaregistroval do DNS, anebo ze by se ten klient
sam s prazdnym jmenem dynamicky po prideleni IP sam preregistroval s prazdnym).
Vzhledem k situaci se klonim k tomu, ze vysledny efekt, aby nekdo v dalce z IP
nezjistil jmeno, byl zamysleny.
D.O.
On 4 Sep 2013 at 21:17, Pavel Troller wrote:
> Zdravím,
> nevidím to poprvé, ale nechápu, proč to je a co to může způsobit, tak si
> dovolím se zeptat místních expertů :-).
> Občas narazím na situaci, že reversní DNS resolving IP adresy na jméno
> poskytne výsledek ".". Právě jsem třeba odchytil tento případ:
>
> $ host -a 134.38.135.66.in-addr.arpa
> Trying "134.38.135.66.in-addr.arpa"
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13518
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
>
> ;; QUESTION SECTION:
> ;134.38.135.66.in-addr.arpa. IN ANY
>
> ;; ANSWER SECTION:
> 134.38.135.66.in-addr.arpa. 86130 IN PTR .
>
> ;; AUTHORITY SECTION:
> 38.135.66.in-addr.arpa. 258930 IN NS ns1.geodns.net.
> 38.135.66.in-addr.arpa. 258930 IN NS ns2.geodns.net.
>
> ;; ADDITIONAL SECTION:
> ns1.geodns.net. 30 IN A 69.28.203.75
> ns2.geodns.net. 30 IN A 69.90.13.105
>
> Received 135 bytes from 195.39.17.8#53 in 291 ms
>
> Zjišťoval jsem, odkud chodí jakési pakety (z podivného portu 1935) do mé
> sítě a tcpdump vypisoval pouse tu tečku. Použití volby -n (vypnutí
> resolvingu)
> pomohlo a zjistil jsem reálnou IP, tj. 66.135.38.134. Pak jsem příkazem host
> ověřil situaci (to vidíte výše) a skutečně, oba autoritativní servery pro
> tuto reversní doménu dávají stejný, výše popsaný výsledek.
>
> Pokud vím, tečka na konci jména (což je i tento případ, ikdyž singulární)
> znamená explicitně potvrzenou plnou kvalifikaci doménového jména (tedy např.
> uvedu-li seznam.cz., žádný resolver už nemá zkoušet přidávat implicitní
> domény, jako např. seznam.cz.com, což bez té tečky na konci může, pokud
> uvedené jméno nenajde tak, jak je zapsáno). Ovšem jenom tečka tedy znamená
> něco jako "plně kvalifikované prázdné jméno". Pro zajímavost jsem zkusil, co
> na to příkaz host, a skutečně to vypadá, že ten zápis je platný a označuje
> vlastně nejvyšší vrstvu doménového prostoru, neboť jako nameservery jsou
> uvedeny světové kořenové nameservery, je to řádně podepsané atd.
>
> Zbývá tedy otázka - proč ? Má to nějaký smysl ? Jde o naivní snahu skrýt
> IP adresu např. v různých přístupových lozích a výpisech ? Pokud budu takový
> log studovat offline a uvidím coby jméno hosta tečku, tak jsem dojel.
> Nebo to má nějaký jiný účel ? Nestává se to zase tak vzácně a obvykle za tím
> stojí nějaký "podivný provoz", proto jsem na to i dneska přišel a ptám se
> tady.
>
> Zdraví Pavel
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list