OT "." coby DNS jméno

Pavel Troller patrol na sinus.cz
Středa Září 4 21:17:56 CEST 2013 

Zdravím,
  nevidím to poprvé, ale nechápu, proč to je a co to může způsobit, tak si
dovolím se zeptat místních expertů :-).
  Občas narazím na situaci, že reversní DNS resolving IP adresy na jméno
poskytne výsledek ".". Právě jsem třeba odchytil tento případ:

$ host -a 134.38.135.66.in-addr.arpa
Trying "134.38.135.66.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13518
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;134.38.135.66.in-addr.arpa.    IN      ANY

;; ANSWER SECTION:
134.38.135.66.in-addr.arpa. 86130 IN    PTR     .

;; AUTHORITY SECTION:
38.135.66.in-addr.arpa. 258930  IN      NS      ns1.geodns.net.
38.135.66.in-addr.arpa. 258930  IN      NS      ns2.geodns.net.

;; ADDITIONAL SECTION:
ns1.geodns.net.         30      IN      A       69.28.203.75
ns2.geodns.net.         30      IN      A       69.90.13.105

Received 135 bytes from 195.39.17.8#53 in 291 ms

Zjišťoval jsem, odkud chodí jakési pakety (z podivného portu 1935) do mé
sítě a tcpdump vypisoval pouse tu tečku. Použití volby -n (vypnutí resolvingu)
pomohlo a zjistil jsem reálnou IP, tj. 66.135.38.134. Pak jsem příkazem host
ověřil situaci (to vidíte výše) a skutečně, oba autoritativní servery pro
tuto reversní doménu dávají stejný, výše popsaný výsledek.

  Pokud vím, tečka na konci jména (což je i tento případ, ikdyž singulární)
znamená explicitně potvrzenou plnou kvalifikaci doménového jména (tedy např.
uvedu-li seznam.cz., žádný resolver už nemá zkoušet přidávat implicitní
domény, jako např. seznam.cz.com, což bez té tečky na konci může, pokud
uvedené jméno nenajde tak, jak je zapsáno). Ovšem jenom tečka tedy znamená
něco jako "plně kvalifikované prázdné jméno". Pro zajímavost jsem zkusil, co
na to příkaz host, a skutečně to vypadá, že ten zápis je platný a označuje
vlastně nejvyšší vrstvu doménového prostoru, neboť jako nameservery jsou
uvedeny světové kořenové nameservery, je to řádně podepsané atd.
 
  Zbývá tedy otázka - proč ? Má to nějaký smysl ? Jde o naivní snahu skrýt
IP adresu např. v různých přístupových lozích a výpisech ? Pokud budu takový
log studovat offline a uvidím coby jméno hosta tečku, tak jsem dojel.
Nebo to má nějaký jiný účel ? Nestává se to zase tak vzácně a obvykle za tím
stojí nějaký "podivný provoz", proto jsem na to i dneska přišel a ptám se tady.

Zdraví Pavel

Další informace o konferenci Hw-list