Por que as consultas de descoberta de serviço DNS para redes privadas são enviadas ao meu provedor?

1

Eu estava fazendo alguns testes recentemente que envolveram re-arruinar (proxies) consultas DNS regulares em uma máquina pessoal do Mac OS X através do meu software e de volta ao servidor DNS do meu ISP.

Eu tive a oportunidade de ver todas as consultas do uso regular do computador. E esses me deixaram curioso:

lb._dns-sd._udp.0.1.168.192.in-addr.arpa  
db._dns-sd._udp.0.1.168.192.in-addr.arpa  
b._dns-sd._udp.0.1.168.192.in-addr.arpa  
b._dns-sd._udp.0.1.168.192.in-addr.arpa  
db._dns-sd._udp.0.1.168.192.in-addr.arpa  
lb._dns-sd._udp.0.1.168.192.in-addr.arpa

Eu li em algum lugar que eles são da descoberta de serviço Bonjour da Apple. Mas não é suposto que funcione apenas na rede local, então qual seria o propósito de enviar essas consultas para o servidor DNS do ISP ?! Esses caras são inundados com um monte dessas perguntas de pessoas que possuem macs ?! O que estou perdendo aqui?

UPDATE: Acabei de verificar os dados de resposta dessas consultas e é sempre o mesmo. Eu vejo o seguinte:

prisoner.iana.org

e

hostmaster.root-servers

Mencionado em todas as respostas (nota: Estou vendo dados brutos, então talvez eu não esteja decodificando isso corretamente. Vejo, pesquisando, que outras pessoas estão recebendo hostmaster.root-servers.org , mas não vejo org na matéria bruta bytes das minhas respostas)

    
por Ivan Kovacevic 28.04.2014 / 02:00

1 resposta

4

A biblioteca de resolução do seu computador não tem noção do que é espaço de endereço privado e o que não é. A solicitação Any para uma pesquisa reversa de DNS será enviada para os servidores DNS que sua máquina está configurada para usar.

Da mesma forma, seus aplicativos cliente não têm conhecimento se seus servidores DNS configurados são operados por você ou por alguma outra entidade. O melhor que eles podem fazer é tentar usar o DNS para a descoberta automática, e esperar que você esteja operando sua própria infra-estrutura DNS que seja autoritativa para sua LAN.

Em um cenário residencial / entusiasta, o caso mais comum é que você está usando os servidores DNS do seu provedor. As consultas para o DNS reverso da rede privada vão "vazar" para o seu ISP. Não há maneira de contornar isso na especificação do DNS; isso é considerado uma operação normal. Como o ISP responde nesse ponto é completamente com eles. Estes são os casos mais comuns:

  • O ISP gerencia seu DNS reverso autoritativo para o espaço de rede privada e está expondo-o ao cliente. Geralmente, isso resulta em você descobrir a entrada de DNS da máquina que contém esse endereço IP na rede deles . (oops)
  • O ISP não se considera autoritativo para esse espaço de IP e "vaza" a consulta até os servidores de nomes de nível superior da IANA para DNS reverso. Os dados da autoridade prisoner.iana.org. que você vê são provenientes dos servidores de blackholing da IANA . Você pode ler mais sobre eles no link fornecido, mas a versão curta é que o vazamento de DNS reverso da rede privada é incrivelmente comum e esses servidores são configurados para tirar a carga dos reais da IANA.
  • O software do servidor de nomes (ou operadores do servidor) é mais atencioso do que a maioria e aplica a consulta a eles mesmos. Este é de longe o cenário menos provável. O BIND implementou esse recurso no 9.4.1. Ele é controlado por empty-zones-enable (padrão: yes) e os dados retornados são influenciados pelas opções empty-server e empty-contact .
por 28.04.2014 / 03:39