É o GeoDNS ou o que as pessoas gostam de chamar. Existem alguns provedores que oferecem este serviço. Resultados diferentes baseados em onde a pesquisa veio.
Eu obtenho resultados diferentes ao consultar o mesmo servidor DNS de locais diferentes. Por exemplo. de casa:
> nslookup en.wikipedia.org 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: en.wikipedia.org
Address: 198.35.26.96
Do VPS da DigitalOcean:
$ nslookup en.wikipedia.org 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: en.wikipedia.org
Address: 208.80.154.224
De outro local em outro país:
> nslookup en.wikipedia.org 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: en.wikipedia.org
Address: 91.198.174.192
Como isso é possível? Eu obtenho os mesmos resultados ao consultar o SOA ( ns0.wikimedia.org at 208.80.154.238 ) em vez do servidor do Google também. Eu assumiria algum tipo de round-robin, mas não! IP retornado é sempre o mesmo para o mesmo local. E todos os IPs retornados pertencem à WikiMedia de acordo com os registros DNS reversos, portanto, isso não é um tipo de malware. Mas como isso funciona então?
Isso provavelmente é porque ele está usando o endereço IP do servidor DNS com a menor quantidade de saltos do local em que você está pesquisando. Se você verificar todos os endereços de arin.net (os que não são RIPE), eles são de propriedade de WIKIMEDIA .
Eu fiz um NSLOOKUP com LSERVER da Alemanha e recebi o mesmo 91.198.174.192 do que você fez. Eu fiz da minha localização nos EUA e recebi o mesmo 208.80.154.224 do que você.
Não acho que você esteja correndo risco de malware com base em meus resultados que correspondam ao que você conseguiu.
Tags domain-name-system