Como um endereço IP remoto resolve o host local?

Question

Como um endereço IP remoto resolve o host local?

#1 resposta do (5 votos)
#2 resposta do (4 votos)
#3 resposta do (0 votos)

1

Acabei de notar este aviso estranho no meu syslog:

postfix/smtpd[26261]: warning: hostname localhost does not resolve to
    address 113.167.250.138

... que é imediatamente seguido por:

postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
    550 5.1.1 <[email protected]>: Recipient address rejected: User
    unknown; from=<[email protected]>
    to=<[email protected]> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]

Então eu decidi fazer um traceroute a partir de uma máquina win diferente e esse IP remoto foi resolvido para o HOSTNAME da máquina:

> tracert 113.167.250.138

Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:

  1  MYHOSTNAME [113.167.250.138]
  2  [2-5 removed]
  6  ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
  7  if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
  8  if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
  9  if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
 10  if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
 11  Request timed out.
 12  Request timed out.
 13  vdc.vn [123.29.5.170]
 14  vdc.vn [123.29.6.238]
 15  MYHOSTNAME [113.167.250.138]

Obviamente, é um spammer tentando enviar mensagens para uma conta local no meu servidor, mas como esse endereço IP resolve para localhost / MYHOSTNAME por duas das minhas máquinas?

Editar 1: vou remover o IP (aparente) do spammer desta questão ainda hoje.

Editar 2: Bem, qualquer um pode ver o histórico de edições, por isso não vejo nenhum benefício em remover o endereço IP do spammer. Mods, acho que seria uma boa ideia se você quiser remover o IP permanentemente.

ip domain-name-system

por Jeff 14.07.2013 / 13:03

3 respostas

4

Uma explicação muito mais provável é que, quando o servidor de correio remoto conectado ao seu servidor, ele enviou um HELO localhost . Isso gerará precisamente o erro que você está vendo se você (muito provavelmente) tiver pesquisas reversas ativadas.

por 14.07.2013 / 17:32

0

Dado esse comportamento estranho com a resolução de nomes, é possível que (para permitir EHLO LOCALHOST working), o spammer tenha conseguido definir seu registro rDNS ( 138.250.167.113.in-addr.arpa ) como IN PTR localhost. .

Você pode confirmar isso se quiser usando dig; isso é, de fato, o que eles fizeram (e é por isso que não é tão ruim postar o IP do atacante para todos nós vermos).

Então, o que acontece é que o seu computador windows vê isso, e traduz para o seu próprio nome (no traceroute do Windows). Existem outros hosts como este no caminho também (como 113.171.5.14 ). O Linux não fará essa tradução.

por 14.07.2013 / 20:26

Tags ip domain-name-system

DNS: Como descobrir qual software um servidor DNS remoto está executando Registros SPF para QuickBooks Online

score 5 · Accepted Answer

Uma pessoa que possui um endereço IP pode fazê-lo resolver para qualquer nome de host / domínio desejado e uma pessoa que controla um domínio pode fazer com que seus hosts resolvam os endereços IP desejados.