我有兴趣获取一个日志文件,我将通过将 IP 替换为其反向 DNS 条目来查看和“美化”其条目。
例如:
75.76.69.69
: 无意义的- RDNS →
dynamic-75-76-69-69.knology.net.
我可以看到这是来自WideOpenWest的动态 IP ,可能是住宅
- RDNS →
185.100.85.212
: 无意义的- RDNS →
vc.gg
我可以看到这是个人网站,可能是工业IP或租用IP
- RDNS →
它是即时的、有用的信息……如果它是真的。
但是 IP 所有者可以将其 RDNS 输出设置为任何它想要的。如果我在没有任何进一步验证的情况下依赖这些网络,攻击者可以轻松地“指责”其他网络或无辜域。
因此,我想只显示其 RDNS 结果解析回它的 IP:IP 声称代表某个 DNS 名称,而该 DNS 名称声称由该 IP 代表。在这种情况下,我可以肯定,通过查看 DNS 名称,我不太可能有任何毛病。
但是……在给出的第一个示例中(将 2 个笑话八位字节替换为我的实际IP),我确实得到了NXDOMAIN
结果。那么,这正常吗?是否有任何标准说明 RDNS 条目“应该”是、代表、解析或包含什么?
根据第 3.3.1 节或RFC 1035,管理员可以在 PTR 记录的名称部分提供任何值,前提是它符合有效字符集和长度的标准规则。
我猜很多 DNS 服务器前端可能会阻止管理员输入不适当的数据,但软件并不要求这样做。