NSLookUp с помощью CLI в Windows

Question

NSLookUp с помощью CLI в Windows

У меня вопрос любительский. Я смотрю на трафик, идущий к моему компьютеру и обратно. Когда я нахожу подозрительный IP-адрес, я использую на нем NSLookup.

Если бы я сказал, что вставлял случайные IP-адреса и получал странные доменные имена с хитрых веб-сайтов, мог ли мой компьютер заразиться или веб-мастера могли отследить его мне? Что именно они видят на другом конце NSLookup?

-1

windows command-line-interface nslookup

Источник

JSON C11 26 апр '13 в 05:30

1 ответ

Решение

Другие вопросы по тегам windows command-line-interface nslookup

Stephane 26 апр '13 в 07:43 2013-04-26 07:43 · Accepted Answer · 2013-04-26 07:43

NSlookup - это инструмент поиска DNS. Он может использоваться в интерактивном режиме для запроса множества различных типов записей, но при использовании из командной строки он будет пытаться выполнить стандартный прямой просмотр IP-адреса на основе предоставленного имени хоста или обратный поиск, если ввод IP-адрес.

Итак, если вы введете случайный IP-адрес, вот что происходит:

Группы байтов будут возвращены (1.2.3.4 становится 4.3.2.1)
Фиксированное DNS-имя ".in-addr.arpa." будет добавлено в конце строки с обратным IP-адресом.
Результат обрабатывается как обычный DNS-запрос, за исключением того, что он ищет тип записи PTR.

Поэтому, если вы введете "nslookup 1.2.3.4", вы сгенерируете DNS-запрос для "4.3.2.1.in-addr.arpa.". Затем этот запрос будет обработан одним из DNS-серверов всех следующих доменов:

arpa.
in-addr.arpa.
1.in-addr.arpa.
2.1.in-addr.arpa.
3.2.1.in-addr.arpa.

Первые два DNS-сервера являются частью глобальной интернет-инфраструктуры и управляются IANA. Поскольку та же организация также контролирует назначение IP-адресов (а также глобальный корневой DNS), именно этот орган может (и будет) делегировать управление другими серверами в пути запроса соответствующим владельцам блока IP.

Интересно отметить, что ваш компьютер не будет выполнять все эти запросы самостоятельно. Как правило, он помещает запрос на ваш локальный DNS-сервер, который полностью выполнит запрос и предоставит вам ответ (он выполнит рекурсивный запрос DNS). После этого он становится нечетким, потому что все зависит от того, как настроен каждый сервер в пути запроса.

Итак, что это значит:

Вы ничем не заражены, по крайней мере не потому, что подача случайных IP-адресов в nslookup будет возвращать (случайные) ответы.
Поскольку практически весь DNS-сервер будет генерировать некоторый журнал, вы оставите след своих запросов на нескольких хостах. В "худшем" случае ваш запрос будет содержать ваш собственный общедоступный IP-адрес и будет перенаправлен на каждый сервер в цепочке. На каждом этапе каждый, кто читает журнал, может увидеть следы вашего запроса и узнать, кто его запросил (вы или последний использованный вами сервер, который был настроен для ответа на рекурсивные запросы). И в случае, если вы спрашиваете, обычно довольно легко проследить, вовлечены ли правоохранительные органы (по крайней мере, назад к вашему провайдеру).

Для получения дополнительной информации я предлагаю вам начать со статьи в Википедии о системе DNS и, если вы действительно заинтересованы, продолжить чтение первых нескольких из многочисленных RFC, связанных с DNS (перечислены в статье в Википедии, но наиболее интересно из них, вероятно, 1034, 1035 и 1591.