Я понимаю, что пакет DNS-запроса между DNS-клиентом и рекурсивным преобразователем DNS содержит IP-адрес и MAC-адрес клиента.

Когда рекурсивный распознаватель, в свою очередь, запрашивает авторитетные серверы имен, что происходит из следующего?

  1. Каждый пакет запроса DNS, от рекурсивного распознавателя до каждого авторитетного DNS-сервера, включает (например, для помощи в идентификации пакетов и их назначении) тот же IP-адрес и / или MAC-адрес, которые присутствовали в запросе, который рекурсивный распознаватель получил от оригинальный клиент; и IP-адрес рекурсивного преобразователя и / или MAC-адрес добавляются в пакет, чтобы гарантировать, что ответ может быть направлен в рекурсивный преобразователь. Т.е. авторитетные серверы потенциально могли бы определить, из запроса, IP - адрес и / или MAC - адрес компьютера , с которого распознаватель получил исходный запрос.

  2. Каждый пакет запроса DNS, от рекурсивного распознавателя до каждого полномочного DNS-сервера, не включает IP-адрес или MAC-адрес, которые присутствовали в запросе, который рекурсивный распознаватель получил от исходного клиента. IP-адрес и / или MAC-адрес рекурсивного преобразователя включены в пакет, чтобы гарантировать, что ответ может быть направлен на рекурсивный преобразователь. Т.е. авторитетные серверы не смогут определить из запроса IP-адрес и / или MAC-адрес компьютера, с которого рекурсивный распознаватель получил исходный запрос.

  3. Что-то другое. Если да, то?

Я был бы признателен, если бы вы могли привести источники для вашего ответа (ов).

|источник

1 ответ1

0

DNS использует UDP и TCP, которые находятся поверх IP.

Соединение или обмен между двумя DNS-серверами определяется кортежем из 4 членов: исходный IP-адрес, исходный порт, IP-адрес назначения, порт назначения (в основном жестко задан как 53 для DNS).

MAC-адрес, находящийся "под" IP, здесь не имеет никакого отношения, как уже объяснялось в комментариях.

Таким образом, каждый авторитетный сервер имен будет видеть на сетевом уровне только IP-адрес источника / порт рекурсивного сервера имен, который задает вопрос.

Сейчас:

  1. рекурсивный сервер имен может работать на конечном хосте, поэтому без какой-либо переадресации в этом случае исходный IP-адрес, видимый всеми авторитетными серверами имен, будет конечным клиентом.
  2. иногда содержание запроса также показательно, как и исходный IP. См. Новый стандарт минимизации QNAME: RFC7816 С ним каждый сервер имен получает только метки, на которые он должен ответить, а не полное имя.
  3. некоторые рекурсивные серверы имен могут использовать расширение клиентской подсети (ECS) EDNS , см. RFC7871. С его помощью рекурсивный сервер имен отправит "часть" исходного IP-адреса конечного клиента вместе с запросом на авторитетный сервер имен. Идея состоит в том, чтобы помочь в CDN и геолокации, чтобы ресурсы с балансировкой нагрузки и гео были переданы конечному клиенту как IP-адрес, близкий к нему и не обязательно близкий к рекурсивному серверу имен. Рекурсивный сервер имен должен быть явно настроен на его отправку (и по умолчанию часто выбирает размер маски /24), а авторитетные серверы имен должны быть настроены на использование этой информации.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .