Что значит "копать". на самом деле запрос и откуда эти IP приходят?

Question

Из любопытства я вошел в dig . сегодня. К моему удивлению, я получил IP:

$ dig .

; <<>> DiG 9.10.3-P4-Ubuntu <<>> .
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45964
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      A

;; ANSWER SECTION:
.                       291     IN      A       172.217.23.174

;; Query time: 150 msec
;; SERVER: 10.0.0.138#53(10.0.0.138)
;; WHEN: Fri Feb 22 18:03:53 STD 2019
;; MSG SIZE  rcvd: 33

Теперь этот IP-адрес принадлежит Google, и http://172.217.23.174/ фактически перенаправляет на http://www.google.com/ .

Тем не менее, попытка этого неоднократно давала мне разные IP-адреса: 52.95.34.225 (Amazon), 157.240.1.13 (Facebook), 52.114.128.9 (Microsoft), 23.195.9.143 (Akamai) и другие ... (на самом деле это читается как кто Кто-то из интернет-компаний!)

Погуглив каждого из них, он никогда не обнаруживал ничего особенного, кроме организации, которой они принадлежат.

Итак, теперь мне еще более любопытно: откуда эти IP-адреса? И что dig . на самом деле делать? Кажется, он запрашивает "корень DNS", который, как я понимаю, не должен иметь случайных записей A ...

Answer 1

. относится к DNS "корень". . не должно иметь никаких типов записей, кроме NS и SOA (плюс RRSIG/DNSKEY, связанный с DNSSEC, если вы делаете запрос с опцией +dnssec).

Таким образом, в этом случае вы отправляете запросы на 10.0.0.138 (это частный адрес в вашей локальной сети), и он отправляет вам полностью готовые ответы. Для начала вам следует выяснить, кому принадлежит этот хост в вашей локальной сети и почему он настроен в качестве вашего DNS-сервера.

(Интересно, что он все еще включает флаг ad (аутентифицированные данные), подразумевая, что он проверил записи DNSSEC перед ответом, что является просто большим количеством лжи и напоминанием не доверять флагу «объявления».)