Я включил вход по имени. Около 2% всех запросов содержат нечетное сочетание верхнего и нижнего регистра, например
Jan 7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan 7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan 7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)
Смешение верхнего и нижнего регистра меняется, даже если запрос от одного и того же клиента, некоторые запросы разделяются всего на несколько секунд. Большинство запросов, похоже, исходят от местных (немецких) провайдеров DSL.
Может кто-нибудь объяснить, что здесь происходит? Я понятия не имею, почему кто-то может рандомизировать использование заглавных букв доменного имени или какую проблему безопасности хочет использовать злоумышленник.
Они / их клиенты могут использовать реализацию DNS, которая использует кодировку 0x20 бит (что помогает предотвратить подделку DNS).
Это в основном добавляет больше энтропии к DNS-запросам, теперь злоумышленник должен угадать идентификатор запроса, порт источника. и имя запроса в правильном регистре, чтобы успешно подделать ответ.
Видеть http://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00