Назад | Перейти на главную страницу

NSLookUp с использованием интерфейса командной строки в Windows

Вопрос у меня на любителя. Я смотрю на трафик, идущий к моему компьютеру и с него. Когда я нахожу подозрительный IP-адрес, я использую для него NSLookup.

Если бы я сказал, что вводил случайные IP-адреса и возвращал странные доменные имена с хитроумных веб-сайтов, мог ли мой компьютер заразиться или веб-мастера могли проследить его до меня? Что именно они видят на другом конце NSLookup?

NSlookup - это инструмент поиска DNS. Его можно использовать в интерактивном режиме для запроса множества различных типов записей, но при использовании из командной строки он либо попытается выполнить стандартный прямой поиск IP-адреса на основе предоставленного имени хоста, либо обратный поиск, если ввод IP-адрес.

Итак, если вы введете случайный IP-адрес, произойдет следующее:

  • Группы байтов будут возвращены (1.2.3.4 становится 4.3.2.1)
  • Фиксированное DNS-имя ".in-addr.arpa." будет добавлен в конце перевернутой строки IP.
  • Результат обрабатывается как обычный DNS-запрос, за исключением того, что он ищет тип записи PTR.

Итак, если вы наберете «nslookup 1.2.3.4», вы сгенерируете DNS-запрос для «4.3.2.1.in-addr.arpa.». Затем этот запрос будет обработан одним из DNS-серверов всех следующих доменов:

arpa.
in-addr.arpa.
1.in-addr.arpa.
2.1.in-addr.arpa.
3.2.1.in-addr.arpa.

Первые два DNS-сервера являются частью глобальной инфраструктуры Интернета и обслуживаются IANA. Поскольку эта же организация также контролирует назначение IP-адресов (а также глобальный корень DNS), это орган, который может (и будет) делегировать управление другими серверами в пути запроса соответствующим владельцам IP-блока.

Интересно отметить, что ваш компьютер не будет выполнять все эти запросы сам. Как правило, он отправляет запрос на ваш локальный DNS-сервер, который полностью выполнит запрос за вас и просто предоставит вам ответ (он выполнит рекурсивный DNS-запрос). После этого он становится нечетким, потому что все зависит от того, как настроен каждый сервер в пути запроса.

Итак, что это означает:

  • Вы ничем не заражены, по крайней мере, не на основании того факта, что передача случайных IP-адресов в nslookup вернет (случайные) ответы.
  • Поскольку почти весь DNS-сервер будет генерировать некоторый журнал, вы оставите след своих запросов на нескольких хостах. В «худшем» случае ваш запрос будет содержать ваш собственный общедоступный IP-адрес и будет перенаправлен на каждый сервер в цепочке. На каждом этапе любой, читающий журнал, может видеть следы вашего запроса и видеть, кто его запрашивал (вы или последний использованный вами сервер, настроенный для ответа на рекурсивные запросы). И если вы спрашиваете, это обычно довольно легко отследить, если задействованы правоохранительные органы (по крайней мере, до вашего интернет-провайдера).

Для получения дополнительной информации я предлагаю вам начать с статья в Википедии о DNS системе и, если вам действительно интересно, продолжайте читать несколько первых из многочисленных RFC, связанных с DNS (перечисленных в статье в Википедии, но, вероятно, наиболее интересные из них 1034, 1035 и 1591.