DNS反向查询技术和其安全分析 所谓DNS服务器反向查询,就是输入IP地址,可以查出域名。某些 DNS 服务器支持的反向查询(iquery)功能可使攻击者获得区域传输。识别出注册到您的 DNS 服务器的每台计算机,并且可能被攻击者用来更好的了解您的网络。甚至当您在 DNS 服务器上禁用了区域传输时,iquery 功能仍旧可以允许区域传输发生。

在大部分的 DNS 搜索中,客户机一般执行正向搜索,正向搜索是基于存储在地址 (A) 资源记录中的另一台计算机的 DNS 名称的搜索。这类查询希望将 IP 地址作为应答的资源数据。

DNS 也提供反向搜索过程,允许客户机在名称查询期间使用已知的 IP 地址并根据它的地址搜索计算机名。反向搜索采取问答形式进行,如“您能告诉我使用 IP 地址 192.168.1.20 的计算机的 DNS 名称吗?”

DNS 最初在设计上并不支持这类查询。支持反向查询过程可能存在一个问题,即 DNS 名称空间组织和索引名称的方式及 IP 地址指派的方式不同。如果回答以前问题的唯一方式是在 DNS 名称空间中的所有域中搜索,则反向查询会花很长时间而且需要进行很多有用的处理。

为 了解决该问题,在 DNS 标准中定义了特殊域 in-addr.arpa 域,并保留在 Internet DNS 名称空间中以提供实际可靠的方式来执行反向查询。为了创建反向名称空间,in-addr.arpa 域中的子域是通过 IP 地址带句点的十进制编号的相反顺序形式的。

因为与 DNS 名称不同,当 IP 地址从左向右读时,它们是以相反的方式解释的,所以对于每个八位字节值需要使用域的反序。从左向右读 IP 地址时,是从地址中第一部分的最一般信息(IP 网络地址)到最后八位字节中包含的更具体信息(IP 主机地址)。

因 此,建立 in-addr.arpa 域树时,IP 地址八位字节的顺序必须倒置。这样安排以后,在向公司分配一组特定或有限的、且位于 Internet 定义的地址类别范围内的 IP 地址时,可为公司提供 DNS in-addr.arpa 树中的较低层分支的管理。

最 后,在 DNS 中建立的 in-addr.arpa 域树要求定义其他资源记录 (RR) 类型,如指针 (PTR) RR。这种 RR 用于在反向搜索区域中创建映射,该反向搜索区域一般对应于其正向搜索区域中主机的 DNS 计算机名的主机 (A) 命名 RR。


注意

in-addr.arpa 域适用于所有根据网际协议版本 4 (IPv4) 寻址的 TCP/IP 网络。“新建区域”向导自动假定在创建新的反向搜索区域时您正在使用该域。
如果您正在为网际协议版本 6 (IPv6) 的网络安装 DNS 并配置反向搜索区域,则您可在“新建区域”向导中指定一个确切的名称。它允许您在可用于支持 IPv6 网络的 DNS 控制台中创建反向搜索区域,该网络使用不同的特殊域名,即 ip6.int 域。

其他信息可从 IPv6 和 DNS 上获得,包括有关如何创建和使用在 RFC 1886“支持 IP 版本 6 的 DNS 扩展名”中定义的 ip6.int 域名的范例。详细信息,请直接参考本 RFC 规范,可以从 RFC 的 Web 站点获得这一规范。


安全问题

DNS反向查询在很多的安全检测软件上,都被列为一个中风险的漏洞,因为通过反向查询,攻击者可以获得被攻击方的资料以及相应的网络资源,这对下一步攻击提供了便利。由于DNS反向查询是一种过时的方法,因此从安全角度考虑,建议DNS管理者关闭该功能。