Pakete zwischen einem rekursiven DNS-Resolver und den autorisierenden Servern: Zeigen sie den Client an?

0

Ich verstehe, dass ein DNS-Abfragepaket zwischen einem DNS-Client und einem rekursiven DNS-Resolver die IP-Adresse und die MAC-Adresse des Clients enthält .

Wenn der rekursive Resolver wiederum die autorisierenden Nameserver abfragt, was passiert dann?

  1. Jedes DNS-Abfragepaket, vom rekursiven Auflöser zu jedem autorisierenden DNS-Server, enthält (z. B. zur Unterstützung der Identifizierung der Pakete und ihres Zwecks) dieselbe IP-Adresse und / oder MAC-Adresse, die in der Abfrage vorhanden waren, die der rekursive Auflöser vom empfangenen ursprünglicher Kunde; und die IP-Adresse und / oder MAC-Adresse des rekursiven Auflösers werden dem Paket hinzugefügt, um sicherzustellen, dass die Antwort an den rekursiven Auflöser weitergeleitet werden kann. Dh der autoritativen Server würde potentiell in der Lage sein , zu bestimmen, aus der Abfrage, die IP - Adresse und / oder MAC - Adresse des Computers , von dem die rekursive Resolver die ursprünglichen Abfrage empfangen.

  2. Jedes DNS-Abfragepaket vom rekursiven Auflöser zu jedem autorisierenden DNS-Server enthält nicht die IP-Adresse oder MAC-Adresse, die in der Abfrage enthalten waren, die der rekursive Auflöser vom ursprünglichen Client erhalten hat. Die IP-Adresse und / oder MAC-Adresse des rekursiven Auflösers sind im Paket enthalten, um sicherzustellen, dass die Antwort an den rekursiven Auflöser weitergeleitet werden kann. Dh die autoritativen Server nicht in der Lage zu bestimmen, aus der Abfrage, die IP - Adresse und / oder MAC - Adresse des Computers , von dem die rekursive Resolver die ursprünglichen Abfrage empfangen.

  3. Etwas anderes. Wenn ja, was?

Ich wäre Ihnen dankbar, wenn Sie die Quellen für Ihre Antwort (en) angeben könnten.

networking dns privacy sampablokuper
quelle
1
Ihre Prämisse ist falsch. DNS-Abfragepakete enthalten nicht die MAC-Adresse des Clients. Möglicherweise enthalten sie überhaupt keine MAC-Adresse. In diesem Fall handelt es sich jedoch um die MAC-Adresse des Geräts, das das Paket in das Netzwerk des DNS-Servers gestellt hat.
David Schwartz
@ DavidSchwartz, danke. Habe ich die relevante Terminologie falsch verwendet? Ich habe mich an dem von mir verlinkten Artikel orientiert, der besagt: "Sehen wir uns an, wie ein Paket mit einer DNS-Abfrage in unserem Netzwerk aussehen würde." .addr ". Der Artikel enthält auch ein Diagramm mit dem Titel "DNS-Paket - Ethernet II-Frame", das die Abschnitte "MAC-Header" und "IP-Header" enthält. Habe ich den Artikel falsch interpretiert?
Sampablokuper
Nicht ganz. Die "MAC-Quelladresse" ist die Quelladresse dieses Ethernet-Pakets. Es ist nicht Teil des IP-Pakets und hat daher nicht unbedingt etwas mit der MAC-Adresse der Quelle des IP-Pakets zu tun. Stellen Sie sich das IP-Paket wie einen Brief und das Ethernet-Paket wie einen Umschlag vor. Der gleiche Brief kann sich von Briefumschlag zu Briefumschlag bewegen, wenn er das Internet durchquert. Es kann sogar ohne Umschlag reisen. Es ist der Brief, der zum Ziel gelangt. Unterschiedliche Umschläge sind erforderlich, da sie verschiedene Netzwerke durchlaufen, die sie auf unterschiedliche Weise benötigen.
David Schwartz

Antworten:

0

DNS verwendet UDP und TCP, die beide auf IP aufbauen.

Eine Verbindung oder ein Austausch zwischen zwei DNS-Servern wird durch ein 4-Mitglieder-Tupel definiert: Quell-IP-Adresse, Quell-Port, Ziel-IP-Adresse, Ziel-Port (für DNS meist mit 53 fest codiert).

MAC-Adresse, die "unter" IP ist, hat hier nichts zu tun, wie bereits in Kommentaren erläutert.

So sieht jeder autorisierende Nameserver auf Netzwerkebene nur die Quell-IP / den Quell-Port des rekursiven Nameservers, der die Frage stellt.

Jetzt:

  1. Der rekursive Nameserver kann auf einem Endhost ausgeführt werden. In diesem Fall ist die von allen autorisierenden Nameservern festgestellte Quell-IP ohne Weiterleitung die des Endclients
  2. manchmal ist der Inhalt der Abfrage ebenso aufschlussreich wie die Quell-IP. Siehe den neuen Standard zur QNAME-Minimierung: RFC7816 Damit erhält jeder Nameserver nur die Etiketten, die er zum Antworten benötigt, nicht den ganzen Namen.
  3. Einige rekursive Nameserver können die ECS-Erweiterung (EDNS Client Subnet) verwenden (siehe RFC7871) . Damit sendet der rekursive Nameserver "einen Teil" der Quell-IP des Endclients zusammen mit der Abfrage an den autorisierenden Nameserver. Die Idee ist, bei der CDN- und Geolokalisierung zu helfen, damit dem Endkunden Ressourcen mit Last- / Geo-Ausgleich als IP in seiner Nähe und nicht unbedingt in der Nähe des rekursiven Nameservers zur Verfügung gestellt werden. Der rekursive Nameserver muss explizit für das Senden konfiguriert sein (und die Größe der Maske auswählen, standardmäßig häufig /24), und die autorisierenden Nameserver müssen für die Verwendung dieser Informationen konfiguriert sein
Patrick Mevzek
quelle