DNS数据中的in-addr.arpa

DNS TIAN 39℃ 0评论

在做DNS数据分析时,常常会看到数据中存在以“in-addr.arpa”为后缀的“域名”字符串,那这个in-addr.arpa是什么意思呢?

其实它是域名系统中的一类记录,叫做PTR记录。正常我们理解的域名系统是域名映射到IP地址的,它正好是反过来,是由IP地址映射到域名上。

反向解析也称为rDNS。

但是反向解析功能与域名解析服务本身并无关系。也就是说如果你要设置PTR记录,需要找到IP地址的服务商,而不是你的域名服务商,在那里设置你IP的rDNS记录(也就是PTR记录)。

PTR记录有什么用:

1.可以防止垃圾邮件,即验证发送邮件的IP地址,是否真的有它所声称的域名。

2.通常,互联网上的网络路由器会被赋予与其物理位置相对应的 PTR 记录,这对于运行 traceroute 或者 MTR 来检查网络流量经过的路径很有用。

以上内容在网上都能搜到,我也没打算说太详细。写这篇文章主要想记录一下自己的两个疑问:

1.在DNS日志中的PTR记录能否产生实际的分析价值?

PTR记录其实还是挺多的,包括ipv4的和ipv6的,而且通过时间基线来看指定记录会有激增的情况。我们正常的思路是将这些数据过滤掉,但是它们既然存在就应该有挖掘的价值。我在想能否利用这些数据挖掘出什么有意义的结果呢?

2.客户端在什么情况下会请求PTR记录?

如果我们能在客户端层次上深刻理解了PTR记录产生的“所有”原因,我们就能对DNS数据中的PTR记录进行一个合理的处理。现阶段还未有一个明白的说法。

 

如果你看到这篇文章,欢迎留言探讨。

转载请注明:老田博客 » DNS数据中的in-addr.arpa

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址