Пакети між рекурсивним резольвером DNS і авторитетними серверами: чи розкривають вони клієнта?

0

Я розумію, що пакет запитів DNS між клієнтом DNS і рекурсивним резольвером DNS містить IP-адресу та MAC-адресу клієнта .

Коли рекурсивний резольвер, у свою чергу, запитує авторитетні сервери імен, яке з наступних речей відбувається?

  1. Кожен пакет запитів DNS, від рекурсивного резольвера до кожного авторитетного сервера DNS, включає (наприклад, щоб допомогти в ідентифікації пакетів і їх призначення) тієї ж IP-адреси та / або MAC-адреси, які були присутні в запиті, який рекурсивний резольвер отримав від вихідного клієнта; IP-адреса рекурсивного резольвера і / або MAC-адреса додаються до пакету для забезпечення того, щоб відповідь може бути направлений до рекурсивного резольвера. Тобто. авторитетні сервери б потенційно в змозі визначити, з запиту, IP-адресу та / або MAC-адресу комп'ютера, з якого рекурсивний резольвер отримав оригінальний запит.

  2. Кожен пакет запитів DNS, від рекурсивного резольвера до кожного авторитетного сервера DNS, не включає IP-адреса або MAC-адреса, які були присутні в запиті, отриманому рекурсивним резольвером від вихідного клієнта. IP-адреса рекурсивного резольвера та / або MAC-адреса включені в пакет, щоб гарантувати, що відповідь може бути направлений до рекурсивного резольвера. Тобто. авторитетні сервери не буде мати можливість визначити, з запиту, IP-адресу та / або MAC-адресу комп'ютера, з якого рекурсивний резольвер отримав оригінальний запит.

  3. Щось ще. Якщо так, то що?

Буду вдячний, якщо ви можете навести джерела відповідей.

networking  dns  privacy 
sampablokuper
джерело
1
Ваша передумова неправда. Пакети запитів DNS не містять MAC-адреси клієнта. Вони взагалі не можуть містити будь-яку MAC-адресу, але якщо вони це роблять, це буде MAC-адреса пристрою, який помістить цей пакет на мережу DNS-сервера.
David Schwartz
@DavidSchwartz, спасибі. Чи неправильно я використовував відповідну термінологію? Я взяв репліка зі статті I пов'язані який говорить: "давайте перевіримо, як буде виглядати пакет, що містить запит DNS в нашій мережі", і показуємо скриншот списку, що містить кілька полів, включаючи "джерело адреси addr" та "MAC dest. addr". Стаття також включає в себе діаграму під назвою "Пакет DNS - Ethernet II Frame", що включає розділи "MAC Header" і "IP Header". Чи неправильно інтерпретувати статтю?
sampablokuper
Не зовсім. "Адресою джерела MAC" є адреса джерела цього пакета Ethernet. Це не є частиною IP-пакета і тому не обов'язково має нічого спільного з MAC-адресою джерела IP-пакета. Подумайте про IP-пакет як про лист і Ethernet-пакет як про конверт. Один і той же лист може переходити від конверта до конверта, коли він перетинає Інтернет. Він може навіть подорожувати без конверта. Це лист, який потрапляє до пункту призначення. Необхідно змінювати конверт, оскільки він перетинає різні мережі, які вимагають їх різними способами.
David Schwartz

Відповіді:

0

DNS використовує протоколи UDP і TCP, які є одночасно над IP.

З'єднання або обмін між двома DNS-серверами визначається кортежом з 4-х членів: IP-адреса джерела, вихідний порт, IP-адреса призначення, порт призначення (в основному жорсткий код для DNS-53).

MAC-адреса, будучи "нижче" IP, тут нічого не роблять, як це вже пояснювалося в коментарях.

Отже, кожен авторитетний сервер імен побачить на мережевому рівні тільки вихідний IP / порт рекурсивного сервера імен, який запитує це питання.

Тепер:

  1. рекурсивний сервер імен може працювати на кінцевому хості, тому без будь-якого переадресації, в цьому випадку вихідний IP, який бачать всі авторитетні сервери імен, буде кінцевим клієнтом
  2. іноді вміст запиту також виявляє, як і вихідний IP. Переглянути новий стандарт мінімізації QNAME: RFC7816 Завдяки цьому кожний сервер імен отримує лише ті мітки, які йому потрібно відповісти, а не ціле ім'я.
  3. деякі рекурсивні сервери імен можуть використовувати розширення клієнтської підмережі EDNS (ECS), див RFC7871 . Завдяки цьому рекурсивний сервер імен надсилатиме "частину" кінцевого IP-адреси клієнта разом із запитом до авторитетного сервера імен. Ідея полягає в тому, щоб допомогти в CDN і геолокації, щоб навантаження / гео баланс ресурсів буде надано кінцевому клієнту як IP близький йому і не обов'язково близький до рекурсивного сервера імен. Рекурсивний сервер імен повинен бути явно налаштований для його надсилання (і вибирати розмір маски за замовчуванням часто /24 ), і авторизовані сервери імен повинні бути налаштовані на використання цієї інформації
Patrick Mevzek
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.