DNS Dig 도구를 사용한 응답 유형 불일치 쿼리 유형

"dig @server domain type"으로 DNS 쿼리를 수행했을 때

[root@centos ~]# dig @8.8.8.8 www.google.com aaaa

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> @8.8.8.8 www.google.com aaaa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10074
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.            IN  AAAA

;; ANSWER SECTION:
www.google.com.     249 IN  A   69.63.184.14

;; Query time: 4 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Sep 28 18:44:16 CST 2018
;; MSG SIZE  rcvd: 48

그게 무슨 문제 야? 네트워크 트래픽을 tcpdump하려고 시도했습니다.

발굴 처리 패킷을 Tcpdump

dns dig

— 노예
소스

4ms는 빠른 길입니다. Google에서 올 가능성은 거의 없습니다. 내 전용 서버조차도 8.8.8.8로부터 응답을받는 데 14ms가 걸립니다.

— Daniel B

@DanielB : 예, 이것은 가짜입니다. 그러나 일반적으로 물리적 위치와 호스트의 연결 상태에 따라 다릅니다 (Google은 직접 피어링 제공). 5-6ms는 저렴한 VPS에서 완벽하게 정상이며 핑 시간은 1-2ms입니다. 단순히 AMS-IX에 매우 가깝기 때문입니다.

— grawity

69.63.184.14그건 그렇고 페이스 북에 속해 있습니다.

— Daniel B

예, 일반 네트워크 핑보다 너무 빠릅니다. 그것은 dns poisioning이며 "발굴"과는 아무런 관련이 없습니다. 다들 감사 해요.

— BOND

각 DNS 쿼리는 정확히 하나의 응답을 생성합니다. 세 개를 얻는다면 다른 두 개는 실제 8.8.8.8 서버에서 나오는 것이 아니라 다른 곳에서 오는 것입니다. 즉, 인터넷 경로에 악의적 인 장치가있는 것입니다. (이 패킷은 IP 헤더에 다른 TTL을 표시합니까?)

ISP / 네트워크 관리자에게 문의하십시오.

— 횡령
소스

감사합니다. 맞습니다 .IP 헤더의 TTL이 다릅니다 .A 레코드 dns 응답 패킷의 51은 AAAA 레코드 응답의 세 번째는 104이며 경로에 악성 장치가 있어야합니다.

— BOND