Для чего нужна обратная зона dns

Для чего нужна обратная зона dns

Добрый день, уважаемые читатели и постоянные подписчики, IT блога Pyatilistnik.org. В прошлый раз мы разобрали, что такое DNS-сервер, его принципы работы, основные записи и много другое. Кто пропустил заметку, советую ознакомиться. В сегодняшней публикации я хочу рассмотреть вопрос, о обратных зонах и их применении.

Обратный запрос DNS — особая доменная зона, предназначенная для определения имени узла по его IPv4-адресу c помощью PTR-записи. Адрес узла AAA.BBB.CCC.DDD переводится в обратной нотации и превращается в DDD.CCC.BBB.AAA.in-addr.arpa. Благодаря иерархической модели управления именами появляется возможность делегировать управление зоной владельцу диапазона IP-адресов. Для этого в записях авторитетного DNS-сервера указывают, что за зону CCC.BBB.AAA.in-addr.arpa (то есть за сеть AAA.BBB.CCC.000/24) отвечает отдельный сервер.

PTR-запись (от англ. pointer – указатель) связывает IP хоста с его каноническим именем. Запрос в домене in-addr.arpa на IP хоста в обратной форме вернёт имя данного хоста. Например, (на момент написания), для IP адреса 192.0.34.164: запрос записи PTR 164.34.0.192.in-addr.arpa вернет его каноническое имя referrals.icann.org.in-addr.arpa

in-addr.arpa — специальная доменная зона, предназначенная для определения имени хоста по его IPv4-адресу, используя PTR-запись. Адрес хоста AAA.BBB.CCC.DDD транслируется в обратной нотации и превращается в DDD.CCC.BBB.AAA.in-addr.arpa. Благодаря иерархической модели управления именами появляется возможность делегировать управление зоной владельцу диапазона IP адресов. Для этого в записях авторитативного DNS-сервера указывают, что за зону CCC.BBB.AAA.in-addr.arpa (то есть за сеть AAA.BBB.CCC/24) отвечает отдельный сервер.

Использование

В целях уменьшения объёма нежелательной почтовой корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии.

Источник

Что такое обратный DNS? Основные инструменты для выполнения обратного поиска DNS

Что такое обратный DNS (rDNS)?

Мы все знаем, что такое DNS и как он работает. Но даже некоторые IT-ботаники иногда забывают о rDNS, а третьи, которые только что присоединились к клубу, никогда даже не слышали о нем.

На простом языке обратный DNS или rDNS делает противоположное традиционному DNS. То есть, вместо преобразования доменного имени на IP, он преобразует IP к имени хоста.

Разрешение rDNS – это совершенно отдельный механизм от обычного разрешения DNS. Например, если домен “yourcompany.com” указывает на IP 1.2.3.4 (фиктивный IP-адрес), это не обязательно означает, что обратное разрешение для IP является 1.2.3.4.

Для хранения записей rDNS существует определенный тип записи DNS, называемый записью PTR. Эта запись также известна как ”запись ресурсов” (RR) и задает IP-адреса всех систем, используя инвертированную нотацию.

Эта конфигурация rDNS позволяет выполнять поиск IP-адреса в DNS, так как inaddr.arpa домен добавляется в инвертированную нотацию IP, превращая IP в доменное имя.

Например: чтобы преобразовать IP-адрес 1.2.3.4 в PTR-запись, нам нужно инвертировать IP и добавить домен inaddr.arpa в результате чего получается следующая запись: 4.3.2.1.in-addr.arpa.

Классическая работа системы DNS заключается в преобразовании или разрешении IP-адресов в имена, но некоторые сценарии требуют обратного, и это означает, что имена подключенных к интернету устройств переводятся с их IP-адресов. Это то, что называется rDNS, или обратное разрешение.

Поддерживают ли все типы IP-адресов rDNS? Безусловно, и IPv4 и IPv6 поддерживают поиск rDNS. В случае адресов на основе IPv4 поисковые запросы используют специальный домен in-addr.arpa, в то время как для IPv6 rDNS поиск специального домена ip6.arpa используется.

Нужен ли мне rDNS? Текущее использование обратного DNS

Насколько важна rDNS тогда? Может ли мой интернет-бизнес жить без него?

Ответ-да…и нет. В то же время.

Если у вас нет настройки rDNS для вашей ИТ-инфраструктуры, она все равно будет работать. Это не является строгим требованием. Однако некоторые вещи могут работать не так, как ожидалось, или могут вызвать трудности. Продолжай читать.

Когда rDNS полезно?

Как я могу выполнить обратный поиск DNS?

Выполнение обратного DNS-поиска не является ракетной наукой, но есть много методов и инструментов поиска rDNS, используемых для выполнения противоположной обычной проверки DNS : разрешения данного IP-адреса для хоста.

Некоторые из этих веб-утилит известны как обратные инструменты DNS, и все они делают одно и то же: запрашивают данный IP-адрес для разрешения имени хоста. Давайте сначала рассмотрим некоторые примеры на основе терминалов.

Мощная команда dig приходит на помощь, когда нам нужно выполнить обратный поиск DNS. С помощью параметра-x можно выполнить простой обратный поиск, чтобы сопоставить адрес с именами всего за несколько секунд.

Этот параметр dig автоматически выполняет поиск для традиционного имени IP-адреса, такого как 94.2.0.192.in-addr.arpa, и установите тип запроса и класс в PTR и IN соответственно для адресов IPv6. Поиск rDNS выполняется с использованием формата nibble под IP6.ARPA домен.

Самое интересное заключается в следующем:

Вы можете grep выходные данные для более четкого результата.

Команда host, вероятно, является самой популярной командой, когда речь заходит о выполнении быстрого разрешения rDNS с терминала. Синтаксис довольно прост:

Где XX. XX. XX. XX-это реальный IP-адрес. Давайте рассмотрим несколько примеров.

Cloudflare поставляется в первую очередь с обратным запросом разрешения DNS против 1.1.1.1:

То же самое относится и к любому другому IP-адресу, например DNS-серверу Google:

Или наши собственные securitytrails.com IP-адрес:

Правильно, для нашего IP-адреса у нас пока нет никакой настройки PTR-записи, это еще одна возможность, которую вы найдете на определенных IP-адресах.

G-Suite Toolbox Dig

В этом случае выберите запись “PTR”, введите свой IP-адрес и получите полный результат rDNS за считанные секунды.

Недостатком этой утилиты является то, что она позволяет получать результаты только для одного IP-адреса, что не удобно, когда вам нужно выполнить массовое сканирование rDNS.

Обратная конечная точка DNS API

Использование нашего мощного API является еще одним отличным источником для запроса нашей пассивной базы данных DNS для любых записей PTR компании.

Конечная точка “/v1/ips/list” позволяет запрашивать домен apex (в этом случае cloudflare.com), так что вы можете легко обнаружить все известные IP-адреса, связанные с Cloudflare.com доменное имя.

Давайте использовать быстрый скрипт python, чтобы увидеть, как это выглядит:

В дополнение к записям PTR, вы также найдете открытые порты для каждого из хостов, возвращенных нашей службой API.

Благодаря нашему полностью основанному на HTTP API, вы также можете выполнить простой запрос CURL из командной строки или использовать любые другие популярные языки, включая Node.js, JavaScript, Ruby, Go и PHP.

Массивная разведка rDNS

Когда мы говорим, что SurfaceBrower – это идеальный инструмент для исследования поверхности атаки “все-в-одном”, мы действительно имеем это в виду. Помимо всех зон DNS, доменных имен, SSL и открытых портов данных он имеет, SurfaceBrowser может быть использован в качестве инструмента массового обратного поиска DNS.

Чтобы изучить данные rDNS от любой компании, просто запустите SurfaceBrowser с консоли вашего аккаунта по адресу: https://securitytrails.com/app/sb/

Выберите любое доменное имя, которое вы хотите изучить, а затем нажмите на опцию “обратный DNS”, как показано ниже:

Как вы, возможно, заметили, разрешение записей rDNS загружается мгновенно благодаря нашей пассивной технологии DNS, позволяя вам изучить все связанные записи rDNS, указывающие на эту организацию.

Первое, что вы увидите при загрузке области PTR-записей, – это сводка по открытым портам и сводка по аналогичным записям, что позволяет легко фильтровать всю текущую информацию rDNS в соответствии с вашими потребностями.

В этом случае, исследуя fbi.gov доменное имя выявило 289 записей. Каждый из них может быть изучен в области результатов, что позволяет исследовать запись PTR, открытые порты и количество связанных IP-адресов. Взглянуть:

Если вам нужно найти связанные IP-адреса, указывающие на любую PTR-запись, просто нажмите число+ для немедленных результатов::

Этот второй PTR-экран данных показывает вам общее количество IP-адресов, а также где они размещены и текущие открытые порты, найденные для каждого из них.

fbi.gov это “маленькая ” организация, когда речь заходит о PTR-записях, хотя мы нашли много полезной информации. Но вот что происходит, когда вы исследуете большую онлайн-компанию, такую как Google:

Ибо … cache.google.com мы нашли около 94 тыс. IP-адресов, связанных с этой записью PTR. Представьте себе выполнение этого поиска с помощью традиционных обратных инструментов DNS. Это может занять целую вечность!

Последняя мысль

Сегодня мы узнали, что обратный DNS-это не только отличный способ улучшить ваши исследования кибербезопасности, но и сохранить вашу электронную почту в отличной форме, используя правильные PTR-записи.

Выполнение ручного поиска rDNS отлично, когда вы фокусируетесь на изолированных случаях. Однако, когда вам действительно нужно исследовать сто или тысячу IP-адресов, это становится действительно медленным процессом, который может буквально занять у вас часы или даже дни в некоторых случаях.

Источник

Обратные доменные имена (reverse DNS) и их место в работе почтового сервера

Система доменных имён — основа современного интернета. Люди не желают затруднять себя запоминанием набора цифр 63.245.217.105, а хотят чтобы по имени mozilla.org компьютер соединил их с указанным узлом. Этим и занимается DNS: переводит запросы людей в понятный компьютерам цифровой формат. Однако в некоторых случаях может потребоваться обратное (reverse) преобразование IP-адрес → DNS-имя. Их также называют PTR-записи (PoinTeR, англ. — указатель). О таких именах и пойдёт речь ниже.

Для чего нужно?

Наличие корректно настроенного rDNS адреса совершенно необходимо, чтобы отправлять сообщения с вашего собственного сервера корпоративной почты. Практически все почтовые серверы отвергнут приём сообщения ещё на стадии начала сессии, если у IP-адреса вашего отсутствует запись в обратной зоне DNS. Причина отказа удалённым почтовым хостом будет, скорее всего, указана такой:
550-«IP address has no PTR (address to name) record in the DNS, or when the PTR record does not have a matching A (name to address) record. Pls check and correct your DNS record.»

или
550-There’s no corresponding PTR for your IP address (IP-address), which is 550 required. Sorry, bye.

или просто
550 Your IP has no PTR Record

Число 550 во всех трёх случаях является стандартным кодом SMTP, сообщающим о критической ошибке, которая непреодолимо препятствует дальнейшей работе в рамках данной почтовой сессии. Надо сказать, что вообще все ошибки серии 500 являются критическими и продолжение передачи почты после их появления невозможно. Текст же поясняет причину отказа более подробно и сообщает, что администратор сервера-получателя настроил его на проверку наличия у сервера-отправителя записи в обратной зоне DNS (rDNS) и в случае её отсутствия получатель обязан отказывать отправителю в соединении (SMTP-ошибки серии 5XX).

Как настроить и использовать?

Правами на настройку обратной зоны DNS (reverse DNS) обладает лишь владелец соответствующего блока IP-адресов, которой эта зона соответствует. Как правило этим владельцем оказывается провайдер, владеющий собственной автономной системой. Подробнее о регистрации своей автономной системы (AS) и блока IP-адресов можно прочитать в этой статье. Если кратко, то оператору блока IP-адресов для регистрации обратной зоны DNS необходимо зарегистрировать в своём личном кабинете на сайте RIPE объект типа «domain», указать адрес DNS-серверов, которые будут поддерживать зону rDNS и настроить поддержку зоны вида 3.2.1.in-addr.arpa на них. За ресурсы в обратной зоне отвечает указатель (pointer) — запись типа PTR. К ней-то и идут запросы о разрешении IP-адреса в имя хоста.

Если же вы не являетесь счастливым обладателем автономной системы, то настройка rDNS для IP-адреса или адресов почтового сервера для вас начинается и заканчивается запросом в службу поддержки провайдера или хостера. В обоих случаях имя IP-адресу почтового сервера, а особенно корпоративного почтового сервера, следует давать осмысленно.

Примеры хороших имён для сервера почты:

mail.domain.ru
mta.domain.ru
mx.domain.ru

Примеры плохих имён:

host-192-168-0-1.domain.ru
customer192-168-0-1.domain.ru
vpn-dailup-xdsl-clients.domain.ru

и подобные. Такие имена с высокой вероятностью попадут под фильтр как назначенные клиентским компьютерам, на которых не может быть установлен почтовый сервер, следовательно с них рассылается спам.

С успехом использовать запросы к обратным зонам DNS можно и нужно сразу после запуска почтового сервера. Для этого необходимо произвести лишь небольшую настройку ПО. В разных почтовых серверах настройка проверки rDNS делается по-разному:

Теперь все сообщения с IP-адресов не имеющих обратной записи в DNS (записей типа PTR) будут отвергаться, поток спама, значительно сократится. Пожалуй, это самый простой, действенный и наименее ресурсоёмкий из всех методов фильтрации спама: проверкой reverse DNS отсекается подавляющее большинство спама, рассылаемого с заражённых компьютеров обычных пользователей, составляющих ботнеты спамеров.

Затрудняетесь с самостоятельной настройкой почтового сервера? Поручите все заботы профессионалам — хостинг корпоративной почты с круглосуточной поддержкой.

Частые вопросы

PTR-запись для почтового сервера — какую указать?

В случае поддержки собственного почтового сервера указать PTR-запись необходимо. Если она отсутствует или автоматически создана провайдером, письма с такого сервера в лучшем случае будут попадать в спам, а в худшем вообще отклоняться mail-серверами получателей.

Поэтому следует выбрать осмысленное наименование, отражающее характер использования IP-адреса. Лучшей PTR-записью для сервера почты в большинстве случаев будет mail.domain.ru, где domain.ru это имя вашего домена. Подробнее о настройке DNS для почтового сервера здесь.

Как создать PTR-запись?

Поддержкой PTR-записей занимается владелец автономной системы, в которую входит IP-адрес. Как правило, это провайдер услуг доступа в интернет или хостинг-провайдер. Самостоятельно абонент или пользователь хостинга эту процедуру не выполнит — следует обратиться в техническую поддержку оператора. Определить владельца IP и автономной системы.

Как проверить PTR-запись?

Команды для запроса PTR:

Источник

Использование обратных зон в современных приложениях

Как известно, основное предназначение службы DNS, на которой базируются современные сети, — разрешение имен компьютеров (хостов) в IP-адреса. Но помимо этой задачи служба DNS выполняет еще и обратную процедуру, т. е. так называемую обратную проверку (reverse lookup), а именно определяет по IP-адресу имя компьютера. Данная операция используется для проверки компьютера, выполняющего подключение к какому-либо сетевому приложению, и это сетевое приложение может запросить у службы DNS разрешение IP-адреса, с которого выполняется подключение, в имя. Поскольку в современных сетях при формировании запроса можно указать любое имя, но указать чужой IP-адрес в большинстве случаев не получится, данный способ проверки обладает определенной степенью надежности. Ведь привязать имя к IP-адресу так, чтобы служба DNS разрешила этот IP-адрес именно в это имя, может только тот, кто официально владеет данным IP-адресом.

Примером приложения, использующего обратную проверку, может служить почтовый сервер Microsoft Exchange Server, причем любая его версия. Мы рассмотрим Exchange Server 2003. В указанном продукте обратная проверка, т. е. разрешение IP-адреса в имя, применяется сервером Exchange для формирования списков SMTP-серверов, от которых нельзя принимать подключения (см. экран 1), а также при настройке ограничений на сервере пересылки почты (open relay; см. экран 2).

В этих механизмах обратная проверка позволяет принимать решение на основе того, к какому DNS-домену принадлежит компьютер, выполняющий подключение. Так, например, подключение сервера может быть принято, если он принадлежит домену nwtraders.com, и наоборот, подключение может быть отклонено, если компьютер зарегистрирован в домене contoso.com. Кроме того, некоторые почтовые системы могут использовать механизм обратной проверки для проверки имени SMTP-сервера, которое тот указал в команде EHLO/HELO. Последняя возможность используется в качестве одного из элементов в системе противодействия рассылке спама, что весьма актуально при нынешней ситуации в почтовых системах. Однако для этого типа проверки обычно используются операции прямого просмотра (forward lookup), поскольку злоумышленник, рассылающий спам через свой почтовый сервер, скорее всего, имеет доступ к его общедоступному IP-адресу и серверу DNS и, следовательно, сможет менять имя, в которое разрешается его IP-адрес, по своему желанию. Поэтому тот же сервер Exchange, несмотря на то что параметр, включающий проверку имени из команды EHLO/HELO, называется Perform reverse lookup on incoming messages (см. экран 3), для проверки имени использует прямой просмотр.

Таким образом, использование обратной проверки предоставляет определенные возможности администраторам почтовых систем и налагает некоторые обязательства. Если администратор хочет избежать проблем при отправке почты, он должен в обратной зоне, к которой принадлежит IP-адрес его почтового сервера, создать запись типа PTR. В этой записи нужно привязать IP-адрес почтового сервера к имени, которое сервер использует в команде EHLO. Однако при выполнении всех этих настроек администратор столкнется с рядом сложностей, о которых и пойдет речь ниже.

Обратные зоны для бесклассовых диапазонов

Классические обратные зоны DNS-серверов позволяют оперировать только классовыми диапазонами IP-адресов. Соответственно, минимальным диапазоном, для которого можно создать обратную зону, является класс C. Однако большинство предприятий использует гораздо меньшие диапазоны — 4, 8, 16 IP-адресов. В этом случае поддержку обратных зон Internet-провайдеру приходится брать на себя. Тем самым снижается гибкость в управлении адресами для потребителей и повышается нагрузка на администраторов провайдера. Для делегирования пользователям полномочий управления обратным разрешением их IP-адресов в имена требуется использовать бесклассовые обратные зоны.

В первую очередь нужно сказать, что DNS явно не поддерживает создание и делегирование бесклассовых обратных зон. Для решения этой задачи будут использоваться стандартные механизмы сервера DNS, но нестандартным способом. Кроме того, объем работы по созданию бесклассовых обратных зон будет достаточно громоздким, но позволяет достичь цели — разделить диапазон IP-адресов обратной зоны на подсети и делегировать их на другие серверы DNS.

Второй аспект — обратные зоны работают с теми же доменами, что и прямые зоны, только домены обратных зон похожи на IP-адреса, но именно похожи. Поэтому уточним задачу: необходимо разделить обратную зону для диапазона 192.168.1.0 между двумя клиентами пополам.

Первым делом на серверах DNS клиентов создадим обратные зоны для доменов subnet1.1.168.192.in-addr.arpa., на одном сервере для первого клиента, и subnet2.1.168.192.in-addr.arpa., на втором сервере DNS для второго клиента.

Затем на сервере DNS провайдера в домене 1.168.192.in-addr.arpa создадим делегирование для этих дочерних доменов на серверы DNS клиентов.

Далее в зоне домена 1.168.192.in-addr.arpa создадим записи типа CNAME для каждого адреса хоста, который будет ссылаться на запись PTR в дочернем домене, делегированном клиенту. Имя компьютера, указанное в этой записи, и будет возвращаться в ответ на запрос, а указывать имя будет администратор компании-клиента.

Сама запись будет выглядеть так:

На сервере DNS клиента в зоне, поддерживающей дочерний домен subnet1, создадим обычную запись PTR, например:

Основная сложность заключается в том, что нужно будет создать псевдонимы для всех адресов, поэтому проще эту задачу выполнять, редактируя файлы зон напрямую.

Теперь давайте рассмотрим пример практической реализации изложенных принципов посредством графического интерфейса сервера DNS из состава операционной системы Windows Server.

Первый шаг: создаем обычную обратную зону для диапазона 192.168.1.0/24, как показано на экране 4.

Затем командой New Alias (CNAME) из контекстного меню зоны или меню Action в этой зоне создаем псевдонимы (см. экран 5).

В результате получаем описание зоны, представленное на экране 6.

Далее командой New Delegation из контекстного меню обратной зоны 192.168.1.0/24 выполняем делегирование для дочернего домена subnet1 на сервер DNS клиента (экраны 7 и 8). На экране 9 показано, как теперь будет выглядеть сама обратная зона для диапазона 192.168.1.0/24.

Все, что осталось, так это на сервере DNS клиента создать обратную зону для домена subnet1.1.168.192.in-addr.arpa. Для этого запускаем обычный мастер создания обратных зон, но в окне Reverse Lookup Zone Name выбираем переключатель, позволяющий непосредственно указать имя новой обратной зоны (см. экран 10). В результате получаем на сервере клиента такую обратную зону, как показано на экране 11.

Цель достигнута, теперь администратор клиента может создавать на своем сервере DNS обычные обратные записи (PTR) для IP-адресов своих компьютеров, например так, как на экране 12.

Если теперь попробовать разрешить IP-адрес в имя, используя сервер DNS, на котором находится обратная зона диапазона 192.168.1.0/24, то результат будет, как на экране 13.

Как и было сказано выше, делегирование обратных зон для бесклассовых диапазонов выполняется посредством нестандартного использования обычных возможностей сервера DNS. Фактически предложенный метод выполняет делегирование каждого отдельно взятого IP-адреса. Для каждого адреса администратор сервера DNS провайдера посредством псевдонима должен указать, где искать имя, соответствующее данному IP-адресу. Каких-либо расчетов, связанных с идентификаторами сети и идентификаторами хоста в делегируемых IP-адресах, выполнять нет никакой необходимости, поскольку диапазон адресов в этом методе не делится, просто перебираются все IP-адреса и каждому вместо имени ставится в соответствие ссылка на другой сервер DNS. Ну а если какие-то адреса остаются у провайдера, то он для них создает традиционные обратные записи вместо псевдонимов. Дочерние домены, в данном примере subnet1 и subnet2, как раз представляют собой ссылки на серверы DNS клиентов, которым выделяются бесклассовые диапазоны IP-адресов. Когда какому-то клиенту выделяются те или иные адреса, для него в обратной зоне соответствующего классового диапазона создается дочерний домен, который делегируется на сервер DNS клиента, с именем, например, subnetN, где N — номер клиента, и IP-адресам, выделенным этому клиенту, ставятся в соответствие псевдонимы, ссылающиеся на этот домен. А в созданном дочернем диапазоне клиент становится полновластным хозяином и самостоятельно решает, в какие имена будут разрешаться его адреса.

Дмитрий Иванов (DmitriyI@hq.a-sys.ru ) — преподаватель сертифицированного учебного центра Microsoft «Академия корпоративных систем», специализация Microsoft Exchange Server

Поделитесь материалом с коллегами и друзьями

Источник