IP-адреса DNS-запросов отображаются в обратном направлении в Wireshark
Я использую DNSCrypt с dnsmasq на моей машине с Ubuntu 14.10. Когда я запускал dumcap через Wireshark, я заметил пару странных случаев в последнее время. Во-первых, после отключения от моей VPN с гипотетическим IP-адресом 10.8.0.13 я вижу это:
.............13.0.8.10.in-addr.arpa..................13.0.8.10.in-addr.arpa.....
И, скажем, IP-адрес моего VPN-сервера 123.456.78.91, чем запросы выглядят так:
9143 584.912799000 localhost localhost DNS 88 Standard query 0xc198 PTR 19.78.654.321.in-addr.arpa
И, конечно же, ответ на эти вопросы всегда такой:
9144 584.912945000 localhost localhost DNS 88 Standard query response 0xc198 No such name
Это даже происходит для широковещательных адресов:
125 37.371037000 localhost localhost DNS 90 Standard query 0x8e53 PTR 250.255.255.239.in-addr.arpa
Каждый раз, когда это происходит за запросами следует куча «перезагрузок conntecion» и других предупреждений. Это нормально? Dnsmasq мешает DNSCrypt-прокси? Я попытался запустить dnscrypt без DNS-кеша, но потом заметил, что запросы к моему локальному и иногда локальной сети пересылаются на серверы имен. И если это не так уж и плохо, на прошлой неделе мне пришлось дважды переустанавливать свой маршрутизатор (OpenWRT), потому что иногда DNS вообще ломался, и Wireshark показывал, что мой локальный домен «.lann» добавлялся в каждый отдельный запрос. Система, например:
askubuntu.com.lann
Как мне это исправить? Кажется, мой DNS полностью сломан. Я в полном замешательстве.
1 ответ
при использовании tcpdump, используйте-n, которому Это скажет tcpdump НЕ разрешить или доменные имена любого IP. То, что Вы видите, является обратным поиском для IP.
Выборка из tcpdump страницы справочника-n не преобразовывают адреса узла в имена. Это может использоваться для предотвращения поисков DNS.