这种检查反向DNS记录的逻辑会有缺陷吗？

Question

对于我的web应用程序，我硬编码一个反向DNS检测常见的网络爬虫。为了检测它们，我使用它们的反向DNS，我总是检查它是否包括google.com。我的问题是：

• 这是否是一个可能的安全漏洞，因为子域可以只命名为googlebot.com.malicious.bot？
• 反向DNS能否使用IP欺骗进行欺骗？
• 如果对前面的问题是肯定的，我如何才能确认它是合法的？我是否需要实现那个IP或其他什么的代码呢？

Answer 1

不能信任反向DNS查找。为IP地址管理PTR记录的人可以在反向DNS查找中提供任何名称，包括属于其他人(如google.com )的域。

如果应该根据域名做出安全决定，则需要一个前向确认的反向DNS查找，也就是检查PTR记录中声明的域是否已解析回预期的IP地址。

当然，针对域的安全检查不应该是简单的子字符串匹配。它应该是完全匹配的，或者确保给定域是预期域的子域，即与预期的example.com：

 example.com -> good, exact match
 example.com.org -> wrong, totally different domain
 foobar-example.com -> wrong, totally different domain
 foobar.example.com -> good, subdomain