攻击/解决恶意网站的风险？

Question

如果我做了ping malicioussite.com或nslookup malicioussite.com，对我有什么风险吗？恶意网站背后的人会知道我在查他们吗？

我想制作一个程序来使用IP地址来查找域名，反之亦然。

Answer 1

执行nslookup只会与您配置的DNS服务器联系(然后该服务器可能会将查询转发到其他DNS服务器，但不会以您的名义发送)，不会有任何数据包从您的计算机到达malicioussite.com。

pinging将向malicioussite.com服务器发送icmp数据包，如果它们跟踪数据包，就会看到您的ip地址。尽管严格地说，ping本身是一个相当安全的程序，但是如果您担心通过向某人泄露ip地址是一种风险，那么您可以使用代理、vpn或通过Tor网络来实现。

就反向查找而言，请参见下面的答案：https://serverfault.com/questions/74042/resolve-host-name-from-ip-address#74044

Answer 2

一些权威的DNS服务器可能会泄露IPv4地址的前24位，如果它们配置了Google的扩展EDNS客户端子网：

此外，Google公共DNS工程师还提出了一种名为EDNS客户端子网的技术解决方案。该方案允许解析器将客户端IP地址的一部分(IPv4 4/IPv4 6的前24/64位或更低的IP地址)作为DNS消息中的源IP传递，以便名称服务器可以根据用户的位置而不是解析器的位置返回优化结果。到目前为止，我们已经为许多大型CDN(包括Akamai)和Google属性部署了一个提案的实现。大多数对地理敏感的域名已经被覆盖。

因此，如果您对DNS服务器进行查询

PC @ 203.0.113.224 --> DNS Resolver @ 198.51.100.50:53 
                              --> Authoritative DNS @ 192.0.2.100:53

如果DNS Resolver支持扩展，权威DNS将将203.0.113.X视为您的IP地址。

如果不是，但是DNS Resolver在您的公司，malicioussite.com控制着他们的权威DNS服务器，那么他们会看到198.51.100.50对malicioussite.com进行了查询，向他们展示了您的公司。

Ping将ICMP数据包从203.0.113.224发送到malicioussite.com，因此，如果它们在此协议上记录或监视数据包，源IP将可由它们查看。当然，Ping使用DNS来查找IP地址，所以我上一段中的要点也适用于这里。

实际上，对于您来说几乎没有什么风险，因为域一直被查询，服务器一直被点击。如果一个域名只有你(或一群人)才会知道，隐私可能会引起人们的关注--例如，如果你不知道域名mrji8g45vcxa5.malicioussite.example.com的存在，就不可能真的意外地查找它。如果他们知道只有你知道，这可能会泄露你的行踪。

为了确保程序的隐私，如果它确实在查找这样的私有域，您可以确保它使用不支持EDNS客户端子网的公共DNS服务器进行正向和反向查找。如果您为客户端制作此程序，您可以自己托管这样的服务器，并且您很高兴目标系统知道是您的程序在查找它们，但不一定是哪个客户端。