Aktualisieren: Die ursprüngliche Frage wurde im falschen Kontext gestellt. Ich hätte eigentlich fragen sollen, wie DNSBL funktioniert und warum mein DNS-Resolver wichtig ist.
Ich habe die Frage bei der Untersuchung diesesErklärseitevon Spamhaus. Im Einzelnen heißt es:
Öffentliche rekursive Nameserver fungieren als Anonymisierungsdienst und ermöglichen es Großanwendern, sich hinter ihnen zu verstecken
Mein derzeitiges Verständnis (unterstützt durch1,2,3) ist, dass der DNS-Resolver einfach einen Domänennamen in eine IP-Adresse umwandelt. Dann verwende ich die IP-Adresse, um eine Verbindung zum Server herzustellen. In diesem Fall wüsste der Server jedoch nicht, welchen DNS ich verwendet habe.
Wie kann also ein DNS-Resolver anonymisierend oder de-anonymisierend sein?
Antwort1
Ich glaube, Sie verstehen nicht ganz, worauf Spamhaus anspielt:
Spamhaus stellt seine Blocklisten über dieSperrliste für Domänennamensysteme(DNSBL)-Mechanismus.
Um festzustellen, ob ein Domänenname oder eine IP-Adresse auf der Spamhaus-Blockliste steht, führt Ihr System eine DNS-Abfrage durch. Siehehttps://en.wikipedia.org/wiki/Domain_Name_System_blocklist#DNSBL_queries
Wenn dieser Domänenname oder diese IP-Adresse NICHT aufgeführt ist, wird der DNS-Antwortcode NXDOMAIN zurückgegeben und eine andere Antwort, normalerweise eine IP-Adresse aus dem Bereich 127.0.0.x, gibt einen Grund an, warum diese Domäne aufgeführt ist.
Da Spamhaus für seine Infrastruktur zahlen muss, haben sie wie andere ein Freemium-Modell. Für kleine Benutzer ist der Dienst kostenlos, große Benutzer müssen zahlen. Sie setzen das mehr oder weniger um, indem sie die Anzahl der DNS-Abfragen von jeder IP-Adresse zählen. Jede IP darf eine bestimmte Anzahl „kostenloser“ Abfragen pro Tag durchführen. Wenn Sie diese Zahl überschreiten, zahlen Sie bitte für das Privileg.
Wenn Ihr System so konfiguriert ist, dass es die öffentlichen Resolver von Google (8.8.8.8) verwendet, fragt Ihr System die Spamhaus-DNS-Server nicht direkt ab. Ihr System sendet die DNSBL-Abfrage an 8.8.8.8 und wenn diese bestimmte Abfrage nicht im DNS-Cache dieses Servers vorhanden ist, wird der Spamhaus-DNS-Server in Ihrem Namen vom öffentlichen Resolver von Google abgefragt.
Diese Abfrage erfolgt nicht über Ihre IP-Adresse, sondern über die IP-Adresse des öffentlichen Resolvers von Google. (bearbeiten:Das ist auch dieAnonymisierungEffekt, auf den sich Spamhaus bezieht. Ihre IP-Adresse ist hinter dem öffentlichen Resolver von Google verborgen.)
Wie Sie sich vorstellen können, verwenden viele Leute den öffentlichen Resolver von Google und im kostenlosen Tarif ist die Anzahl der täglichen Abfragen, die eine bestimmte IP-Adresse an Spamhaus senden darf, schnell erschöpft.
(Und Sie können 8.8.8.8 durch die IP-Adresse eines großen ISP und/oder CloudFlares sicheres DNS 1.1.1.1 ersetzen.)
Wenn Sie Ihren eigenen DNS-Resolver verwenden und nicht den Ihres ISPs oder 8.8.8.8 oder 1.1.1.1 usw., erkennt der DNSBL-Server Ihre eigene IP-Adresse als Ursprung der DNS-Abfragen. Wenn Sie ein kleines bis mittleres Unternehmen sind, werden Sie nicht auf irgendwelche Beschränkungen oder Ratenbegrenzungen stoßen.
Antwort2
Es ist kein „DNS-SERVER“, sondern ein „ÖFFENTLICHER und REKURSIVER Nameserver“. Das bedeutet, dass ich die echten Nameserver hinter einem öffentlichen rekursiven Server verbergen und so einen Teil meiner IP-Infrastruktur verbergen kann.