Alcuni server DNS autorevoli potrebbero rivelare i primi 24 bit di un indirizzo IPv4 se sono configurati con l'estensione di Google Sottorete del client EDNS :
In addition, Google Public DNS engineers have proposed a technical
solution called EDNS Client Subnet. This proposal allows resolvers to
pass in part of the client's IP address (the first 24/64 bits or less
for IPv4/IPv6 respectively) as the source IP in the DNS message, so
that name servers can return optimized results based on the user's
location rather than that of the resolver. To date, we have deployed
an implementation of the proposal for many large CDNs (including
Akamai) and Google properties. The majority of geo-sensitive domain
names are already covered.
Pertanto se si effettua una query su un server DNS
PC @ 203.0.113.224 --> DNS Resolver @ 198.51.100.50:53
--> Authoritative DNS @ 192.0.2.100:53
E se DNS Resolver supporta l'estensione, il DNS autorevole vedrà 203.0.113.X
come indirizzo IP.
In caso contrario, ma DNS Resolver è nella tua azienda e malicioussite.com
controlla il loro server DNS autorevole, quindi vedranno che 198.51.100.50
ha effettuato una query per malicioussite.com
, rivelando la tua azienda a loro.
Ping invia un pacchetto ICMP da 203.0.113.224
a malicioussite.com
, quindi l'IP sorgente potrebbe essere visualizzato da loro dovrebbero essere logging o monitoraggio dei pacchetti su questo protocollo. Ping usa ovviamente il DNS per cercare l'indirizzo IP, quindi anche i punti nel mio paragrafo precedente si applicano qui.
Realisticamente parlando c'è poco rischio per te quando i domini vengono interrogati continuamente e i server ricevono continuamente un ping. La privacy potrebbe essere una preoccupazione se si tratta di un nome di dominio a cui solo voi (o un sottogruppo di persone) sarebbero a conoscenza - ad es. il dominio mrji8g45vcxa5.malicioussite.example.com
non può in realtà essere accidentalmente controllato senza che tu sappia che esiste in qualche modo. Se sanno che solo tu lo sai, questo potrebbe diffondere la tua posizione.
Per garantire la privacy del tuo programma, se è effettivamente alla ricerca di tali domini privati, puoi assicurarti che usi un server DNS pubblico che non supporta la sottorete client EDNS per le sue ricerche forward e inverse. Potresti ospitare tu stesso un server di questo tipo se stai realizzando questo programma per i clienti e sei felice che i sistemi di destinazione sappiano che è il tuo programma a cercarli, ma non necessariamente quale client.