Unterschied PING und NSLOOKUP in Verbindung mit Wildcard DNS Record

The estimated reading time 3 minutes

Unterschied PING und NSLOOKUP in Verbindung mit Wildcard DNS Record

Hallo zusammen,

heute habe ich mit einer interessanten Thematik beschäftigt. Allgemein hatten wir beim Kunden kein Problem mit DNS Auflösung, allerdings wurde per Zufall festgestellt, dass NSLOOKUP ein anderes Auflösungsergebnis bot, als ein normaler PING. Websites intern und extern waren ebenfalls erreichbar, ohne weitere Probleme.

Es stellte sich heraus, dass nur NSLOOKUP dieses merkwürdige verhalten zeigte.

Woher kommt nun das „merkwürdige“ Verhalten. Ich habe mir nun zunächst die Domäne mit DNS Server angesehen, konnte aber keine Auffälligkeiten feststellen.

Domäne: intern.kunde.de

Ansonsten keine weiteren Zonen etc. angelegt.

Im Internet ist der Kunde ebenfalls unter kunde.de erreichbar, somit alles nach Vorgabe von Microsoft eingerichtet.

Nach einigem Suchen habe ich festgestellt, dass auf der Domäne des Kunden im Internet ein Wildcard DNS Record vorhanden ist (siehe hierzu Link)

Somit wird jegliche Subdomain die hinter die Domain „Kunde.de“ gestellt wird auf die Website umgeleitet. *.kunde.de -> IPdesWebservers

Also habe ich mich auf die Suche begeben und auch schnell festgestellt, dass NSLOOKUP ein ganz anderes Verhalten an den Tag legt, als ein PING oder andere DNS Auflösungen.

Was passiert also bei NSLOOKUP?

Testdomäne: demo01.it-koehler.com

NSLOOKUP ist primär nicht für das Auflösung von FQDNs geeignet. Sprich NSLOOKUP hängt an jeden Ausdruck den primären DNS Suffix an (auch da wo es nicht gewollt ist)

Werden die NSLOOKUP Anfragen gesnifft, sieht das in meiner Domäne folgendermaßen aus:

nslookup www.it-koehler.com

In der CMD sieht es so aus, als würde der Rechner direkt meine Domäne auflösen, in Wirklichkeit hat er aber erst www.it-koehler.com.it-koehler.com aufgelöst, was bei mir nicht existiert.

Nun sollte auch das Problem des Wildcard DNS Records klar sein. Wenn meine interne Domäne gleich der Domäne mit Wildcard ist, versucht mein Rechner immer ….de.kunde.de aufzulösen.

Sprich *.kunde.de gibt immer eine Antwort zurück!

Bei einem PING ist dies nicht der Fall, dieser erkennt die TLD und fängt direkt an richtig aufzulösen.

ping blog.it-koehler.com

Umgangen kann das NSLOOKUP Problem folgendermaßen:

nslookup blog.it-koehler.com.

Man kann dem Rechner mit einem Punkt am Ende sagen, ab wann er auflösen soll. Diese Möglichkeit umgeht dann auch den Wildcard DNS Record (vorausgesetzt es gibt die Subdomain).

Als DNS Sniffer habe ich DNSQuerySniffer verwendet

Hoffe ich konnte etwas Licht ins Dunkel von NSLOOKUP bringen.