Câu trả lời kiểu truy vấn không khớp với công cụ dns Dig

Khi tôi thực hiện truy vấn tên miền dns với "loại tên miền dig @server"

[root@centos ~]# dig @8.8.8.8 www.google.com aaaa

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> @8.8.8.8 www.google.com aaaa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10074
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.            IN  AAAA

;; ANSWER SECTION:
www.google.com.     249 IN  A   69.63.184.14

;; Query time: 4 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Sep 28 18:44:16 CST 2018
;; MSG SIZE  rcvd: 48

Có vấn đề gì với điều đó? Tôi đã cố gắng kiểm tra lưu lượng mạng, đó là:

Tcpdump các gói xử lý đào

dns dig

— BOND
nguồn

4ms là cách nhanh. Nó rất khó đến từ Google. Ngay cả máy chủ chuyên dụng của tôi mất 14ms để nhận được phản hồi từ ngày 8.8.8.8.

— Daniel B

@DanielB: Vâng, cái này chắc chắn là giả - nhưng nói chung, nó phụ thuộc vào vị trí của nó và khả năng kết nối của máy chủ tốt như thế nào (Google cung cấp các giao dịch trực tiếp). 51666 là hoàn toàn bình thường trên VPS giá rẻ của tôi, với thời gian ping là 1 trận2, đơn giản vì nó rất gần với AMS-IX.

— grawity

69.63.184.14 Nhân tiện, thuộc về Facebook.

— Daniel B

Có, nó quá nhanh so với ping mạng bình thường. đó là ngộ độc dns, không liên quan gì đến "chó". Cảm ơn tất cả.

— BOND

Mỗi truy vấn DNS tạo ra chính xác một câu trả lời. Nếu bạn nhận được ba, điều đó có nghĩa là hai người kia không đến từ máy chủ thực sự 8.8.8.8 - họ đến từ nơi khác, tức là có một thiết bị độc hại trên đường đến internet của bạn. (Các gói này có hiển thị các TTL khác nhau trong các tiêu đề IP của chúng không?)

Liên hệ với ISP / quản trị viên mạng của bạn.

— grawity
nguồn

Cảm ơn bạn, bạn đã đúng, các TTL trong các tiêu đề IP thì khác, các gói trong câu trả lời của bản ghi A là 51, thứ ba trong câu trả lời của bản ghi AAAA là 104, phải có một thiết bị độc hại trong đường dẫn.

— BOND