首先，让我明确一点，这不是重复来自 DNS 服务器的故意错误信息是否违反了普遍接受的良好实践标准？线程，因为我对法律方面或DNS标准不感兴趣，也不对ISP最佳实践感兴趣。这不是我现在关心的问题，虽然提到的帖子在讨论相同的技术方面有些相关，但它并没有提供太多关于我想问你什么的见解。这让我想到了我的问题：

我想知道的是您对阻止 Web 服务器请求（从而将请求的内容传递）到那些正向 DNS 查找表不包含请求发起 IP 的客户端的意见。或者，换一种说法，即未通过前向确认的反向 DNS检查的客户端。

在我看来，有三种不同类别的客户端未能通过转发 DNS 检查：

• 不存在的 DNS PTR。这些客户端在进行正向 DNS 查找时将使用我的 Socks 库解析为0.0.0.0的 IP，并且将包括大多数通过 IPv4 代理隧道的 IPv6 客户端，其中任何中间 IPv4 PTR 将毫无意义，以及那些具有错误配置的 DNS 记录（有意或无意）。我的库能够区分彼此，我不希望阻止 IPv6 客户端通过 IPv4 代理发送请求。不过，我不太确定后者，并感谢您对它们的看法。

• 指向 AAA 记录的记录，反之亦然。这些客户端可能故意错误配置了 DNS 记录，出于安全原因、VPN 或代理设置，但解析到相同的 ASN。例如，IP 1.2.3.4的名称为crawler.someserver.xxx，但此名称通过正向 DNS 查找解析为名为 (r-DNS) someserver.xxx的 IP 1.2.3.5 ，并且两个 IP 都是相同的 ASN。虽然在每个请求中检查这么多 DNS 记录的成本有点高，但我能够缓存结果并通过本地和定期更新的数据库查询 IANA 注册的 ASN 范围。就我而言，这样的客户是可以接受的，但为了以防万一，他们会更频繁地调查他们的请求。

• 欺骗的 DNS 记录。这些客户是我最关心的问题，也是我提出问题的主要原因。它们将包括任何完全未能通过前向 DNS 检查的 IP 地址，并且显然具有欺骗性的 DNS 记录，其中 PTR 返回一个超出 ASN 范围的 IP，并且 r-DNS 查找甚至不会彼此远程相似（或者甚至不会有指定的名称，这也经常发生）。老实说，我对这些类型没有任何同情，并且想知道您是否认为有任何理由我应该在它们出现时重新考虑将它们屏蔽掉。

我目前正在运行其策略不包括任何此类客户端测试的服务，但到目前为止已手动对少数此类客户端强制执行某些块。FCrDNS由于其他违反我的 TOS 的行为，所有这些客户端（未通过测试）都被列入黑名单，而且我还没有看到任何未通过FCrDNS测试并欺骗其 DNS 记录的客户端合法使用我的服务。

例如，我正在执行的此类块之一是在解析为nlnd02.xsltel.com的 IP 93.174.93.52上。正向查找表仅包含不使用 r-DNS 解析的 IP 76.72.171.131 。这个93.174.93.52的 IP被列入我的探测黑名单，目前也被列入其他一些蜜罐（AHBL 和 UCEPROTECT），但它解析为使用测试的 IP 76.72.171.131没有在任何地方列出，除了一些蜜罐报告问题，因为他们应该。据我推测，该客户端故意掩盖记录以避免被某些蜜罐检测到。HTTP ProxyFCrDNSDNSDNS

我想我的问题是，屏蔽记录是否有任何合法用途DNS，或者我应该更新我的网络应用程序服务以自动阻止任何此类传入流量（就内容交付而言）并相应地更改 TOS。这种测试的技术实施不是问题，也没有任何其他法律问题，至少我不知道。但是，如果您能想到任何适用的方法，请不要犹豫提及它们。

这些 FCrDNS 检查将在 Web 应用程序级别实施。它们不应该是唯一的安全措施，因此请将它们视为较低级别检查的附录，主要是为了阻止内容抓取工具、论坛垃圾邮件发送者和类似的网络粪便死在他们的轨道上。

此外，如果您有任何 TOS 示例，其中可以正确描述此类过滤器及其背后的推理，那就更好了。

提前感谢您的所有贡献！