¿Por qué las consultas con estado "rechazado" obtienen respuestas?

Me pregunto por qué sería eso. Es aún más extraño si simplemente "cava + acorta" el registro: obtiene la respuesta, pero los clientes no pueden hacer uso de eso. He echado un vistazo rápido al RFC, pero no pude encontrar la razón de este comportamiento.

Ejemplo:

... opcode: QUERY, status: REFUSED ...

;; QUESTION SECTION:
blah.blah IN A

;; ANSWER SECTION:
blah.blah 19343 IN A 1.1.1.1

dig +short blah.blah just plainly returns 1.1.1.1

dns

— iangelov
fuente

Creo que eso es definitivamente extraño. ¿Podría ser un servidor DNS roto o un firewall DNS reescribiendo códigos de estado? Proporcione más información sobre el software del servidor DNS y la ruta de red entre el cliente DNS y el servidor DNS. Si es posible, realice esta consulta directamente en el servidor DNS con dig @127.0.0.1(o cualquier dirección IP que esté escuchando).

— Celada

registros de pegamento, tal vez ??

— Jeff Schaller

Sí, estos registros no provienen de un servidor autorizado; provienen de un proxy DNS local que configuré localmente para no resolver ciertos nombres de dominio (aunque esperaba que estas consultas fueran rechazadas sin resolver realmente el registro). Sin embargo, me pregunto cómo lidia la lib de DNS del lado del cliente con esta rareza.

— iangelov

El significado del REFUSEDestado es, de acuerdo con RFC 1035:

The name server refuses to perform the specified operation for policy reasons.

Por lo tanto, usar ese código de estado y devolver una respuesta a la consulta no tiene sentido. La forma en que un software de cliente particular reaccionará a esta respuesta sin sentido no está definida en los RFC, y es muy probable que varíe de una implementación a otra.

— Calle Dybedahl
fuente