Сервер Blackhole

Серверы Blackhole DNS — это серверы системы доменных имен (DNS), которые возвращают ответ «несуществующий адрес» при обратном поиске DNS для адресов, зарезервированных для частного использования.

Фон

Существует несколько диапазонов сетевых адресов, зарезервированных для использования в частных сетях в IPv4 : [1]

Зарезервированные диапазоны частных сетей IPv4 [2]
Имяблок CIDRДиапазон адресовКоличество
адресов		Классное описание
24-битный блок10.0.0.0/810.0.0.0 – 10.255.255.25516 777 216Одиночный класс А
20-битный блок172.16.0.0/12172.16.0.0 – 172.31.255.2551 048 576Непрерывный ряд из 16 блоков класса B
16-битный блок192.168.0.0/16192.168.0.0 – 192.168.255.25565 536Непрерывный ряд из 256 блоков класса C

Обратные DNS-запросы используются для сопоставления IP-адресов с доменными именами. Это PTR-запросы для поддоменов in-addr.arpa (для адресов IPv4) [3] и ip6.arpa (для адресов IPv6). [4] Например, чтобы найти доменное имя, связанное с IP-адресом 203.0.113.22, нужно отправить PTR-запрос для 22.133.0.203.in-addr.arpa .

Неправильно настроенные хосты [5] часто отправляют обратные DNS-запросы на частные адреса в публичный DNS. Публичный DNS не может осмысленно отвечать на эти запросы, поскольку эти адреса зарезервированы для частных сетей и не могут соответствовать одному публичному доменному имени. Без каких-либо мер по смягчению эти запросы будут создавать ненужную нагрузку на серверы имен in-addr.arpa и ip6.arpa . [6]

Роль

Чтобы справиться с этой проблемой, Internet Assigned Numbers Authority (IANA) создал три специальных DNS-сервера, называемых «серверами blackhole». В настоящее время серверами blackhole являются: [7]

  • blackhole-1.iana.org ( 192.175.48.6 )
  • blackhole-2.iana.org ( 192.175.48.42 )
  • Prisoner.iana.org ( 192.175.48.1 )

Эти серверы зарегистрированы в каталоге DNS как авторитетные серверы для зоны обратного просмотра адресов 10.0.0.0 / 8 , 172.16.0.0 / 12 и 192.168.0.0 / 16. Эти серверы настроены на ответ на любой запрос с ответом «несуществующий адрес». Это помогает сократить время ожидания, поскольку (отрицательный) ответ дается немедленно, и, таким образом, нет необходимости ждать тайм-аута. Кроме того, возвращенный ответ также может кэшироваться рекурсивными серверами DNS. Это особенно полезно, поскольку второй поиск того же адреса, выполняемый тем же узлом, вероятно, будет дан из локального кэша вместо повторного запроса авторитетных серверов. Это помогает значительно снизить нагрузку на сеть. По данным IANA, «серверы blackhole обычно отвечают на тысячи запросов в секунду». [8] Поскольку нагрузка на серверы blackhole IANA стала очень высокой, была создана альтернативная служба AS112, в основном управляемая операторами-добровольцами.

АС112

Проект AS112 представляет собой группу добровольных операторов серверов имен, объединенных в автономную систему . Они запускают anycasted -экземпляры серверов имен, которые отвечают на обратные DNS-запросы для частных сетевых и локальных адресов, отправляемых в публичный Интернет. Эти запросы неоднозначны по своей природе и на них нельзя ответить правильно. Предоставление отрицательных ответов снижает нагрузку на публичную инфраструктуру DNS.

История

До 2001 года зоны in-addr.arpa для частных сетей [1] были делегированы одному экземпляру серверов имен, blackhole-1.iana.org и blackhole-2.iana.org, называемых серверами blackhole. Серверы IANA подвергались возрастающей нагрузке из-за неправильно настроенных сетей NAT, утечки обратных DNS- запросов, также вызывая ненужную нагрузку на корневые серверы . Решение было принято небольшой подгруппой операторов корневых серверов для запуска обратного делегирования; каждый из них объявлял сеть, используя номер автономной системы 112. [9] Позже группа добровольцев выросла и включила в себя многие другие организации.

Альтернативный подход с использованием перенаправления DNAME был принят IETF в мае 2015 года. [6] [10] Администраторы зоны DNS могут перенаправлять запросы на AS112, настроив перенаправление DNAME на empty.as112.arpa. [10]

Зоны ответов

Каждый из серверов имен, участвующих в проекте AS112, настроен на авторитетную поддержку следующих зон:

  • Для частных сетей 10.0.0.0 / 8 , 172.16.0.0 / 12 и 192.168.0.0 / 16 : [1]
    • 10.in-addr.arpa
    • 16.172.in-addr.arpa
    • 17.172.in-addr.arpa
    • 18.172.in-addr.arpa
    • 19.172.in-addr.arpa
    • 20.172.in-addr.arpa
    • 21.172.in-addr.arpa
    • 22.172.in-addr.arpa
    • 23.172.in-addr.arpa
    • 24.172.in-addr.arpa
    • 25.172.in-addr.arpa
    • 26.172.in-addr.arpa
    • 27.172.in-addr.arpa
    • 28.172.in-addr.arpa
    • 29.172.in-addr.arpa
    • 30.172.in-addr.arpa
    • 31.172.in-addr.arpa
    • 168.192.in-addr.arpa
  • Для локальных адресов 169.254.0.0 / 16 : [11]
    • 254.169.in-addr.arpa
  • Для некоторых доменных имен специального назначения: [12]
    • дом.arpa
  • Для целей уникальной идентификации: [6]
    • имя_хоста.as112.net
    • имя_хоста.as112.arpa

Ссылки

  1. ^ abc Y. Rekhter; B. Moskowitz; D. Karrenberg; GJ de Groot; E. Lear (февраль 1996 г.). Распределение адресов для частных сетей Интернета. Сетевая рабочая группа. doi : 10.17487/RFC1918 . BCP 5. RFC 1918.Обновлено RFC 6761.
  2. ^ Y. Rekhter ; B. Moskowitz; D. Karrenberg; GJ de Groot; E. Lear (февраль 1996 г.). Распределение адресов для частных сетей Интернета. Сетевая рабочая группа. doi : 10.17487/RFC1918 . BCP 5. RFC 1918. Лучшая текущая практика 5. Отменяет RFC 1627 и 1597. Обновлено RFC 6761.
  3. ^ Доменные имена - реализация и спецификация (Отчет). Internet Engineering Task Force. Ноябрь 1987 г.
  4. ^ Уитема, Кристиан; Кроуфорд, Мэтт (июль 2000 г.). Расширения DNS для поддержки агрегации и перенумерации адресов IPv6 (отчет). Internet Engineering Task Force.
  5. ^ Бройдо, Андре; Хён, Янг; Фоменков, Марина; Клаффи, К.К. (2006-07-05). «Окна обновлений частных DNS». SIGCOMM Comput. Commun. Rev. 36 ( 3): 93– 98. doi :10.1145/1140086.1140098. ISSN  0146-4833.
  6. ^ abc J. Abley; W. Sotomayor (май 2015 г.). AS112 Nameserver Operations. IETF . doi : 10.17487/RFC7534 . RFC 7534.Отменяет действие RFC 6304.
  7. ^ J. Abley; W. Maton (июль 2011 г.). Меня атакует PRISONER.IANA.ORG!. IETF . doi : 10.17487/RFC6305 . ISSN  2070-1721. RFC 6305.
  8. ^ «Часто задаваемые вопросы, касающиеся проблем злоупотреблений». IANA.
  9. ^ T. Hardie (апрель 2002 г.). Распределение авторитетных серверов имен через общие одноадресные адреса. Сетевая рабочая группа IETF . doi : 10.17487/RFC3258 . RFC 3258.
  10. ^ ab J. Abley; B. Dickson; W. Kumari; G. Michaelson (май 2015 г.). Перенаправление AS112 с использованием DNAME. IETF . doi : 10.17487/RFC7535 . RFC 7535.
  11. ^ S. Cheshire; B. Aboba; E. Guttman (май 2005 г.). Динамическая конфигурация локальных адресов IPv4. Сетевая рабочая группа IETF . doi : 10.17487/RFC3927 . RFC 3927.
  12. ^ Пфистер, Пьер; Лемон, Тед (май 2018 г.). Домен специального назначения «home.arpa.» (Отчет). Internet Engineering Task Force.
  • FAQ по злоупотреблениям IANA, содержащий информацию о серверах blackhole.
  • веб-страница AS112
  • Встреча RSSAC в Атланте в 2002 г. [ постоянная неработающая ссылка ‍ ] Примечания, описывающие влияние сетевых запросов RFC  1918 на корневые серверы.
  • Список рассылки для операторов AS112.
Взято с "https://en.wikipedia.org/w/index.php?title=Blackhole_server&oldid=1262013998#AS112"