Jaki jest cel 0.in-addr.arpa i 255.in-addr.arpa w domyślnej konfiguracji binda?

10

Mam Ubuntu 16 LTS

Jaki jest cel stref 0.in-addr.arpa i 255.in-addr.arpa w domyślnej konfiguracji binda ( named.conf.default-zones)

Pytam tutaj, ponieważ uważam, że te pliki stref są wspólne dla pakietów Binda w różnych dystrybucjach GNU / Linux, a nie w Ubuntu.

linux networking dns bind Bulat M.
źródło
1
Są one powszechne w pakietach BIND dla każdego systemu operacyjnego, nie tylko Linux.
Alnitak

Odpowiedzi:

1

Domyślne strefy lokalne w BIND mają na celu powstrzymanie wyciekania zapytań dla tych zakresów adresów IP do globalnego Internetu i zmniejszenie obciążenia głównych serwerów nazw, zgodnie z RFC 6303 „Lokalnie obsługiwane strefy DNS” .

Od wprowadzenia do tego RFC:

To zalecenie zostało wydane, ponieważ dane pokazały, że występuje znaczny wyciek zapytań dla tych przestrzeni nazw, pomimo instrukcji ich ograniczenia, a także dlatego, że konieczne stało się wdrożenie ofiarnych serwerów nazw w celu ochrony bezpośrednich
nadrzędnych serwerów nazw dla tych stref przed nadmierną, niezamierzoną kwerendą load [AS112] [RFC6304] [RFC6305]. Oczekuje się, że obciążenie zapytaniami będzie nadal rosło, o ile nie zostaną podjęte kroki opisane poniżej.

Ponadto zapytania od klientów za źle skonfigurowane zapory ogniowe, które zezwalają na zapytania wychodzące dla tych przestrzeni nazw, ale odrzucają odpowiedzi, znacznie obciążają serwery główne (skonfigurowane są strefy przekazywania, ale nie strefy zwrotne). Powodują także obciążenie operacyjne dla operatorów serwerów głównych, ponieważ muszą odpowiedzieć na pytania dotyczące tego, dlaczego serwery główne „atakują” tych klientów.

Należy to uznać za ostateczne odniesienie, zwłaszcza dlatego, że RFC został napisany przez Marka Andrewsa, jednego z głównych programistów pracujących nad BIND.

Zobacz także rejestr IANA stref obsługiwanych lokalnie , który zawiera listę wszystkich (odwróconych) stref, które powinny być obsługiwane w ten sposób.

Od czasu wydania BIND 9.9 w 2011 r. BIND9 automatycznie tworzy domyślne strefy lokalne podczas uruchamiania, chyba że zostanie wyraźnie wyłączone z empty-zones-enableflagą w named.confpliku.

Rejestr IANA jest śledzony przez ISC, a nowe wpisy są dodawane do bieżących źródeł BIND w momencie ich pojawienia się.

Alnitak
źródło
Więc powiedziałeś to samo co moja odpowiedź, ale w inny sposób, ale moja odpowiedź jest „nieaktualna”?
Darren
@Alnitak, więc należy uwzględnić te strefy w BIND, aby mógł obsługiwać takie zapytania bez przekazywania do serwerów głównych?
Bulat M.
1
@BulatM. z nowoczesnymi wersjami BIND nie powinno to być konieczne - zostaną one włączone automatycznie przy uruchomieniu, chyba że zostały wyłączone przez twój pakiet dystrybucyjny z empty-zones-enableustawieniem w named.conf. Lista pustych stref powinna pojawić się na wyjściu syslog po uruchomieniu BIND.
Alnitak
1
@BulatM. automatyczne tworzenie domyślnych stref lokalnych wprowadzono w wersji BIND 9.9, w 2011 r. BTW.
Alnitak
1
@BulatM. zależy od wersji BIND - jeśli jest to wersja 9.9 lub nowsza, nie ma takiej potrzeby include.
Alnitak
15

To stąd (strona MS, ale nadal aktualna):

Strefy wyszukiwania wstecznego umożliwiają serwerowi DNS autorytatywność, to znaczy znajomość odpowiedzi z wyprzedzeniem i natychmiastową odpowiedź na najpopularniejsze zapytania o nazwy, co eliminuje zbędne zapytania rekurencyjne. Zgodnie z odpowiednimi żądaniami komentarzy (RFC) domyślnie serwer DNS jest autorytatywny dla trzech stref wyszukiwania wstecznego:

0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Innymi słowy; serwer DNS nie będzie wysyłać zapytań do internetowego serwera DNS o te adresy (ponieważ wszystkie są adresami lokalnymi).

Darren
źródło
3
@BulatM .: Nie sądzę, by ktokolwiek zrobiłby to celowo, ale takie adresy mogą zostać przechwycone w bardziej ogólnym narzędziu, lub może się zdarzyć przez przypadek. Kiedy tak się dzieje, chcesz uzyskać prawidłowe wyniki. Dlaczego więc tego nie wdrożyć?
Wyścigi lekkości na orbicie
3
@BulatM .: Myślę, że patrzysz na to wstecz. Próbujesz znaleźć przypadek użycia. Zamiast tego robimy wszystko poprawnie zgodnie ze specyfikacją, wówczas domyślnie jest uwzględniany każdy możliwy i niepojęty przypadek użycia.
Wyścigi lekkości na orbicie
4
Ale całkowicie uzasadnione jest posiadanie na przykład narzędzia, które pokazuje wszystkie procesy nasłuchiwania na komputerze i portach, adresy IP, z którymi są powiązane, i pasujące do nazwy hosta rDNS . Takie narzędzie dość często próbuje znaleźć nazwę hosta dla „127.0.0.1”, „0.0.0.0” itd. A to tylko pierwszy przykład, jaki wymyśliłem.
Josef mówi Przywróć Monikę
8
„dość często” to trochę mało powiedziane. Do 7% całkowitego ruchu przychodzącego na niektóre serwery root składa się z zapytań zwrotnych dla prywatnych adresów IP, a cała infrastruktura routingu (AS112) została zbudowana tylko w celu rozwiązania tego problemu
Calimo,
2
@Darren jest nieaktualny, ponieważ lista stref zalecanych przez IETF i utrzymywanych przez IANA zawiera około 30 wpisów, a nie tylko 3 wymienione przez Microsoft. Ten szczególny wątek został zmieniony ostatnio całkiem sporo, a linki podaję w mojej odpowiedzi są ostateczne odniesienia. Nie mogę odpowiedzieć na inne popularne resolwery, ale BIND robi to domyślnie dla całej listy IANA.
Alnitak