DNS-серверы Blackhole - это DNS- серверы, которые возвращают ответ «несуществующий адрес» при обратном поиске в DNS для адресов, зарезервированных для частного использования.
Задний план
Существует несколько диапазонов сетевых адресов, зарезервированных для использования в частных сетях в IPv4 : [1]
Зарезервированные диапазоны частных сетей IPv4 [1] Имя Блок CIDR Диапазон адресов Количество адресов Классное описание 24-битный блок 10.0.0.0/8 10.0.0.0 - 10.255.255.255 16 777 216 Одиночный класс А. 20-битный блок 172.16.0.0/12 172.16.0.0 - 172.31.255.255 1 048 576 Непрерывный диапазон из 16 блоков класса B. 16-битный блок 192.168.0.0/16 192.168.0.0 - 192.168.255.255 65 536 Непрерывный диапазон из 256 блоков класса C.
Несмотря на то, что трафик к этим адресам или с этих адресов никогда не должен появляться в общедоступном Интернете, такой трафик все равно появляется нередко.
Роль
Для решения этой проблемы IANA установила три специальных DNS-сервера, которые называются «серверами черной дыры». В настоящее время серверами черной дыры являются: [2]
- blackhole-1.iana.org ( 192.175.48.6 )
- blackhole-2.iana.org ( 192.175.48.42 )
- Prisoner.iana.org ( 192.175.48.1 )
Эти серверы зарегистрированы в каталоге DNS как полномочные серверы для зоны обратного просмотра адресов 10.0.0.0 / 8 , 172.16.0.0 / 12 и 192.168.0.0 / 16 . Эти серверы настроены для ответа на любой запрос с ответом «несуществующий адрес». Это помогает сократить время ожидания, потому что (отрицательный) ответ дается немедленно, и поэтому нет необходимости ждать тайм-аута. Кроме того, возвращаемый ответ также может кэшироваться рекурсивными DNS-серверами. Это особенно полезно, потому что второй поиск того же адреса, выполняемый тем же узлом, вероятно, будет отвечен из локального кеша вместо повторного запроса авторитетных серверов. Это помогает значительно снизить нагрузку на сеть. Согласно IANA, «серверы черной дыры обычно отвечают на тысячи запросов в секунду». [3] Поскольку нагрузка на серверы «черной дыры» IANA стала очень высокой, была создана альтернативная служба, AS112, в основном управляемая операторами-добровольцами.
AS112
Проект AS112 - это группа добровольных операторов серверов имен, объединенных в автономную систему . Они запускают любые экземпляры серверов имен, которые отвечают на обратные запросы DNS для частных сетей и адресов локальной связи, отправленных в общедоступный Интернет. Эти вопросы неоднозначны по своей природе, и на них невозможно ответить правильно. Отрицательные ответы снижают нагрузку на общедоступную инфраструктуру DNS.
История
До 2001 года зоны in-addr.arpa для частных сетей [1] были делегированы единственному экземпляру серверов имен, blackhole-1.iana.org и blackhole-2.iana.org, который назывался серверами blackhole. В IANA сервера -run находились под увеличением нагрузки от неправильно настроенной NAT сетей, вытеканием обратных DNS запросов, также вызывают излишнюю нагрузку на корневых серверах . Решение было принято небольшой группой операторов корневых серверов для выполнения обратного делегирования; каждый объявляет о сети, используя номер автономной системы 112. [4] Позже группа добровольцев расширилась, включив в нее многие другие организации.
Альтернативный подход, использующий перенаправление DNAME, был принят IETF в мае 2015 года. [5] [6]
Зоны с ответами
Каждый сервер имен, участвующий в проекте AS112 , настроен на авторитетный ответ для следующих зон:
- Для частных сетей 10.0.0.0 / 8 , 172.16.0.0 / 12 и 192.168.0.0 / 16 : [1]
- 10.in-addr.arpa
- 16.172.in-addr.arpa
- 17.172.in-addr.arpa
- 18.172.in-addr.arpa
- 19.172.in-addr.arpa
- 20.172.in-addr.arpa
- 21.172.in-addr.arpa
- 22.172.in-addr.arpa
- 23.172.in-addr.arpa
- 24.172.in-addr.arpa
- 25.172.in-addr.arpa
- 26.172.in-addr.arpa
- 27.172.in-addr.arpa
- 28.172.in-addr.arpa
- 29.172.in-addr.arpa
- 30.172.in-addr.arpa
- 31.172.in-addr.arpa
- 168.192.in-addr.arpa
- Для локальных адресов 169.254.0.0 / 16 : [7]
- 254.169.in-addr.arpa
- Для целей уникальной идентификации:
- hostname.as112.net
Рекомендации
- ^ а б в г Ю. Рехтер; Б. Московиц; Д. Карренберг; GJ de Groot; Э. Лир (февраль 1996 г.). Распределение адресов для частных сетей . Сетевая рабочая группа. DOI : 10,17487 / RFC1918 . BCP 5. RFC 1918 . Обновлено RFC 6761.
- ^ Дж. Абли; В. Матон (июль 2011 г.). PRISONER.IANA.ORG атакует меня! . IETF . DOI : 10,17487 / RFC6305 . ISSN 2070-1721 . RFC 6305 .
- ^ «Общие вопросы о злоупотреблениях» . IANA.
- ^ Т. Харди (апрель 2002 г.). Распространение полномочных серверов имен через общие одноадресные адреса . Сетевая рабочая группа IETF . DOI : 10,17487 / RFC3258 . RFC 3258 .
- ^ Дж. Абли; В. Сотомайор (май 2015 г.). AS112 Операции с сервером имен . IETF . DOI : 10,17487 / RFC7534 . RFC 7534 . Устарел RFC 6304.
- ^ Дж. Абли; Б. Диксон; В. Кумари; Г. Майклсон (май 2015 г.). Перенаправление AS112 с использованием DNAME . IETF . DOI : 10,17487 / RFC7535 . RFC 7535 .
- ^ С. Чешир; Б. Абоба; Э. Гуттман (май 2005 г.). Динамическая конфигурация локальных адресов IPv4 . Сетевая рабочая группа IETF . DOI : 10,17487 / RFC3927 . RFC 3927 .
Внешние ссылки
- Часто задаваемые вопросы о нарушениях IANA, в котором содержится информация о серверах Blackhole.
- Веб-страница AS112
- Встреча RSSAC в Атланте, 2002 г. [ постоянная мертвая ссылка ] Примечания с описанием Сетевые запросы RFC 1918 влияют на корневые серверы.
- Список рассылки для операторов AS112.