Яка мета 0.in-addr.arpa та 255.in-addr.arpa у конфігурації bind за замовчуванням?

У мене є Ubuntu 16 LTS

Яка мета 0.in-addr.arpa та 255.in-addr.arpa у конфігурації за замовчуванням bind? ( named.conf.default-zones)

Я запитую тут, тому що думаю, що ці файли зон є загальними для пакунків bind у різних дистрибутивах GNU / Linux, а не для Ubuntu.

— Булат М.
джерело

Вони поширені для пакетів BIND для кожної операційної системи, а не лише для Linux.

— Альнітак

Відповіді:

Мета локальних зон за замовчуванням у BIND - зупинити запити для тих діапазонів IP від протікання у глобальному Інтернеті та зменшити навантаження на кореневі сервери імен за RFC 6303 "Зони DNS, що обслуговуються локально" .

Від вступу до цього RFC:

Ця рекомендація робиться тому, що дані показали, що відбувається значний витік запитів для цих просторів імен, незважаючи на вказівки щодо їх обмеження, і тому, що тому стало необхідним розгортати серверні імена серверів для захисту безпосередніх
серверів імен батьків для цих зон від надмірних, ненавмисних запитів. навантаження [AS112] [RFC6304] [RFC6305]. Є всі сподівання, що завантаження запитів буде продовжувати збільшуватися, якщо не буде вжито заходів, як зазначено тут.

Крім того, запити від клієнтів, що стоять за погано налаштованими брандмауерами, які дозволяють вихідні запити для цих просторів імен, але опускають відповіді, прикладають значне навантаження на кореневі сервери (налаштовані зони, але не зворотні зони налаштовані). Вони також спричиняють операційне навантаження для операторів кореневих серверів, оскільки їм доводиться відповідати на запити, чому кореневі сервери "атакують" цих клієнтів.

Це слід вважати остаточним посиланням, не в останню чергу тому, що RFC був написаний Марком Ендрюсом, одним з головних розробників, що працюють над BIND.

Дивіться також Реєстр локально обслуговуваних зон IANA , який містить перелік усіх (зворотних) зон, які повинні обслуговуватися таким чином.

З моменту виходу BIND 9.9 у 2011 році BIND9 автоматично створює локальні зони за замовчуванням під час запуску, якщо явно не вимкнено empty-zones-enableпрапор у named.confфайлі.

Реєстр IANA відслідковується ISC і нові записи додаються до поточних джерел BIND як і коли вони з'являються.

— Альнітак
джерело

Отже, ви сказали те саме, що і моя відповідь, але по-іншому, але моя відповідь "застаріла"?

— Даррен

@Alnitak, так що слід включати ці зони в BIND, щоб він міг обробляти такі запити, не пересилаючи на кореневі сервери?

— Булат М.

@BulatM. у сучасних версіях BIND це не повинно бути необхідним - вони будуть включені автоматично при запуску, якщо тільки їх не вимкнено вашим пакетом distro з empty-zones-enableналаштуванням в named.conf. Список пустих зон повинен з’являтися у вашому виведенні системного журналу при запуску BIND.

— Альнітак

@BulatM. автоматичне створення локальних зон за замовчуванням було впроваджено у BIND 9.9, у 2011 році, BTW.

— Альнітак

@BulatM. залежить від версії BIND - якщо вона 9,9 або пізнішої, то в цьому немає потреби include.

— Альнітак

Це звідси (сторінка MS, але все ще актуально):

Зони зворотного пошуку дозволяють серверу DNS бути авторитетним, тобто заздалегідь знати відповідь та негайно відповідати на найпоширеніші запити імен, виключаючи зайві рекурсивні запити. Відповідно до відповідних запитів на коментарі (RFC), за замовчуванням DNS-сервер є авторитетним для трьох зон зворотного пошуку:
0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Іншими словами; DNS-сервер не запитує Інтернет-сервер DNS для цих адрес (оскільки це всі локальні адреси).

— Даррен
джерело

@BulatM: Я не думаю, що хтось це зробив би навмисно, але такі адреси можуть потрапити в більш загальний інструмент, або це може статися випадково. Коли це станеться, ви хочете отримати правильні результати. То чому б не здійснити це?

— Гонки легкості на орбіті

@BulatM. Я думаю, ти дивишся на це назад. Ви намагаєтесь знайти випадок використання. Натомість ми робимо все правильно за специфікацією, тоді кожен можливий і немислимий випадок використання покривається за замовчуванням.

— Гонки легкості на орбіті

Але цілком доцільно мати, наприклад, інструмент, який показує всі процеси прослуховування на вашому ПК та портах, ip-адреси, до яких вони прив’язані, та відповідність імені хоста rDNS . Такий інструмент досить часто намагатиметься знайти ім'я хоста для "127.0.0.1", "0.0.0.0" тощо. І це лише перший приклад, який я придумав.

— Йозеф каже, що повернеться до Моніки

"досить часто" - це трохи заниження. До 7% від загального трафіку, що надходить на деякі кореневі сервери, складається із зворотних запитів щодо приватних IP-адрес, а для вирішення цієї проблеми була побудована повна інфраструктура маршрутизації (AS112)

— Calimo

@Darren це застаріло, оскільки список зон, рекомендований IETF та підтримуваний IANA, містить близько 30 записів, а не лише 3 згадані Microsoft. Ця конкретна тема нещодавно змінилася, і посилання, які я включив у свою відповідь, є остаточними посиланнями. Я не можу відповісти за інші популярні рішення, але BIND робить це за замовчуванням для всього списку IANA.

— Альнітак