Какова цель 0.in-addr.arpa и 255.in-addr.arpa в конфигурации по умолчанию для bind?


10

У меня Ubuntu 16 LTS

Для чего нужны зоны 0.in-addr.arpa и 255.in-addr.arpa в конфигурации по умолчанию для bind? ( named.conf.default-zones)

Я спрашиваю здесь, потому что думаю, что эти файлы зон распространены в пакетах bind в различных дистрибутивах GNU / Linux, а не в конкретных Ubuntu.


1
Они распространены в пакетах BIND для каждой операционной системы, а не только для Linux.
Альнитак

Ответы:


1

Целью локальных зон по умолчанию в BIND является предотвращение утечки запросов для этих диапазонов IP-адресов в глобальный Интернет и снижение нагрузки на корневые серверы имен в соответствии с RFC 6303 «Локально обслуживаемые зоны DNS» .

От введения к этому RFC:

Эта рекомендация сделана потому, что данные показали, что происходит значительная утечка запросов для этих пространств имен, несмотря на инструкции по их ограничению, и потому что поэтому возникла необходимость развертывания жертвенных серверов имен для защиты непосредственных
родительских серверов имен для этих зон от чрезмерного, непреднамеренного запроса загрузить [AS112] [RFC6304] [RFC6305]. Можно ожидать, что нагрузка на запрос продолжит увеличиваться, если не будут предприняты шаги, описанные здесь.

Кроме того, запросы от клиентов за плохо настроенными межсетевыми экранами, которые разрешают исходящие запросы для этих пространств имен, но отбрасывают ответы, создают значительную нагрузку на корневые серверы (настроены прямые зоны, но не обратные зоны). Они также создают операционную нагрузку для операторов корневых серверов, поскольку им приходится отвечать на вопросы о том, почему корневые серверы «атакуют» этих клиентов.

Это следует считать окончательной ссылкой, не в последнюю очередь потому, что RFC был написан Марком Эндрюсом, одним из главных разработчиков, работающих над BIND.

См. Также Реестр локально обслуживаемых зон IANA , в котором содержится список всех (обратных) зон, которые должны обслуживаться следующим образом.

Начиная с выпуска BIND 9.9 в 2011 году, BIND9 автоматически создает локальные зоны по умолчанию во время запуска, если явно не отключено с empty-zones-enableфлагом в named.confфайле.

Реестр IANA отслеживается ISC, и новые записи добавляются в текущие источники BIND по мере их появления.


Итак, вы сказали то же самое, что и мой ответ, но по-другому, но мой ответ "устарел"?
Даррен

@Alnitak, так нужно ли включать эти зоны в BIND, чтобы он мог обрабатывать такие запросы без перенаправления на корневые серверы?
Булат М.

1
@BulatM. в современных версиях BIND в этом нет необходимости - они будут автоматически включаться при запуске, если только они не были отключены вашим дистрибутивом с empty-zones-enableнастройкой in named.conf. Список пустых зон должен появиться в выводе системного журнала при запуске BIND.
Альнитак

1
@BulatM. автоматическое создание локальных зон по умолчанию было введено в BIND 9.9, в 2011 году, кстати.
Альнитак

1
@BulatM. зависит от версии BIND - если это 9.9 или более поздняя версия, то в этом нет необходимости include.
Альнитак

15

Это отсюда (страница MS, но все еще актуально):

Зоны обратного просмотра позволяют DNS-серверу быть авторитетным, то есть заранее знать ответ и немедленно отвечать на наиболее распространенные запросы имен, устраняя ненужные рекурсивные запросы. В соответствии с соответствующими запросами на комментарии (RFC) по умолчанию DNS-сервер является полномочным для трех зон обратного просмотра:

0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Другими словами; DNS-сервер не будет запрашивать интернет-DNS-сервер для этих адресов (так как все они являются локальными адресами).


3
@BulatM .: Я не думаю, что кто-то сделал бы это намеренно, но такие адреса могут быть пойманы в более универсальном инструменте, или это может произойти случайно. Когда это произойдет, вы хотите правильные результаты. Так почему бы не реализовать это?
Гонки

3
@BulatM .: Я думаю, что вы смотрите на это задом наперед. Вы пытаетесь найти вариант использования. Вместо этого мы делаем все правильно в соответствии со спецификацией, тогда каждый возможный и немыслимый вариант использования по умолчанию покрывается.
Гонки

4
Но вполне разумно иметь, например, инструмент, который показывает вам все процессы прослушивания на вашем компьютере и порты, ip-адреса, с которыми они связаны, и соответствие имени хоста rDNS . Такой инструмент довольно часто пытается найти имя хоста для «127.0.0.1», «0.0.0.0» и т. Д. И это только первый пример, который я придумал.
Джозеф говорит восстановить Монику


2
@ Darren устарел, потому что список зон, рекомендованных IETF и поддерживаемых IANA, содержит около 30 записей, а не только три, упомянутые Microsoft. Эта конкретная тема уже изменилась совсем немного в последнее время , и ссылками я включил в моем ответе , являются окончательными ссылками. Я не могу отвечать за другие популярные средства распознавания, но BIND делает это по умолчанию для всего списка IANA.
Альнитак
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.