Qual è lo scopo 0.in-addr.arpa e 255.in-addr.arpa nella configurazione predefinita di bind?

Ho Ubuntu 16 LTS

Qual è lo scopo delle zone 0.in-addr.arpa e 255.in-addr.arpa nella configurazione predefinita di bind? ( named.conf.default-zones)

Lo chiedo qui perché penso che questi file di zona siano comuni nei pacchetti di bind su varie distribuzioni GNU / Linux, non su Ubuntu specifici.

— Bulat M.
fonte

Sono comuni sui pacchetti BIND per ogni sistema operativo, non solo Linux.

— Alnitak,

Risposte:

Lo scopo delle zone locali predefinite in BIND è quello di impedire alle query relative a quegli intervalli IP di fuoriuscire su Internet globale e di ridurre il carico sui server dei nomi di root, secondo RFC 6303 "Zone DNS servite localmente" .

Dall'introduzione a quel RFC:

Questa raccomandazione è formulata perché i dati hanno dimostrato che si sta verificando una significativa fuoriuscita di query per questi spazi dei nomi, nonostante le istruzioni per limitarli, e perché è quindi diventato necessario distribuire i server dei nomi sacrificali per proteggere i
server dei nomi genitori immediati per queste zone da query eccessive e non intenzionali load [AS112] [RFC6304] [RFC6305]. C'è ogni aspettativa che il carico della query continui ad aumentare a meno che non vengano prese le misure descritte qui.

Inoltre, le query dei client dietro firewall configurati in modo errato che consentono query in uscita per questi spazi dei nomi, ma eliminano le risposte, comportano un carico significativo sui server root (sono configurate le zone di inoltro ma non quelle di inversione). Inoltre, causano un carico operativo per gli operatori del server radice, poiché devono rispondere alle domande sul perché i server radice stanno "attaccando" questi client.

Questo dovrebbe essere considerato il riferimento definitivo, anche perché la RFC è stata scritta da Mark Andrews, uno dei principali sviluppatori che lavorano su BIND.

Vedi anche il registro IANA delle zone servite localmente , che contiene l'elenco di tutte le zone (inverse) che dovrebbero essere servite in questo modo.

Dal rilascio di BIND 9.9 nel 2011, BIND9 crea automaticamente le zone locali predefinite al momento dell'avvio, a meno che non sia esplicitamente disattivato con il empty-zones-enableflag nel named.conffile.

Il registro IANA viene monitorato da ISC e nuove voci aggiunte alle origini BIND correnti come e quando vengono visualizzate.

— Alnitak
fonte

Quindi hai detto la stessa cosa della mia risposta, ma in modo diverso, ma la mia risposta è "obsoleta"?

— Darren,

@Alnitak, quindi si dovrebbero includere queste zone in BIND, in modo che possa gestire tali query senza inoltrare ai server root?

— Bulat M.

@BulatM. con le versioni moderne di BIND non dovrebbe essere necessario: verranno attivate automaticamente all'avvio, a meno che non siano state disabilitate dal pacchetto distro con l' empty-zones-enableimpostazione in named.conf. L'elenco delle zone vuote dovrebbe apparire nell'output del syslog all'avvio di BIND.

— Alnitak,

@BulatM. la creazione automatica di zone locali predefinite è stata introdotta in BIND 9.9, nel 2011, BTW.

— Alnitak,

@BulatM. dipende dalla versione di BIND: se è 9.9 o successive, non è necessario include.

— Alnitak,

Questa da qui (una pagina MS, ma ancora pertinente):

Le zone di ricerca inversa consentono al server DNS di essere autorevole, ovvero di conoscere la risposta in anticipo e di rispondere immediatamente alle query sui nomi più comuni, eliminando le query ricorsive non necessarie. In conformità con le pertinenti richieste di commenti (RFC), per impostazione predefinita, il server DNS è autorevole per tre zone di ricerca inversa:
0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

In altre parole; il server DNS non interrogherà un server DNS basato su Internet per quegli indirizzi (poiché sono tutti indirizzi locali).

— Darren
fonte

@BulatM .: Non credo che qualcuno lo farebbe deliberatamente, ma tali indirizzi potrebbero essere catturati in uno strumento più generico o potrebbe accadere per caso. Quando lo fa, vuoi i risultati corretti. Quindi perché non implementarlo?

— Razze di leggerezza in orbita

@BulatM .: Penso che tu stia guardando questo all'indietro. Stai cercando di trovare un caso d'uso. Invece, facciamo le cose correttamente per specifica, quindi ogni caso d'uso immaginabile e inconcepibile è coperto di default.

— Corse di leggerezza in orbita

Ma è perfettamente ragionevole avere ad esempio uno strumento che mostra tutti i processi di ascolto sul PC e le porte, gli indirizzi IP a cui sono associati e il nome host rDNS corrispondente . Un tale strumento cercherà abbastanza spesso di trovare il nome host per "127.0.0.1", "0.0.0.0" ecc. E questo è solo il primo esempio che ho trovato.

— Josef dice di reintegrare Monica il

"abbastanza spesso" è un eufemismo. Fino al 7% del traffico totale in arrivo su alcuni server root è costituito da query inverse per indirizzi IP privati ed è stata costruita un'infrastruttura di routing completa (AS112) solo per gestire questo problema

— Calimo

@Darren non è aggiornato perché l'elenco delle zone raccomandato da IETF e gestito da IANA contiene circa 30 voci, non solo le 3 menzionate da Microsoft. Questo particolare argomento è cambiato un po 'di recente, e i collegamenti che ho incluso nella mia risposta sono i riferimenti definitivi. Non posso rispondere per gli altri risolutori popolari, ma BIND lo fa per impostazione predefinita per l'intero elenco IANA.

— Alnitak,