Servidor Blackhole - Blackhole server

Os servidores Blackhole DNS são servidores DNS que retornam uma resposta de "endereço inexistente" para reverter pesquisas DNS para endereços reservados para uso privado.

Fundo

Existem vários intervalos de endereços de rede reservados para uso em redes privadas em IPv4 :

Intervalos de rede IPv4 privada reservada

Nome	Bloco CIDR	Intervalo de endereços	Número de endereços	Descrição classful
Bloco de 24 bits	10.0.0.0/8	10.0.0.0 - 10.255.255.255	16 777 216	Única Classe A.
Bloco de 20 bits	172.16.0.0/12	172.16.0.0 - 172.31.255.255	1 048 576	Faixa contígua de 16 blocos de Classe B.
Bloco de 16 bits	192.168.0.0/16	192.168.0.0 - 192.168.255.255	65 536	Faixa contígua de 256 blocos de Classe C.

Mesmo que o tráfego de ou para esses endereços nunca deva aparecer na Internet pública, não é incomum que esse tráfego apareça de qualquer maneira.

Função

Para lidar com esse problema, a IANA configurou três servidores DNS especiais chamados "servidores de buraco negro". Atualmente, os servidores do buraco negro são:

• blackhole-1.iana.org ( 192.175.48.6 )
• blackhole-2.iana.org ( 192.175.48.42 )
• prisioner.iana.org ( 192.175.48.1 )

Esses servidores são registrados no diretório DNS como servidores autoritativos para a zona de pesquisa reversa dos endereços 10.0.0.0 / 8 , 172.16.0.0 / 12 e 192.168.0.0 / 16 . Esses servidores são configurados para responder a qualquer consulta com uma resposta de "endereço inexistente". Isso ajuda a reduzir os tempos de espera porque a resposta (negativa) é dada imediatamente e, portanto, não é necessário esperar o tempo limite. Além disso, a resposta retornada também pode ser armazenada em cache por servidores DNS recursivos. Isso é especialmente útil porque uma segunda pesquisa para o mesmo endereço executada pelo mesmo nó provavelmente seria respondida do cache local em vez de consultar os servidores autoritativos novamente. Isso ajuda a reduzir significativamente a carga da rede. De acordo com a IANA, "os servidores de buraco negro geralmente respondem a milhares de consultas por segundo". Como a carga nos servidores de buraco negro da IANA tornou-se muito alta, um serviço alternativo, AS112, foi criado, executado principalmente por operadores voluntários.

AS112

O projeto AS112 é um grupo de operadores voluntários de servidores de nomes unidos em um sistema autônomo . Eles executam instâncias anycasted dos servidores de nomes que respondem a pesquisas reversas de DNS para rede privada e endereços locais de link enviados para a Internet pública. Essas perguntas são ambíguas por natureza e não podem ser respondidas corretamente. Fornecer respostas negativas reduz a carga na infraestrutura DNS pública.

História

Antes de 2001, as zonas in-addr.arpa das redes privadas eram delegadas a uma única instância de servidores de nomes, blackhole-1.iana.org e blackhole-2.iana.org, chamados de servidores blackhole. Os servidores de execução da IANA estavam sob carga crescente de redes NAT configuradas incorretamente, vazando consultas de DNS reverso , também causando carga desnecessária nos servidores raiz . A decisão foi tomada por um pequeno subconjunto de operadores de servidor raiz para executar as delegações reversas; cada um anunciando a rede usando o número de sistema autônomo de 112. Mais tarde, o grupo de voluntários cresceu para incluir muitas outras organizações.

Uma abordagem alternativa, usando redirecionamento DNAME, foi adotada pela IETF em maio de 2015.

Zonas atendidas

Os servidores de nomes que participam do projeto AS112 são configurados para responder com autoridade nas seguintes zonas:

• Para as redes privadas 10.0.0.0 / 8 , 172.16.0.0 / 12 e 192.168.0.0 / 16 :
  • 10.in-addr.arpa
  • 16.172.in-addr.arpa
  • 17.172.in-addr.arpa
  • 18.172.in-addr.arpa
  • 19.172.in-addr.arpa
  • 20.172.in-addr.arpa
  • 21.172.in-addr.arpa
  • 22.172.in-addr.arpa
  • 23.172.in-addr.arpa
  • 24.172.in-addr.arpa
  • 25.172.in-addr.arpa
  • 26.172.in-addr.arpa
  • 27.172.in-addr.arpa
  • 28.172.in-addr.arpa
  • 29.172.in-addr.arpa
  • 30.172.in-addr.arpa
  • 31.172.in-addr.arpa
  • 168.192.in-addr.arpa
• Para os endereços locais de link 169.254.0.0 / 16 :
  • 254.169.in-addr.arpa
• Para fins de identificação única:
  • hostname.as112.net

Referências

links externos

• As perguntas frequentes sobre abuso da IANA, que contêm informações sobre os servidores do buraco negro.
• Página da web AS112
• RSSAC Meeting Atlanta 2002 Notas que descrevem o impacto das consultas de rede RFC  1918 nos servidores raiz.
• Lista de mala direta para operadores AS112.