Apa tujuan 0.in-addr.arpa dan 255.in-addr.arpa dalam konfigurasi default bind?

Saya punya Ubuntu 16 LTS

Apa tujuan zona 0.in-addr.arpa dan 255.in-addr.arpa dalam konfigurasi default bind? ( named.conf.default-zones)

Saya bertanya di sini karena berpikir bahwa file zona ini adalah umum di seluruh paket bind pada berbagai distribusi GNU / Linux, bukan yang spesifik Ubuntu.

— Bulat M.
sumber

Mereka umum pada paket BIND untuk setiap sistem operasi, bukan hanya Linux.

— Alnitak

Jawaban:

Tujuan dari zona lokal default di BIND adalah untuk menghentikan permintaan agar rentang IP tersebut tidak bocor ke internet global, dan untuk mengurangi beban pada server nama root, per RFC 6303 "Zona DNS Dilayani Lokal" .

Dari pengantar RFC itu:

Rekomendasi ini dibuat karena data telah menunjukkan bahwa kebocoran signifikan dari permintaan untuk ruang nama ini terjadi, meskipun ada instruksi untuk membatasi mereka, dan karena itu menjadi perlu untuk menggunakan server nama pengorbanan untuk melindungi
server nama induk langsung untuk zona ini dari permintaan yang berlebihan dan tidak disengaja memuat [AS112] [RFC6304] [RFC6305]. Ada setiap harapan bahwa beban kueri akan terus meningkat kecuali langkah-langkah yang diambil dijelaskan di sini.

Selain itu, permintaan dari klien di balik firewall yang tidak dikonfigurasi dengan benar yang memungkinkan permintaan keluar untuk ruang nama ini, tetapi menjatuhkan respons, menempatkan beban yang signifikan pada server root (zona maju tetapi tidak zona reverse dikonfigurasi). Mereka juga menyebabkan beban operasional untuk operator server root, karena mereka harus menjawab pertanyaan tentang mengapa server root "menyerang" klien ini.

Ini harus dianggap referensi definitif, paling tidak karena RFC ditulis oleh Mark Andrews, salah satu pengembang utama yang bekerja di BIND.

Lihat juga Registry IANA dari Zona Dilayani Lokal , yang berisi daftar semua zona (mundur) yang harus dilayani seperti ini.

Sejak rilis BIND 9.9 pada tahun 2011, BIND9 secara otomatis membuat zona lokal default pada saat startup, kecuali jika secara eksplisit dimatikan dengan empty-zones-enablebendera dalam named.conffile.

Registri IANA dilacak oleh ISC dan entri baru ditambahkan ke sumber BIND saat ini ketika dan ketika mereka muncul.

— Alnitak
sumber

Jadi Anda sudah mengatakan hal yang sama dengan jawaban saya tetapi dengan cara yang berbeda, tetapi jawaban saya "ketinggalan zaman"?

— Darren

@Alnitak, jadi orang harus memasukkan zona ini dalam BIND, sehingga ia dapat menangani pertanyaan seperti itu tanpa meneruskan ke root server?

— Bulat M.

@BulatM. dengan versi BIND modern itu tidak perlu - mereka akan diaktifkan secara otomatis saat start up, kecuali mereka telah dinonaktifkan oleh paket distro Anda dengan empty-zones-enablepengaturan di named.conf. Daftar zona kosong akan muncul di output syslog Anda ketika BIND dimulai.

— Alnitak

@BulatM. penciptaan otomatis zona lokal default diperkenalkan di BIND 9.9, pada 2011, BTW.

— Alnitak

@BulatM. tergantung pada versi BIND - jika versi 9.9 atau lebih baru tidak diperlukan include.

— Alnitak

Ini dari sini (halaman MS, tetapi masih relevan):

Membalikkan zona pencarian memungkinkan server DNS menjadi berwibawa, yaitu untuk mengetahui jawabannya di muka dan untuk segera menanggapi permintaan nama yang paling umum, menghilangkan permintaan rekursif yang tidak perlu. Sesuai dengan Requests for Comments (RFCs) terkait, secara default, server DNS adalah otoritatif untuk tiga zona pencarian terbalik:
0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Dengan kata lain; server DNS tidak akan meminta server DNS berbasis Internet untuk alamat-alamat itu (karena semuanya adalah alamat lokal).

— Darren
sumber

@BulatM .: Saya tidak berpikir ada orang yang akan melakukannya dengan sengaja, tetapi alamat tersebut dapat ditangkap dalam alat yang lebih umum, atau itu bisa terjadi secara tidak sengaja. Ketika itu terjadi, Anda menginginkan hasil yang benar. Jadi mengapa tidak menerapkan ini?

— Lightness Races in Orbit

@BulatM .: Saya pikir Anda melihat ke belakang. Anda sedang mencoba menemukan use case. Sebagai gantinya, kami melakukan hal-hal dengan benar sesuai spesifikasi, maka setiap use case yang mungkin dan tidak dapat dipahami dicakup secara default.

— Lightness Races dalam Orbit

Tapi itu sangat masuk akal untuk memiliki misalnya alat yang menunjukkan kepada Anda semua proses mendengarkan pada PC Anda dan port, alamat ip yang terikat dan cocok dengan nama host rDNS . Alat semacam itu akan cukup sering mencoba untuk menemukan nama host untuk "127.0.0.1", "0.0.0.0" dll. Dan ini hanya contoh pertama yang saya buat.

— Josef berkata Reinstate Monica

"Cukup sering" sedikit meremehkan. Hingga 7% dari total lalu lintas yang tiba di beberapa server root terdiri dari permintaan balik untuk alamat IP pribadi, dan infrastruktur perutean lengkap (AS112) telah dibangun hanya untuk menangani masalah ini

— Calimo

@ Darren sudah ketinggalan zaman karena daftar zona yang direkomendasikan oleh IETF dan dikelola oleh IANA berisi sekitar 30 entri, bukan hanya 3 yang disebutkan oleh Microsoft. Topik khusus ini telah berubah sedikit belakangan ini, dan tautan yang saya sertakan dalam jawaban saya adalah referensi definitif. Saya tidak bisa menjawab untuk resolver populer lainnya, tetapi BIND melakukan ini secara default untuk seluruh daftar IANA.

— Alnitak