Was ist der Zweck 0.in-addr.arpa und 255.in-addr.arpa in der Standardkonfiguration von bind?

Ich habe Ubuntu 16 LTS

Was ist der Zweck der Zonen 0.in-addr.arpa und 255.in-addr.arpa in der Standardkonfiguration von bind? ( named.conf.default-zones)

Ich frage hier, weil ich denke, dass diese Zonendateien in den Paketen von bind auf verschiedenen GNU / Linux-Distributionen gleich sind, nicht auf Ubuntu-spezifischen.

— Bulat M.
quelle

Sie sind in BIND-Paketen für jedes Betriebssystem üblich, nicht nur für Linux.

— Alnitak

Antworten:

Der Zweck der lokalen Standardzonen in BIND besteht darin, zu verhindern, dass Abfragen für diese IP-Bereiche in das globale Internet gelangen, und die Belastung der Root-Nameserver gemäß RFC 6303 "Lokal bediente DNS-Zonen" zu verringern .

Von der Einführung zu diesem RFC:

Diese Empfehlung wird abgegeben, weil Daten gezeigt haben, dass trotz Anweisungen zu deren Einschränkung ein erheblicher Verlust von Abfragen für diese Namespaces auftritt, und weil es daher notwendig geworden ist, Opfernamenserver einzusetzen, um die unmittelbaren
übergeordneten Nameserver für diese Zonen vor übermäßiger, unbeabsichtigter Abfrage zu schützen Laden Sie [AS112] [RFC6304] [RFC6305]. Es besteht die Erwartung, dass die Abfragelast weiter zunimmt, sofern nicht die hier beschriebenen Schritte ausgeführt werden.

Darüber hinaus stellen Abfragen von Clients hinter schlecht konfigurierten Firewalls, die ausgehende Abfragen für diese Namespaces zulassen, aber die Antworten löschen, eine erhebliche Belastung für die Stammserver dar (Vorwärtszonen, aber keine Rückwärtszonen sind konfiguriert). Sie verursachen auch eine Betriebslast für die Root-Server-Betreiber, da sie auf Anfragen antworten müssen, warum die Root-Server diese Clients "angreifen".

Dies sollte als endgültige Referenz angesehen werden, nicht zuletzt, weil der RFC von Mark Andrews geschrieben wurde, einem der Hauptentwickler, die an BIND arbeiten.

Siehe auch die IANA-Registrierung für lokal bediente Zonen , die die Liste aller (umgekehrten) Zonen enthält, die wie folgt bedient werden sollen.

Seit der Veröffentlichung von BIND 9.9 im Jahr 2011 erstellt BIND9 beim Start automatisch die lokalen Standardzonen, sofern dies nicht explizit mit dem empty-zones-enableFlag in der named.confDatei deaktiviert ist.

Die IANA-Registrierung wird von ISC verfolgt und neue Einträge zu den aktuellen BIND-Quellen hinzugefügt, sobald sie angezeigt werden.

— Alnitak
quelle

Sie haben also dasselbe wie meine Antwort gesagt, aber auf andere Weise, aber meine Antwort ist "veraltet"?

— Darren

@Alnitak, also sollte man diese Zonen in BIND aufnehmen, damit es solche Abfragen verarbeiten kann, ohne an Root-Server weiterzuleiten?

— Bulat M.

@BulatM. Bei modernen BIND-Versionen sollte dies nicht erforderlich sein. Sie werden beim Start automatisch aktiviert, es sei denn, sie wurden von Ihrem Distributionspaket mit der empty-zones-enableEinstellung in deaktiviert named.conf. Die Liste der leeren Zonen sollte beim Start von BIND in Ihrer Syslog-Ausgabe angezeigt werden.

— Alnitak

@BulatM. Die automatische Erstellung von lokalen Standardzonen wurde 2011 in BIND 9.9 eingeführt.

— Alnitak

@BulatM. hängt von der BIND-Version ab - wenn es 9.9 oder höher ist, ist das nicht nötig include.

— Alnitak

Dies von hier (eine MS-Seite, aber immer noch relevant):

Reverse-Lookup-Zonen ermöglichen es dem DNS-Server, autorisierend zu sein, dh die Antwort im Voraus zu kennen und sofort auf die häufigsten Namensabfragen zu antworten, wodurch unnötige rekursive Abfragen vermieden werden. Gemäß den einschlägigen Anforderungen für Kommentare (RFCs) ist der DNS-Server standardmäßig für drei Reverse-Lookup-Zonen autorisierend:
0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Mit anderen Worten; Der DNS-Server fragt keinen internetbasierten DNS-Server nach diesen Adressen ab (da es sich um alle lokalen Adressen handelt).

— Darren
quelle

@BulatM.: Ich glaube nicht, dass jemand dies absichtlich tun würde, aber solche Adressen können in einem allgemeineren Tool abgefangen werden oder es kann versehentlich passieren. Wenn dies der Fall ist, möchten Sie die richtigen Ergebnisse erzielen. Warum also nicht umsetzen?

— Leichtigkeitsrennen im Orbit

@BulatM.: Ich denke, Sie sehen das rückwärts. Sie versuchen, einen Anwendungsfall zu finden. Stattdessen machen wir die Dinge korrekt gemäß Spezifikation, dann wird standardmäßig jeder denkbare und unvorstellbare Anwendungsfall abgedeckt.

— Leichtigkeitsrennen im Orbit

Es ist jedoch durchaus sinnvoll, beispielsweise ein Tool zu haben, das Ihnen alle Abhörprozesse auf Ihrem PC und den Ports, die IP-Adressen, an die sie gebunden sind, und den übereinstimmenden rDNS-Hostnamen anzeigt . Ein solches Tool versucht ziemlich oft, den Hostnamen für "127.0.0.1", "0.0.0.0" usw. zu finden. Und dies ist nur das erste Beispiel, das ich mir ausgedacht habe.

— Josef sagt Reinstate Monica

"ziemlich oft" ist etwas untertrieben. Bis zu 7% des gesamten Datenverkehrs, der auf einigen Root-Servern ankommt, besteht aus umgekehrten Abfragen für private IP-Adressen, und eine vollständige Routing-Infrastruktur (AS112) wurde erstellt, um dieses Problem zu lösen

— Calimo,

@Darren ist veraltet, da die Liste der von der IETF empfohlenen und von der IANA verwalteten Zonen etwa 30 Einträge enthält, nicht nur die von Microsoft genannten 3. Dieses spezielle Thema hat sich in letzter Zeit ziemlich verändert, und die Links, die ich in meine Antwort aufgenommen habe, sind die endgültigen Referenzen. Ich kann nicht für die anderen gängigen Resolver antworten, aber BIND tut dies standardmäßig für die gesamte IANA-Liste.

— Alnitak