วัตถุประสงค์ 0.in-addr.arpa และ 255.in-addr.arpa ในการกำหนดค่าเริ่มต้นของ bind คืออะไร


10

ฉันมี Ubuntu 16 LTS

จุดประสงค์ 0.in-addr.arpa และ 255.in-addr.arpa คืออะไรในการกำหนดค่าเริ่มต้นของ bind? ( named.conf.default-zones)

ฉันถามที่นี่เพราะคิดว่าไฟล์โซนเหล่านี้พบได้ทั่วไปในแพ็คเกจของ bind ในการแจกแจง GNU / Linux ต่างๆไม่ใช่ Ubuntu เฉพาะ


1
เป็นเรื่องปกติในแพ็คเกจ BIND สำหรับทุกระบบปฏิบัติการไม่ใช่เฉพาะ Linux
Alnitak

คำตอบ:


1

วัตถุประสงค์ของโซนท้องถิ่นเริ่มต้นในห่วงคือการหยุดคำสั่งสำหรับผู้ที่ช่วง IP จากการรั่วไหลออกไปยังอินเทอร์เน็ตทั่วโลกและเพื่อลดภาระในเซิร์ฟเวอร์ชื่อรากต่อRFC 6303 "เสิร์ฟเฉพาะโซน DNS"

จากการแนะนำสู่ RFC นั้น:

คำแนะนำนี้เกิดขึ้นเนื่องจากข้อมูลแสดงให้เห็นว่ามีการรั่วไหลที่สำคัญของการสืบค้นสำหรับเนมสเปซเหล่านี้เกิดขึ้นแม้ว่าจะมีคำแนะนำในการ จำกัด การใช้งานและเนื่องจากจำเป็นต้องปรับใช้เนมเซิร์ฟเวอร์เสียสละเพื่อป้องกันเนม
เซิร์ฟเวอร์หลัก โหลด [AS112] [RFC6304] [RFC6305] มีความคาดหวังว่าการโหลดแบบสอบถามจะเพิ่มขึ้นอย่างต่อเนื่องเว้นแต่จะมีการดำเนินการตามที่อธิบายไว้ที่นี่

นอกจากนี้เคียวรีจากไคลเอ็นต์ที่อยู่หลังไฟร์วอลล์ที่กำหนดค่าไม่ดีซึ่งอนุญาตให้เคียวรีขาออกสำหรับเนมสเปซเหล่านี้ แต่ปล่อยการตอบกลับให้โหลดโหลดจำนวนมากบนเซิร์ฟเวอร์รูท (โซนด้านหน้าไปข้างหน้า พวกเขายังก่อให้เกิดภาระการดำเนินงานสำหรับผู้ให้บริการเซิร์ฟเวอร์รูทเนื่องจากพวกเขาต้องตอบข้อซักถามเกี่ยวกับสาเหตุที่เซิร์ฟเวอร์ราก "โจมตี" ลูกค้าเหล่านี้

สิ่งนี้ควรพิจารณาถึงการอ้างอิงที่ชัดเจนไม่น้อยเพราะ RFC เขียนโดย Mark Andrews หนึ่งในนักพัฒนาหลักที่ทำงานกับ BIND

ดูเพิ่มเติมที่IANA Registry ของ Local Served Zonesซึ่งมีรายการโซน (ย้อนกลับ) ทั้งหมดที่ควรให้บริการเช่นนี้

ตั้งแต่การวางจำหน่าย BIND 9.9 ในปี 2011 BIND9 จะสร้างโซนท้องถิ่นเริ่มต้นโดยอัตโนมัติเมื่อเวลาเริ่มต้นเว้นแต่จะปิดอย่างชัดเจนด้วยการempty-zones-enableตั้งค่าสถานะในnamed.confไฟล์

รีจิสทรีของ IANA นั้นถูกติดตามโดย ISC และมีการเพิ่มรายการใหม่ในแหล่ง BIND ปัจจุบันตามที่ปรากฏ


คุณได้พูดแบบเดียวกับคำตอบของฉัน แต่ในทางที่แตกต่างกัน แต่คำตอบของฉันคือ "ล้าสมัย"?
Darren

@Alnitak ดังนั้นหนึ่งควรรวมโซนเหล่านี้ใน BIND เพื่อให้สามารถจัดการแบบสอบถามดังกล่าวโดยไม่ต้องส่งต่อไปยังเซิร์ฟเวอร์ราก?
Bulat M.

1
@BulatM กับรุ่นที่ทันสมัยห่วงมันไม่ควรจะเป็นสิ่งที่จำเป็น - พวกเขาจะถูกเปิดใช้งานโดยอัตโนมัติที่เริ่มต้นขึ้นจนกว่าพวกเขาจะได้รับการปิดใช้งานโดยแพคเกจ distro ของคุณด้วยการตั้งค่าในempty-zones-enable named.confรายการโซนว่างควรปรากฏในเอาต์พุต syslog ของคุณเมื่อ BIND เริ่มทำงาน
Alnitak

1
@BulatM การสร้างโซนท้องถิ่นเริ่มต้นโดยอัตโนมัติได้รับการแนะนำใน BIND 9.9 ในปี 2011 BTW
Alnitak

1
@BulatM ขึ้นอยู่กับเวอร์ชันของ BIND - ถ้าเป็น 9.9 หรือใหม่กว่าก็ไม่จำเป็นต้องทำincludeเช่นนั้น
Alnitak

14

สิ่งนี้จากที่นี่ (หน้า MS แต่ยังมีความเกี่ยวข้อง):

ย้อนกลับโซนการค้นหาช่วยให้เซิร์ฟเวอร์ DNS มีสิทธิ์นั่นคือเพื่อทราบคำตอบล่วงหน้าและตอบกลับไปยังการสอบถามชื่อที่พบบ่อยที่สุดทันที ตามค่าเริ่มต้นคำร้องขอความคิดเห็น (RFCs) เซิร์ฟเวอร์ DNS มีสิทธิ์สำหรับโซนการค้นหาแบบย้อนกลับสามโซน:

0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

กล่าวอีกนัยหนึ่ง; เซิร์ฟเวอร์ DNS จะไม่สอบถามเซิร์ฟเวอร์ DNS ที่ใช้อินเทอร์เน็ตสำหรับที่อยู่เหล่านั้น (เนื่องจากเป็นที่อยู่ในเครื่องทั้งหมด)


3
@BulatM: ฉันไม่คิดว่าจะมีใครทำอย่างจงใจ แต่ที่อยู่ดังกล่าวอาจติดอยู่ในเครื่องมือที่ใช้งานทั่วไปมากกว่าหรืออาจเกิดขึ้นโดยไม่ได้ตั้งใจ คุณต้องการผลลัพธ์ที่ถูกต้องเมื่อใด เหตุใดจึงไม่ใช้สิ่งนี้
การแข่งขัน Lightness ใน Orbit

3
@BulatM: ฉันคิดว่าคุณกำลังมองย้อนหลังนี้ คุณกำลังพยายามค้นหากรณีการใช้งาน แต่เราทำสิ่งต่าง ๆ ได้อย่างถูกต้องตามข้อมูลจำเพาะดังนั้นทุกกรณีที่นึกออกและใช้ไม่ได้จะครอบคลุมโดยค่าเริ่มต้น
การแข่งขัน Lightness ใน Orbit

4
แต่มันเป็นเรื่องที่เหมาะสมอย่างสมบูรณ์แบบที่จะมีตัวอย่างเครื่องมือที่แสดงให้คุณเห็นทุกกระบวนการฟังบนเครื่องคอมพิวเตอร์ของคุณและพอร์ตที่อยู่ IP ที่พวกเขาจะผูกพันและการจับคู่ rDNS ชื่อโฮสต์ เครื่องมือดังกล่าวมักจะพยายามค้นหาชื่อโฮสต์สำหรับ "127.0.0.1", "0.0.0.0" เป็นต้นและนี่เป็นเพียงตัวอย่างแรกที่ฉันใช้
Josef


2
@Darren ล้าสมัยเพราะรายการโซนที่แนะนำโดย IETF และดูแลโดย IANA มีประมาณ 30 รายการไม่ใช่แค่ 3 รายการที่ Microsoft กล่าวถึง หัวข้อนี้มีการเปลี่ยนแปลงไปเล็กน้อยและลิงค์ที่ฉันได้รวมไว้ในคำตอบคือข้อมูลอ้างอิงที่ชัดเจน ฉันไม่สามารถตอบตัวแก้ไขความนิยมอื่น ๆ ได้ แต่ BIND จะดำเนินการนี้ตามค่าเริ่มต้นสำหรับรายการ IANA ทั้งหมด
Alnitak
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.