10

У меня Ubuntu 16 LTS

Для чего нужны зоны 0.in-addr.arpa и 255.in-addr.arpa в конфигурации по умолчанию для bind?(named.conf.default-zones)

Я спрашиваю здесь, потому что думаю, что эти файлы зон распространены в пакетах bind в различных дистрибутивах GNU/Linux, а не в конкретных Ubuntu.

2 ответа2

14

Это отсюда (страница MS, но все еще актуально):

Зоны обратного просмотра позволяют DNS-серверу быть авторитетным, то есть заранее знать ответ и немедленно отвечать на наиболее распространенные запросы имен, устраняя ненужные рекурсивные запросы. В соответствии с соответствующими запросами на комментарии (RFC) по умолчанию DNS-сервер является полномочным для трех зон обратного просмотра:

0.in-addr.arpa (0.0.0.0)

127.in-addr.arpa (127.0.0.1 - loopback)

255.in-addr.arpa (255. 255. 255. 255 - broadcast)

Другими словами; DNS-сервер не будет запрашивать интернет-DNS-сервер для этих адресов (так как все они являются локальными адресами).

1

Целью локальных зон по умолчанию в BIND является предотвращение утечки запросов для этих диапазонов IP-адресов в глобальный Интернет и снижение нагрузки на корневые серверы имен в соответствии с RFC 6303 "Локально обслуживаемые зоны DNS".

От введения к этому RFC:

Эта рекомендация сделана потому, что данные показали, что происходит значительная утечка запросов для этих пространств имен, несмотря на инструкции по их ограничению, и потому что поэтому возникла необходимость в развертывании жертвенных серверов имен для защиты непосредственных
родительские серверы имен для этих зон из-за чрезмерной непреднамеренной загрузки запросов [AS112] [RFC6304] [RFC6305]. Можно ожидать, что нагрузка на запрос продолжит увеличиваться, если не будут предприняты шаги, описанные здесь.

Кроме того, запросы от клиентов за плохо настроенными брандмауэрами, которые разрешают исходящие запросы для этих пространств имен, но отбрасывают ответы, создают значительную нагрузку на корневые серверы (настроены прямые зоны, но не обратные зоны). Они также создают операционную нагрузку для операторов корневых серверов, поскольку они должны отвечать на запросы о том, почему корневые серверы "атакуют" этих клиентов.

Это следует считать окончательной ссылкой, не в последнюю очередь потому, что RFC был написан Марком Эндрюсом, одним из основных разработчиков, работающих над BIND.

См. Также Реестр локально обслуживаемых зон IANA, в котором содержится список всех (обратных) зон, которые должны обслуживаться следующим образом.

Начиная с выпуска BIND 9.9 в 2011 году, BIND9 автоматически создает локальные зоны по умолчанию во время запуска, если явно не отключено с флагом empty-zones-enable в файле named.conf .

Реестр IANA отслеживается ISC, и новые записи добавляются в текущие источники BIND по мере их появления.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .