Servidor de agujero negro

Los servidores DNS Blackhole son servidores del Sistema de nombres de dominio (DNS) que devuelven una respuesta de "dirección inexistente" para realizar búsquedas DNS inversas de direcciones reservadas para uso privado.

Fondo

Hay varios rangos de direcciones de red reservadas para su uso en redes privadas en IPv4 : ^[1]

Si bien el tráfico hacia o desde estas direcciones nunca debería aparecer en la Internet pública, no es raro que dicho tráfico aparezca de todos modos.

Role

Para solucionar este problema, la Autoridad de Números Asignados en Internet (IANA) ha creado tres servidores DNS especiales denominados "servidores de agujero negro". En la actualidad, los servidores de agujero negro son: ^[3]

• agujero negro-1.iana.org ( 192.175.48.6 )
• blackhole-2.iana.org ( 192.175.48.42 )
• prisionera.iana.org ( 192.175.48.1 )

Estos servidores están registrados en el directorio DNS como servidores autorizados para la zona de búsqueda inversa de las direcciones 10.0.0.0 / 8 , 172.16.0.0 / 12 y 192.168.0.0 / 16. Estos servidores están configurados para responder a cualquier consulta con una respuesta de "dirección inexistente". Esto ayuda a reducir los tiempos de espera porque la respuesta (negativa) se proporciona inmediatamente y, por lo tanto, no es necesario esperar un tiempo de espera. Además, la respuesta devuelta también puede ser almacenada en caché por servidores DNS recursivos. Esto es especialmente útil porque una segunda búsqueda de la misma dirección realizada por el mismo nodo probablemente se respondería desde la memoria caché local en lugar de consultar nuevamente a los servidores autorizados. Esto ayuda a reducir significativamente la carga de la red. Según IANA, "los servidores blackhole generalmente responden miles de consultas por segundo". ^[4] Debido a que la carga en los servidores blackhole de IANA se volvió muy alta, se ha creado un servicio alternativo, AS112, administrado principalmente por operadores voluntarios.

AS112

El proyecto AS112 es un grupo de operadores de servidores de nombres voluntarios unidos en un sistema autónomo . Ejecutan instancias anycast de los servidores de nombres que responden a las búsquedas DNS inversas de direcciones de red privada y de enlace local enviadas a Internet pública. Estas consultas son ambiguas por naturaleza y no se pueden responder correctamente. Proporcionar respuestas negativas reduce la carga en la infraestructura DNS pública.

Historia

Antes de 2001, las zonas in-addr.arpa para las redes privadas ^[1] se delegaban a una única instancia de servidores de nombres, blackhole-1.iana.org y blackhole-2.iana.org, llamados servidores blackhole. Los servidores administrados por la IANA estaban bajo una carga cada vez mayor debido a redes NAT configuradas incorrectamente, lo que filtraba consultas DNS inversas y también causaba una carga innecesaria en los servidores raíz . Un pequeño subconjunto de operadores de servidores raíz tomó la decisión de ejecutar las delegaciones inversas; cada uno anunciaba la red utilizando el número de sistema autónomo 112. ^[5] Más tarde, el grupo de voluntarios creció para incluir muchas otras organizaciones.

En mayo de 2015, el IETF adoptó un enfoque alternativo, que utiliza la redirección DNAME. ^{[6] [7]}

Zonas respondidas

Los servidores de nombres que participan en el proyecto AS112 están configurados para responder con autoridad en las siguientes zonas:

• Para las redes privadas 10.0.0.0/8 , 172.16.0.0/12 y 192.168.0.0/16 : ^[ 1 ]​
  • 10.en-dir.arpa
  • 16.172.en-addr.arpa
  • 17.172.en-addr.arpa
  • 18.172.en-addr.arpa
  • 19.172.en-addr.arpa
  • 20.172.en-addr.arpa
  • 21.172.en-addr.arpa
  • 22.172.en-addr.arpa
  • 23.172.en-addr.arpa
  • 24.172.en-addr.arpa
  • 25.172.en-addr.arpa
  • 26.172.en-addr.arpa
  • 27.172.en-addr.arpa
  • 28.172.en-addr.arpa
  • 29.172.en-addr.arpa
  • 30.172.en-addr.arpa
  • 31.172.en-addr.arpa
  • 168.192.in-addr.arpa
• Para las direcciones locales de enlace 169.254.0.0/16: [ 8 ^]
  • 254.169.in-addr.arpa
• Para fines de identificación única:
  • nombredehost.as112.net

Referencias

1. Y. Rekhter; B. Moskowitz; D. Karrenberg; GJ de Groot; E. Lear (febrero de 1996). Asignación de direcciones para Internets privadas. Grupo de trabajo de redes. doi : 10.17487/RFC1918 . BCP 5. RFC 1918.Actualizado por RFC 6761.
2. Y. Rekhter ; B. Moskowitz; D. Karrenberg; GJ de Groot; E. Lear (febrero de 1996). Asignación de direcciones para Internet privadas. Grupo de trabajo de redes. doi : 10.17487/RFC1918 . BCP 5. RFC 1918. Mejor práctica actual 5. Deja obsoletos los RFC 1627 y 1597. Actualizado por el RFC 6761.
3. J. Abley; W. Maton (julio de 2011). ¡PRISONER.IANA.ORG me está atacando!. IETF . doi : 10.17487/RFC6305 . ISSN  2070-1721. RFC 6305.
4. "Preguntas frecuentes sobre temas de abuso". IANA.
5. T. Hardie (abril de 2002). Distribución de servidores de nombres autorizados a través de direcciones de unidifusión compartidas. Grupo de trabajo de redes IETF . doi : 10.17487/RFC3258 . RFC 3258.
6. J. Abley; W. Sotomayor (mayo de 2015). Operaciones de servidores de nombres AS112. IETF . doi : 10.17487/RFC7534 . RFC 7534.Obsoleto RFC 6304.
7. J. Abley; B. Dickson; W. Kumari; G. Michaelson (mayo de 2015). Redirección AS112 mediante DNAME. IETF . doi : 10.17487/RFC7535 . RFC 7535.
8. S. Cheshire; B. Aboba; E. Guttman (mayo de 2005). Configuración dinámica de direcciones locales de enlace IPv4. Grupo de trabajo de redes IETF . doi : 10.17487/RFC3927 . RFC 3927.

Enlaces externos

• Preguntas frecuentes sobre abuso de IANA que contienen información sobre los servidores blackhole.
• Página web AS112
• ^Notas que describen ^el impacto de las consultas de red RFC 1918 ^en  los servidores raíz.
• Lista de correo para operadores AS112.