Los servidores DNS Blackhole son servidores del Sistema de nombres de dominio (DNS) que devuelven una respuesta de "dirección inexistente" para realizar búsquedas DNS inversas de direcciones reservadas para uso privado.
Hay varios rangos de direcciones de red reservadas para su uso en redes privadas en IPv4 : [1]
Si bien el tráfico hacia o desde estas direcciones nunca debería aparecer en la Internet pública, no es raro que dicho tráfico aparezca de todos modos.
Para solucionar este problema, la Autoridad de Números Asignados en Internet (IANA) ha creado tres servidores DNS especiales denominados "servidores de agujero negro". En la actualidad, los servidores de agujero negro son: [3]
Estos servidores están registrados en el directorio DNS como servidores autorizados para la zona de búsqueda inversa de las direcciones 10.0.0.0 / 8 , 172.16.0.0 / 12 y 192.168.0.0 / 16. Estos servidores están configurados para responder a cualquier consulta con una respuesta de "dirección inexistente". Esto ayuda a reducir los tiempos de espera porque la respuesta (negativa) se proporciona inmediatamente y, por lo tanto, no es necesario esperar un tiempo de espera. Además, la respuesta devuelta también puede ser almacenada en caché por servidores DNS recursivos. Esto es especialmente útil porque una segunda búsqueda de la misma dirección realizada por el mismo nodo probablemente se respondería desde la memoria caché local en lugar de consultar nuevamente a los servidores autorizados. Esto ayuda a reducir significativamente la carga de la red. Según IANA, "los servidores blackhole generalmente responden miles de consultas por segundo". [4] Debido a que la carga en los servidores blackhole de IANA se volvió muy alta, se ha creado un servicio alternativo, AS112, administrado principalmente por operadores voluntarios.
El proyecto AS112 es un grupo de operadores de servidores de nombres voluntarios unidos en un sistema autónomo . Ejecutan instancias anycast de los servidores de nombres que responden a las búsquedas DNS inversas de direcciones de red privada y de enlace local enviadas a Internet pública. Estas consultas son ambiguas por naturaleza y no se pueden responder correctamente. Proporcionar respuestas negativas reduce la carga en la infraestructura DNS pública.
Antes de 2001, las zonas in-addr.arpa para las redes privadas [1] se delegaban a una única instancia de servidores de nombres, blackhole-1.iana.org y blackhole-2.iana.org, llamados servidores blackhole. Los servidores administrados por la IANA estaban bajo una carga cada vez mayor debido a redes NAT configuradas incorrectamente, lo que filtraba consultas DNS inversas y también causaba una carga innecesaria en los servidores raíz . Un pequeño subconjunto de operadores de servidores raíz tomó la decisión de ejecutar las delegaciones inversas; cada uno anunciaba la red utilizando el número de sistema autónomo 112. [5] Más tarde, el grupo de voluntarios creció para incluir muchas otras organizaciones.
En mayo de 2015, el IETF adoptó un enfoque alternativo, que utiliza la redirección DNAME. [6] [7]
Los servidores de nombres que participan en el proyecto AS112 están configurados para responder con autoridad en las siguientes zonas: