Ir al contenido

Servidor de agujero negro

De Wikipedia, la enciclopedia libre

Un Servidor de agujero negro (en inglés Blackhole DNS server) son servidores del Sistema de nombres de dominio (DNS) que devuelven una respuesta de "dirección inexistente" a la búsqueda DNS inversa para las direcciones reservadas para uso privado.

Antecedentes

[editar]

El RFC 1918 reserva varios rangos de direcciones de red para su uso en redes privadas en IPv4:[1]

  • 10.0.0.0 - 10.255.255.255
  • 172.16.0.0 - 172.31.255.255
  • 192.168.0.0 - 192.168.255.255

A pesar de que el tráfico hacia o desde estas direcciones nunca debería aparecer en la Internet pública, no es raro que este tipo de tráfico aparezca de todos modos. Algunos servidores están configurados (por lo general por razones de registro) para realizar una búsqueda DNS inversa en la dirección IP de los clientes. Si el servidor encuentra un paquete procedente de una dirección RFC 1918, podría intentar realizar una búsqueda en esa dirección. Esto causa un tráfico innecesario en la red y también puede afectar la funcionalidad del servidor (porque la consulta se quedan sin respuesta y el servidor tendría que esperar que la consulta expirara por exceso de tiempo).

Rol

[editar]

Para hacer frente a este problema, IANA ha puesto en marcha tres servidores DNS especiales llamados "servidores de agujeros negros". Actualmente los servidores de agujeros negros son los siguientes:[1]

  • Blackhole-1.iana.org
  • Blackhole-2.iana.org
  • prisoner.iana.org

Estos servidores están registrados en el directorio DNS como autorizados para la zona de búsqueda inversa de las direcciones RFC 1918. Estos servidores están configurados para responder a cualquier consulta con una "dirección inexistente" como respuesta. Esto ayuda a reducir los tiempos de espera ya que la respuesta (negativa) se da de manera inmediata y por lo tanto no se requiere que expire. Además, se permite guardar la respuesta devuelta en la caché de los servidores DNS recursivos. Esto es especialmente útil debido a una segunda búsqueda para la misma dirección realizada por el mismo nodo, probablemente sería respondida desde la caché local en lugar de consultar a los servidores autorizados de nuevo. Esto ayuda a reducir significativamente la carga de red. Según IANA, los servidores de agujeros negros reciben miles de consultas por segundo.

Debido a que la carga en los servidores de agujero negro de IANA llegó a ser muy alta, se creó un servicio alternativo, llamado AS112, mayormente operado por voluntarios.

AS112

[editar]

El proyecto AS112 es un grupo de operadores de servidores de nombres de voluntarios que se unieron en un sistema autónomo. Ellos operan instancias de los servidores de nombres con anycast que responden la búsqueda DNS inversa para direcciones de red privada y de enlace local que hayan sido enviadas a la Internet pública. Estas consultas son ambiguas por su naturaleza y no se pueden responder correctamente. Pero las respuestas negativas se proporcionan de todos modos para reducir la carga sobre la infraestructura DNS pública.

Al 31 de marzo de 2012, se estima que hay 372 servidores operando en esta red a lo largo del mundo.[2]

Historia

[editar]

Antes de 2001, las zonas in-addr.arpa para las redes de RFC 1918 estaban delegadas a una sola instancia de los servidores de nombres, blackhole-1.iana.org y blackhole-2.iana.org, llamados los servidores de agujero negro. Los servidores operados por la IANA estaban bajo permanente aumento de la carga, debido a redes NAT malconfiguradas, fugas de búsqueda DNS inversa, provocando además una carga innecesaria en los servidores raíz. Un pequeño grupo de operadores de servidores raíz decidieron operar las delegaciones inversas usando un modelo tal como se describe en el RFC 3258, cada uno anunciando la red utilizando el sistema autónomo 112. Más tarde, el grupo de voluntarios ha crecido hasta incluir a muchas otras organizaciones.

Zonas respondidas

[editar]

Los servidores de nombre participando en el proyecto AS112 están configurados para que cada uno conteste con autoridad para las siguientes zonas:

  • Para las redes privadas (RFC 1918) 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16:
    • 10.in-addr.arpa
    • 16.172.in-addr.arpa
    • 17.172.in-addr.arpa
    • 18.172.in-addr.arpa
    • 19.172.in-addr.arpa
    • 20.172.in-addr.arpa
    • 21.172.in-addr.arpa
    • 22.172.in-addr.arpa
    • 23.172.in-addr.arpa
    • 24.172.in-addr.arpa
    • 25.172.in-addr.arpa
    • 26.172.in-addr.arpa
    • 27.172.in-addr.arpa
    • 28.172.in-addr.arpa
    • 29.172.in-addr.arpa
    • 30.172.in-addr.arpa
    • 31.172.in-addr.arpa
    • 168.192.in-addr.arpa
  • Para la red de enlace-local (RFC 3927) 169.254.0.0/16
    • 254.169.in-addr.arpa
  • Para propósitos de identificación única:
    • hostname.as112.net

Soporte para IPv6

[editar]

Con el crecimiento de IPv6, se está evaluando extender el soporte de los servidores a este protocolo. Se envió un borrador de RFC a la IETF[3]​ y por ahora se están haciendo pruebas.[4]

Véase también

[editar]

Referencias

[editar]
  1. a b IANA (15 de diciembre de 2011). «Abuse Issues and IP Addresses» (en inglés). Consultado el 11 de mayo de 2012. 
  2. wfms (6 de abril de 2012). «How many public AS112 nodes are there as of March 31, 2012?» (en inglés). AS112 Project. Archivado desde el original el 18 de junio de 2012. Consultado el 11 de mayo de 2012. 
  3. wfms (12 de mayo de 2011). «IETF Internet Draft Proposed to extend AS112 into the IPv6 world» (en inglés). AS112 Project. Archivado desde el original el 18 de junio de 2012. Consultado el 11 de mayo de 2012. 
  4. wfms (24 de junio de 2011). «AS112 IPv6 operations - trials» (en inglés). AS112 Project. Archivado desde el original el 19 de mayo de 2012. Consultado el 11 de mayo de 2012. 

Enlaces externos

[editar]