我有 Ubuntu 16 LTS
bind 預設配置中的 0.in-addr.arpa 和 255.in-addr.arpa 區域的用途是什麼named.conf.default-zones?
我在這裡問是因為我認為這些區域檔案在各種 GNU/Linux 發行版上的 Bind 軟體包中很常見,而不是特定於 Ubuntu 的發行版。
答案1
BIND 中預設本地區域的目的是阻止對這些 IP 範圍的查詢洩漏到全球互聯網上,並減少根名稱伺服器上的負載。RFC 6303 “本地提供的 DNS 區域”。
從 RFC 的介紹來看:
提出此建議的原因是,資料顯示,儘管有指示限制這些名稱空間,但這些命名空間的查詢正在發生嚴重洩漏,因此有必要部署犧牲性名稱伺服器以保護
這些區域的直接父名稱伺服器免遭過度、無意的查詢載入[AS112] [RFC6304] [RFC6305]。除非按照此處概述的步驟採取措施,否則查詢負載將繼續增加。此外,來自配置不當的防火牆後面的客戶端的查詢允許對這些命名空間進行傳出查詢,但會丟棄回應,從而給根伺服器帶來很大的負載(配置了正向區域,但未配置反向區域)。它們還會給根伺服器操作員帶來操作負擔,因為他們必須回覆有關根伺服器為何「攻擊」這些客戶端的詢問。
這應該被視為權威參考,尤其是因為 RFC 是由 Mark Andrews(BIND 的主要開發人員之一)編寫的。
另請參閱IANA 本地服務區域註冊機構,其中包含應像這樣提供服務的所有(反向)區域的清單。
自 2011 年發布 BIND 9.9 以來,BIND9 在啟動時自動建立預設本機區域,除非使用檔案empty-zones-enable中的標誌明確關閉named.conf。
IANA 註冊表由 ISC 追蹤,並且新條目在出現時會新增至目前 BIND 來源。
答案2
這來自這裡(MS 頁面,但仍相關):
反向查找區域使 DNS 伺服器具有權威性,即事先知道答案並立即回應最常見的名稱查詢,從而消除不必要的遞歸查詢。根據相關的註釋請求 (RFC),預設情況下,DNS 伺服器對三個反向查找區域具有權威性:
0.in-addr.arpa (0.0.0.0) 127.in-addr.arpa (127.0.0.1 - loopback) 255.in-addr.arpa (255. 255. 255. 255 - broadcast)
換句話說; DNS 伺服器不會向基於 Internet 的 DNS 伺服器查詢這些位址(因為它們都是本機位址)。