dzięki wspaniałym ludziom w ATMAN i EPIX udało nam się uruchomić parę kopii anycastowanych serwerów AS 112. opisałem to w większych detalach tutaj.
prawdopodobnie otrzymałeś jednak maila ode mnie - pozwól, że wytłumaczę dlaczego.
no więc czemu dostałem(-am) tego maila?
próbujemy dać Ci znać, że do internetu z zarządzanej przez Ciebie sieci wyciekają zapytania odwrotne do globalnych serwerów IP, dla przestrzeni adresowej określonej w RFC 1918.
a mówiąc po polsku, oznacza to że w Twojej sieci, serwer DNS nie jest prawidłowo skonfigurowany. przesyła on dalej zapytania, na które “my w internecie” (ani nikt w internecie) nie może odpowiedzieć w żaden sensowny sposób. na przykład, załóżmy że używasz sieci 192.168/16. hosty w Twojej sieci mogą zacząć wysyłać zapytania przez DNS o treści mniej więcej takiej:
“Jaką nazwę ma host o adresie 192.168.0.5?”
jak możesz sobie wyobrazić, takich adresów są miliony w całym internecie i odpowiadanie na to pytanie nie ma żadnego sensu. tłumaczeniem adresów IP z prywatnych na publiczne zajmują się routery, firewalle i bramki “NAT”. natomiast zapytania DNSowe takiej treści powinny zostać zatrzymane przez lokalny serwer DNS. może się jednak okazać, że nie są.
Twoja sieć może zatem “przeciekać” a tego typu ruch jest nie tylko zaśmiecaniem internetu, ale możliwe, że pozwoli komuś lepiej zmapować Twoją sieć i zrozumieć, jakie urządzenia/adresy masz aktywne w sieci.
w zależności od tego, jakiego serwera DNS używasz, konfiguracja będzie różna, ale podobna.
podążając zatem za prawem Postela postaraj się o higienę internetu.
gdzie znajdę więcej informacji co i jak poprawić?
jeśli jesteś operatorem serwera DNS albo swojej sieci, rzuć okiem poniżej.
- dla BIND
- dla Unbound domyślnie powinieneś być bezpieczny. można jednak zrobić drobny tuning np. żeby zapobiec atakom typu ‘rebinding’ posługując się poleceniami
private-addressiprivate-domain. przykłady konfiguracji znaleźć można tutaj i tutaj - dla Microsoft Server
- więcej o projekcie AS 112 znajdziesz tutaj.
- więcej o zapytaniach odwrotnych DNS znajdziesz tutaj.