Iana org: Internet Assigned Numbers Authority | Дропшиппинг

Содержание

Проект AS112 :: База знаний MSK-IX

Назначение

Проект AS112 – группировка DNS-серверов, созданная и поддерживаемая различными организациями для защиты корневых серверов DNS от атак и избыточной нагрузки, создаваемой запросами обратного разрешения (reverse lookup) глобально немаршрутизируемых адресов. К таким адресам относятся 192.168.0.1 и другие приватные адреса, определенные в RFC 1918, RFC 4193, канальные (link-local) адреса и пр.

MSK-IX предоставляет доступ к службе проекта AS112 для всех участников в Москве, желающих повысить уровень защиты корневых серверов DNS.

В чем проблема?

Адреса зарезервированных диапазонов могут одновременно использоваться в множестве сетей и не должны использоваться в публичном Интернете. У таких адресов не существует публично доступной обратной зоны, в качестве ответа на запрос обратного разрешения должен выдаваться NXDOMAIN (имя не найдено). Тем не менее, DNS-запросы в отношении таких адресов могут генерироваться достаточно часто, например, программным обеспечением, выполняющим обратное разрешение имен при логировании событий.

Для ответов на такие запросы были созданы три сервера: prisoner.iana.org, blackhole-1.iana.org и blackhole-2.iana.org, которые изначально управлялись IANA. С распространением использования адресов из частного диапазона нагрузка на сервера возросла. Для её распределения был создан проект AS112, участники которого добровольно предоставляют DNS-сервера для обработки таких запросов. Название проекта происходит от номера автономной системы (AS), зарегистрированной для этой цели. Сайт проекта: https://www.as112.net.

Как начать пользоваться?

Узел проекта AS112 в сети MSK-IX подключен к службе Route Server по протоколам IPv4 и IPv6. Таким образом, участники, использующие RS, автоматически получают маршруты AS112 по протоколу BGP по наиболее короткому маршруту.

Для участников MSK-IX, не использующих службу Route Server, для получения связности с узлом проекта AS112 в сети MSK-IX, возможно настроить прямые BGP сессии. Для этого направьте на адрес noc@ix.

ru заявку с указанием:

Города и идентификатора подключения к MSK-IX
Номера AS Вашей сети
IP-адреса Вашей сети на подключении к MSK-IX
Максимального количества префиксов, которые будут анонсированы Вашей сетью в рамках BGP-сессии

Параметры BGP узла MSK-IX:

MSK-IX Москва
Номер автономной системы	AS112
IPv4-адрес	195.208.209.248
IPv6-адрес	2001:7f8:20:101::209:248
Максимальное количество префиксов, анонсируемых узлом	2 IPv4, 2 IPv6

Реализация узла AS112 в сети MSK-IX

Серверы проекта AS112 работают по схеме anycast. Узел AS112, расположенный в сети MSK-IX, состоит из двух компонентов:

BGP-маршрутизатор, анонсирующий префиксы:

192.175.48.0/24
192.31.196.0/24
2001:4:112::/48
2620:4f:8000::/48

DNS-сервер, настроенный отвечать на запросы о сетях:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
EMPTY.AS112.ARPA
HOSTNAME.AS112.NET
HOSTNAME.AS112.ARPA

Статистика

https://www.msk-ix.ru/traffic/as112/

DNS-запрос для Prisoner.iana.org — служба поддержки Майкрософт

Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Foundation Windows Server 2012 Essentials Windows Server 2012 Datacenter Windows Server 2012 Foundation Windows Server 2012 Standard Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows Server 2012 R2 Standard Windows Server 2012 R2 Foundation Больше.

..Меньше

Симптомы

Во время трассировки Netmon (или, возможно, в журналах событий) вы можете увидеть запросы службы доменных имен (DNS) и сообщения об ошибках, относящиеся к blackhole.isi.edu. Например, может быть зарегистрировано следующее событие предупреждения:

Причина

Это может происходить, когда Windows 2000 пытается зарегистрировать запись DNS PTR (обратный поиск) для частного сетевого адреса. Например, если у вашего сервера есть 10.0.0.0. 9Адрес интернет-протокола (IP) 0011 x

, первичный DNS-сервер для 10.in-addr.arpa (который является зоной обратного просмотра для диапазона адресов 10. x ) в настоящее время называется blackhole.isi.edu. Вы должны получить аналогичные результаты для сети 192.168.0.1. х . x , а также диапазон адресов 172.16.0.0-172.31.255.255.

Разрешение

Чтобы решить эту проблему, используйте один из следующих вариантов.

Опция 1

Настройте на локальном DNS-сервере зону обратного просмотра, которую компьютеры под управлением Windows 2000 могут использовать для регистрации. Например, если ваши компьютеры используют версию 10.0.0. IP-адрес x , создайте зону обратного просмотра 10.in-addr.arpa на локальном DNS-сервере, на котором пытаются зарегистрироваться компьютеры под управлением Windows 2000.

Опция 2

Важно! Этот раздел, метод или задача содержат шаги, которые сообщают вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:

322756 Как сделать резервную копию и восстановить реестр в Windows Отключить Windows 2000 от регистрации записи PTR, выполнив следующие действия:

Запустите редактор реестра (Regedt32.exe).
Найдите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
В меню «Правка» выберите «Добавить значение» и добавьте следующее значение реестра:
.
Имя значения: DisableReverseAddressRegistrations
Тип данных: REG_DWORD
Значение: 1
Закройте редактор реестра.

Этот параметр отключает регистрацию динамического обновления записей PTR в DNS этим DNS-клиентом. Записи PTR связывают IP-адрес с именем компьютера. Эта запись предназначена для предприятий, в которых основной DNS-сервер, являющийся полномочным для зоны обратного просмотра, не может или не настроен на выполнение динамических обновлений. Это уменьшает ненужный сетевой трафик и устраняет ошибки журнала событий, которые фиксируют неудачные попытки зарегистрировать записи PTR.

Дополнительная информация

Вы можете использовать команду nslookup из командной строки, чтобы попытаться проверить информацию. В следующем примере возвращается основной сервер имен = Prisoner.iana.org:

c:>nslookup
>set type=SOA
>10.in-addr.arpa

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

142863 Действительная IP-адресация для частной сети

См. также: IANA: Проблемы со злоупотреблениями и IP-адреса

Меня атакует PRISONER.

IANA.ORG! RFC 6305: Меня атакует PRISONER.IANA.ORG! [Домашняя страница RFC] [ТЕКСТ|PDF|HTML] [Отслеживание] [ПИС] [Информационная страница]

ИНФОРМАЦИОННАЯ

Инженерная группа Интернета (IETF) Дж. Эбли
Запрос комментариев: 6305 ICANN
Категория: Информационная В. Матон
ISSN: 2070-1721 NRC-CNRC
июль 2011 г.
PRISONER.IANA.ORG атакует меня!
Абстрактный
Многие сайты, подключенные к Интернету, используют адреса IPv4,
не являются глобально уникальными. Примерами являются адреса, указанные в
RFC 1918 для частного использования на отдельных сайтах.
Обычно хосты никогда не должны отправлять DNS-запросы обратного отображения для
эти адреса в общедоступном Интернете. Однако такие запросы
часто наблюдается. Авторитетные серверы развертываются для обеспечения
авторитетные ответы на такие вопросы как часть
скоординированные усилия, известные как проект AS112.
Поскольку запросы, отправляемые на серверы AS112, обычно не являются преднамеренными,
ответы, полученные от этих серверов, как правило, неожиданны.
Неожиданный входящий трафик может вызвать тревогу при обнаружении вторжения
систем и брандмауэров, и операторы таких систем часто по ошибке
считают, что на них нападают.
Этот документ содержит справочную информацию и технические рекомендации для
эти операторы брандмауэра.
Статус этого меморандума
Этот документ не является спецификацией Internet Standards Track; это
публикуется в ознакомительных целях.
Этот документ является продуктом Инженерной группы Интернета.
(IETF). Он представляет собой консенсус сообщества IETF. В нем есть
получил общественное мнение и был одобрен для публикации
Руководящая группа по разработке Интернет-технологий (IESG). Не все документы
одобрены IESG, являются кандидатами для любого уровня Интернета
стандарт; см. раздел 2 RFC 5741.
Информация о текущем статусе этого документа, любых опечатках,
и как предоставить отзыв о нем можно получить на
http://www.rfc-editor.org/info/rfc6305.
Abley & Maton Informational [Страница 1]

RFC 6305 Меня атакует PRISONER. IANA.ORG! июль 2011 г.
Уведомление об авторских правах
   Copyright (c) IETF Trust, 2011 г., и лица, указанные в качестве
   авторы документа. Все права защищены.
   Этот документ регулируется BCP 78 и юридическими документами IETF Trust.
   Положения, касающиеся документов IETF
   (http://trustee.ietf.org/license-info) действует на дату
   публикации этого документа. Пожалуйста, ознакомьтесь с этими документами
   внимательно, так как они описывают ваши права и ограничения в отношении
   к этому документу. Компоненты кода, извлеченные из этого документа, должны
   включить текст упрощенной лицензии BSD, как описано в Разделе 4.e
   Доверительные юридические положения и предоставляются без гарантии, поскольку
   описан в Упрощенной лицензии BSD.
Оглавление
   1. Введение и целевая аудитория. . . . . . . . . . . . . . . 3
   2. Адреса для частного использования. . . . . . . . . . . . . . . . . . . . . 3
   3. Обратное сопоставление DNS. . . . . . . . . . . . . . . . . . . . . . 3
   4. Обратное сопоставление DNS для адресов частного использования.  . . . . . . . . 4
   5. Серверы имен AS112. . . . . . . . . . . . . . . . . . . . . . . 4
   6. Входящий трафик с серверов AS112. . . . . . . . . . . . . . 5
   7. Корректирующие меры. . . . . . . . . . . . . . . . . . . . . . 5
   8. Контактная информация AS112. . . . . . . . . . . . . . . . . . . 6
   9. Соображения IANA . . . . . . . . . . . . . . . . . . . . . . 6
   10. Вопросы безопасности. . . . . . . . . . . . . . . . . . . . 7
   11. Благодарности. . . . . . . . . . . . . . . . . . . . . . . 7
   12. Ссылки. . . . . . . . . . . . . . . . . . . . . . . . . . 7
     12.1. Нормативные ссылки . . . . . . . . . . . . . . . . . . . 7
     12.2. Информативные ссылки. . . . . . . . . . . . . . . . . . 7
Abley & Maton Informational [Страница 2]

RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
1. Введение и целевая аудитория
Читатели этого документа вполне могли испытать тревогу от
брандмауэр или система обнаружения вторжений, вызванная неожиданным
входящий трафик из Интернета. Вероятно, трафик
исходить от одного из нескольких хостов, обсуждаемых далее ниже.
Опубликованные контакты этих хостов вполне могли предположить, что
вы консультируетесь с этим документом.
Если вы следите за подобным событием, вам рекомендуется
следуйте вашим обычным процедурам безопасности и предпринимайте любые действия, которые вы
считать уместным. Этот документ содержит информацию, которая
может помочь вам.
2. Адреса для частного использования
Многие сайты, подключенные к Интернету, используют блоки адресов.
обозначенный в [RFC1918] для личного пользования. Один пример такого
адреса 10.1.30.20.
Поскольку эти диапазоны адресов используются многими сайтами по всему миру,
мире каждый отдельный адрес может иметь только локальное значение.
Например, хост с номером 192.168.18.234 на одном сайте почти
определенно не имеет ничего общего с хостом с таким же адресом, расположенным
на другом сайте.
3. Обратное сопоставление DNS
Система доменных имен (DNS) [RFC1034] может использоваться для получения имени
для определенного сетевого адреса. Процесс, посредством которого это происходит
как следует:
1. Сетевой адрес переставляется для построения имени
которые можно посмотреть в DNS. Например, адрес IPv4
10.1.30.20 соответствует DNS-имени 20.30.1.10.IN-ADDR.ARPA.
2. Для этого имени создается DNS-запрос, запрашивающий запись DNS.
типа "ПТР".
3. DNS-запрос отправляется распознавателю.
4. Если в ответ на запрос получен ответ, ответ
обычно указывает либо имя хоста, соответствующее
сетевой адрес или тот факт, что имя хоста не может быть найдено.
Эта процедура обычно выполняется автоматически программным обеспечением.
и, следовательно, в значительной степени скрыт от пользователей и администраторов.
Abley & Maton Informational [Страница 3]

RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
   У приложений может быть причина искать IP-адрес, чтобы
   например, собрать дополнительную информацию для файла журнала.
4. Обратное сопоставление DNS для адресов частного использования
   Как отмечалось в разделе 2, адреса для частного использования имеют только локальные адреса. 
   значение. Это означает, что отправка запросов в Интернет
   неразумно: общедоступный DNS не может предоставить полезную
   ответ на вопрос, не имеющий глобального значения.
   Несмотря на то, что публичный DNS не может дать ответов, многие
   сайты имеют неправильную конфигурацию в способе подключения к Интернету;
   это приводит к таким запросам, касающимся внутренней инфраструктуры
   отправляются за пределы сайта. С точки зрения публичного DNS,
   эти запросы бесполезны - на них невозможно ответить полезно, и в результате
   в ненужном трафике, получаемом серверами имен, которые
   лежат в основе работы обратного DNS (так называемого обратного
   серверы [RFC5855], которые обслуживают «IN-ADDR.ARPA»).
   Чтобы изолировать этот трафик и снизить нагрузку на остальные
   инфраструктура обратного DNS, выделенные серверы развернуты в
   Интернет, чтобы получать и отвечать на эти ненужные запросы. Эти
   серверы развернуты во многих местах в слабо скоординированных усилиях
   известный как «проект AS112».  Подробнее о проекте AS112
   можно найти по адресу .
5. Серверы имен AS112
   Серверы имен, ответственные за ответы на запросы, относящиеся к
   адреса для частного использования:
   o PRISONER.IANA.ORG (192.175.48.1)
   o BLACKHOLE-1.IANA.ORG (192.175.48.6)
   o BLACKHOLE-2.IANA.ORG (192.175.48.42)
   Запрос, отправленный на один из этих серверов, приведет к ответу
   возвращаются клиенту. Ответ обычно будет UDP.
   дейтаграммы, хотя это вполне допустимо для запросов, которые должны быть сделаны через
   ПТС. В обоих случаях исходный порт пакетов, возвращающихся на сайт
   который инициировал DNS-запрос, будет 53.
Abley & Maton Informational [Страница 4]

RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
6. Входящий трафик с серверов AS112
   Где настраиваются брандмауэры или системы обнаружения вторжений (IDS)
   блокировать трафик, полученный от серверов AS112, поверхностный просмотр
   трафик может показаться администраторам сайта тревожным. 
   o Поскольку запросы, направленные в конечном счете на серверы AS112, обычно
      запускается автоматически приложениями, просмотр журналов брандмауэра
      может указывать на большое количество нарушений политики, происходящих в течение
      продолжительный период времени.
   o Если ответы от серверов AS112 блокируются брандмауэрами, хосты
      будет часто повторяться, часто с относительно высокой частотой. Этот
      может привести к тому, что входящий трафик будет ошибочно классифицирован как отказ в
      сервисная (DoS) атака. В некоторых случаях исходные порты, используемые
      отдельные хосты для последовательных повторных попыток увеличиваются в предсказуемой
      моде (например, монотонно), что может вызвать ответы от
      Сервер AS112, чтобы он напоминал сканирование портов.
   o Администратор сайта может попытаться выполнить активное измерение
      удаленный хост в ответ на сигналы тревоги, вызванные входящим трафиком,
      например запуск сканирования портов для сбора информации о
      хост, который, по-видимому, атакует сайт.  Такое сканирование будет
      обычно приводят к дополнительному входящему трафику на сайт
      выполнение измерения, например, кажущийся поток ICMP
      сообщения, которые могут вызвать дополнительные тревоги брандмауэра и запутать
      процесс выявления изначально проблемного трафика.
7. Корректирующие меры
   Сайт, который получает ответы от одного из серверов имен, перечисленных в
   Участку 5, вероятно, не угрожает непосредственная опасность, и трафик
   связанный с этими ответами, вероятно, не требует экстренных действий
   соответствующим сайтом. Однако этот документ не может претендовать на
   диктовать политику безопасности отдельных сайтов, и это признается
   что многие сайты будут иметь совершенно действующую политику, которая диктует, что
   должны быть приняты корректирующие меры, чтобы остановить ответы от AS112
   серверы.
   Однако следует отметить, что операторы серверов имен AS112,
   которые генерируют ответы, описанные в этом документе, являются
   не несет окончательной ответственности за входящий трафик, полученный
   сайт: этот трафик генерируется в ответ на запросы, которые отправляются
   из сайта, и поэтому единственные эффективные меры, чтобы остановить
   входящий трафик должен предотвратить выполнение исходных запросов. 
Abley & Maton Informational [Страница 5]

RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
Возможные меры, которые могут быть приняты для предотвращения этих запросов
включать:
1. Запретить хостам выполнять эти запросы обратного сопоставления DNS в
первое место. В некоторых случаях серверы можно настроить так, чтобы они не
например, выполнять поиск с обратным сопоставлением DNS. Как генерал
общесайтовый подход, однако эта мера часто затруднительна
реализовать из-за большого количества хостов и приложений
вовлеченный.
2. Заблокируйте запросы обратного сопоставления DNS к серверам AS112 из
покинуть сайт, используя брандмауэры между сайтом и
Интернет. Хотя это может показаться разумным, такой
мера может иметь непредвиденные последствия: невозможность
получение ответа на запросы обратного сопоставления DNS может привести к
например, длительные тайм-ауты поиска DNS, что может привести к
приложения работать со сбоями. (Это также может привести к убеждению
что Интернет или локальная сеть не работают.)
3. Настройте все преобразователи DNS на сайте для авторитетного ответа.
для зон, соответствующих блокам адресов частного использования в
использовать. Это должно помешать распознавателям когда-либо отправлять
эти запросы к общедоступному DNS. Руководство и рекомендации
для этого аспекта конфигурации распознавателя можно найти в
[RFC6303].
4. Внедрите на сайте частный узел AS112. Руководство для
Создание узла AS112 можно найти в [RFC6304].
8. Контактная информация AS112
Дополнительную информацию о проекте AS112 можно найти по адресу
.
9. Рекомендации IANA
Все серверы имен AS112 именуются в домене IANA.ORG (см.
Раздел 5). IANA — это организация, отвечающая за
координация многих технических аспектов базовой
инфраструктура. Серверы имен проекта AS112 предоставляют
услуга в Интернете, которая санкционирована и работает в свободном режиме
координация с IANA.
Abley & Maton Informational [Страница 6]

RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
10. Вопросы безопасности
Цель этого документа — помочь администраторам сайта правильно
идентифицировать трафик, полученный от узлов AS112, и предоставить справочную информацию
информацию, позволяющую принять соответствующие меры в ответ на
это.
Обычно хосты никогда не должны отправлять запросы на серверы AS112: запросы
в отношении адресов частного использования следует отвечать на местном уровне в течение
сайт. Хосты, отправляющие запросы на серверы AS112, вполне могут утечь
информация, относящаяся к частной инфраструктуре в сети общего пользования;
это может представлять угрозу безопасности.
11. Благодарности
Авторы выражают благодарность С. Мунесами за помощь в
подготовка этого документа.
12. Ссылки
12.1. Нормативные ссылки
[RFC1034] Мокапетрис, П., «Доменные имена — концепции и возможности»,
STD 13, RFC 1034, 19 ноября87.
[RFC1918] Рехтер Ю., Московиц Р., Карренберг Д., Грут Г. и
Э. Лир, «Распределение адресов для частных интернетов»,
BCP 5, RFC 1918, февраль 1996 г.
12.2. Информативные ссылки
[RFC5855] Эбли, Дж. и Т. Мандерсон, «Серверы имен для IPv4 и IPv6.
Обратные зоны», BCP 155, RFC 5855, май 2010 г.
[RFC6303] Эндрюс, М., «Локально обслуживаемые зоны DNS», BCP 163,
RFC 6303, июль 2011 г.
[RFC6304] Эбли, Дж. и В. Матон, "Операции сервера имен AS112",
RFC 6304, июль 2011 г.
Abley & Maton Informational [Страница 7]

 RFC 6305 Меня атакует PRISONER.IANA.ORG! июль 2011 г.
Адреса авторов
 Джо Эбли
 ICANN
 4676 Admiralty Way, офис 330
 Марина дель Рей, Калифорния 90292
 НАС
 Телефон: +1 519 670 9327
 Электронная почта: [email protected]
 Уильям Ф. Матон Сотомайор
 Национальный исследовательский совет Канады
 1200 Монреаль Роуд
 Оттава, ON K1A 0R6
 Канада
 Телефон: +1 613 993 0880
 Электронная почта: wmaton@ryouko.