Blackhole DNS servers: los agujeros negros de Internet

Una tarde cualquiera, los sistemas IPS de los firewalls detectaron varias ráfagas o floods de paquetes UDP desde dos IPs: 192.175.48.6 y 192.175.48.42. Sus nombres DNS en Internet respondían a blackhole-1.iana.org y blackhole-2.iana.org respectivamente...

Comprobar que su dominio pertenece a la entidad que ordena y asigna las IPs públicas en todo el mundo (IANA = Internet Assigned Numbers Authority) resultó ser bastante tranquilizador pero... ¿queréis saber que son exactamente estos servidores y por qué el firewall estaba detectando este tráfico?

Empecemos un poco desde el principio. Todos sabemos que en IPv4 y según la santísima RFC 1918 se reservan varios rangos de direcciones IP para su uso en redes privadas, estos son: 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16 y 192.168.0.0/16. Evidentemente intentar resolver el nombre de una IP privada en Internet no tiene ningún sentido, pero los humanos somos unos gañanes y... sí... generamos millones de consultas DNS inversas diarias hacia Internet tratando de resolver nombres de IPs privadas. Esto suele ser por errores de NAT o porque, o bien no utilizamos un DNS propio o el de algún proveedor (pa qué) y preguntamos directamente a los root servers, o bien si utilizamos nuestro DNS propio pero no hemos incluido los direccionamientos privados en las zonas DNS correspondientes.


Por lo tanto tal y como comentamos, el resultado de estas malas configuraciones es que se generan multitud de peticiones inversas relacionadas con infraestructura interna hacia DNS públicos que evidentemente no pueden responder adecuadamente.

Antes, estas peticiones se reintentaban y/o morían por timeout generando mucho tráfico y un gran impacto en el sistema global. Para solucionarlo, allá por el 99, la IANA creó lo que denominó servidores de agujero negro (en inglés Blackhole DNS server) a los que delegaron las zonas de búsqueda inversa de los direccionamiento privados (in-addr.arpa):

   o  BLACKHOLE-1.IANA.ORG (192.175.48.6)
   o  BLACKHOLE-2.IANA.ORG (192.175.48.42)
   o  PRISONER.IANA.ORG (192.175.48.1)
  
Esto servidores devuelven una respuesta de "dirección inexistente" a la búsqueda DNS inversa para las direcciones reservadas para uso privado:

Sending request to "blackhole-1.iana.org" (192.175.48.6)
Received authoritative (AA) response:
-> Header: Non-Existent Domain


Amén la Wikipedia, "esto ayuda a reducir los tiempos de espera ya que la respuesta (negativa) se da de manera inmediata y por lo tanto no se requiere que expire. Además, la respuesta devuelta se permite también guardar en caché de los servidores DNS recursivos. Esto es especialmente útil debido a una segunda búsqueda para la misma dirección realizada por el mismo nodo, que probablemente sería respondida desde la caché local en lugar de consultar a los servidores autorizados de nuevo.".

Sin embargo estos servidores recibían miles de consultas por segundo y para evitar su saturación en 2002 se creó el proyecto AS112, un grupo de operadores DNS voluntarios que se unieron en un sistema autónomo y que en la actualidad suman más de 400 servidores que se reparten la autoridad de distintas zonas para "aliviar" la carga de los anteriores.

El resultado: IANA y un conjunto de voluntarios agrupados en el AS 112 para disminuir el ruido de fondo de Internet. Un gran ejemplo colaborativo y global.

3 comentarios :

  1. y no podrían utilizarse estos servidores para un ataque DDoS (reflection)?

    ResponderEliminar
    Respuestas
    1. Pues sí lo había pensado, pero a efectos prácticos creo que el volumen de tráfico de las respuestas de un blackhole es parecido al de una respuesta normal de un servidor DNS público...

      Eliminar
  2. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar