摘要
全球互联网基础设施是一个复杂的系统,需要各利益相关方通力合作,采取负责任的行动,才能保持其健康和稳定。互联网生态系统面临的关键挑战之一是与私有 IP 地址相关的 DNS 反向查找流量泄漏。本文提出了部署 AS112 节点作为解决这一问题的技术方案,并邀请其他网络采用类似方法,为建立一个更有弹性、更高效的互联网做出贡献。
导言
互联网是我们日常生活的重要组成部分,管理大型网络的机构在确保稳定可靠的用户体验方面发挥着重要作用。与 RFC 1918 和 RFC 6598 中定义的私有 IP 地址相关的 DNS 反向查找流量经常会因配置错误和其他因素而泄漏到公共互联网上。这种意外流量会给全球 DNS 基础设施带来不必要的负荷,并影响整体网络性能。AS112 节点提供分布式天坑服务,吸收这些流量并减轻其对互联网生态系统的影响。
什么是 AS112?
想象一下,你不小心拨打了一个并不存在的电话号码。你可能会听到一条信息,说这个号码不在服务区,而不是联系到某个人。现在,把互联网想象成一个巨大的电话簿,但我们拥有的不是电话号码,而是网站和在线服务的地址。有时,人们或系统会错误地试图联系根本不存在的地址或私人专用地址(如未列入公共目录的私人电话线)。
在这个庞大的在线电话系统中,AS112 就像一个友好的接线员。AS112 不会让这些错误的电话打扰总机(互联网的根基),而是会介入并说:"嘿,这个地址不存在或者是私人地址。请检查并重试"。通过这样做,AS112 可以帮助减少不必要的流量,并确保总机不会被这些错误来电所淹没。
AS112 为何重要?
-减少不必要的流量:就像繁忙的电话线一样,互联网也会因请求过多而堵塞。通过处理这些错误的呼叫,AS112 可确保主系统顺利运行。
-保护互联网的核心:互联网根对于每个人的在线活动都至关重要。AS112 充当着守护者的角色,确保根节点不会受到无关请求的干扰。
-帮助系统和人员:通过回应这些错误的请求,AS112 可以提供反馈,这有助于发现和纠正错误。
从本质上讲,AS112 就像是浩瀚互联网世界中的一名得力助手,确保一切运行顺畅高效。
技术解决方案
AS112 节点被战略性地部署在网络中,用于处理和吸收指向私人 IP 地址的错误 DNS 反向查询流量。通过部署这些节点,企业可以卸载意外流量,减轻本地和全球 DNS 基础设施的负担。AS112 节点的实施包括以下步骤:
- 根据流量模式和网络拓扑结构确定 AS112 节点的最佳位置。
- 用适当的软件(如 BIND 或 Knot DNS)配置 AS112 节点,以处理特定专用 IP 地址范围的 DNS 反向查询流量。
- 通过组织的自治系统 (AS) 在全局路由表中宣传 AS112 前缀,以吸引误导流量。
- 监控 AS112 节点,确保它们有效处理反向查找流量,并根据需要调整配置。
AS112 的部署建议
IP 地址选择
使用为 AS112 节点分配的专用 IP 地址。这可确保节点被认定为 AS112 项目的一部分,并能处理指向它的特定流量。
使用 BGP(边界网关协议)
应使用 BGP 向邻近网络宣布 AS112 节点的存在。这有助于将适当的流量导向该节点。
建议使用 BGP 社区来控制公告的范围,以确保公告能到达预定的受众。
网络环境考虑因素
- 公共互联网:如果在公共互联网上部署,应确保互联网的所有部分都能连接到节点。这可能需要与互联网服务提供商协调,并确保没有过滤器阻挡流量。
- 互联网交换点 (IXP):对于部署在 IXP 的节点,必须确保节点能够处理此类地点的典型流量。此外,与 IXP 运营商的协调也至关重要。
- 专用网络:如果节点用于专用网络,则应确保它只为该专用网络服务,而不会向更广泛的互联网公布其存在。
任播注意事项
任播是一种由不同地点的多个节点使用同一 IP 地址的方法。这有助于分散负载,确保更快的响应时间。
如果使用任播,应确保使用相同 IP 地址的所有节点具有一致的配置和数据。这样可以确保用户无论连接到哪个节点,都能获得相同的响应。
运行监测
定期监控节点的运行,确保其正常运行。这包括检查软件更新、监控流量水平以及确保节点按预期响应查询。
协调
与其他 AS112 操作员协调是有益的,尤其是在进行重大更改或更新时。这有助于分享最佳实践并确保所有节点的一致运行。
这些是基于 RFC 的 AS112 高级部署建议。它们提供了指导方针,以确保节点高效运行,并在更广泛的互联网生态系统中实现其预期目的。
AS112 的安全考虑因素
主机最好不要向 AS112 服务器发送查询。与私人使用地址相关的查询应在站点内本地回答。如果主机向 AS112 服务器发送查询,它们可能会无意中向公共网络泄露有关专用基础设施的信息。这可能会带来安全风险。
AS112 操作员记录
AS112 操作员可能会记录他们收到的信息。这些记录的数据可能存在各种安全和隐私风险。不过,无论这些区域的授权服务器是否存在于公共 DNS 基础设施中,这些风险都是存在的。
意想不到的交通
AS112 服务器回答的查询通常是无意的,这意味着 AS112 服务器的响应通常是出乎意料的。这种意外的入站流量可能会触发入侵检测系统或防火墙。AS112 服务器操作员应做好准备,以应对远程基础设施操作员可能误认为其安全受到威胁的查询。
潜在的误解
一些人可能会联系 AS112 服务器的运营商,误以为 AS112 节点的响应是对其基础设施的攻击。对于持有这种错误认识的人,可参阅 [RFC6305]。
松散协调
AS112 节点的部署不像其他使用任播分发的服务那样紧密协调。由于缺乏集中管理,这使得检测 AS112 节点的恶意破坏或节点所提供数据的颠覆具有挑战性。
潜在的攻击媒介
更改 AS112 节点收到的查询响应可能会影响发送查询的主机的行为。这种妥协可能会被用作针对私有基础设施的攻击向量。
保护措施
AS112 操作员应确保 AS112 节点不受威胁。应采取与生产名称服务器或网络基础设施类似的措施。RFC2870] 中为根名称服务器提供的指导可能会有所帮助。
DNSSEC 注意事项
AS112 服务器托管的区未使用 DNSSEC 签名。鉴于 AS112 服务的分布式和松散协调结构,签署区域将要求私钥材料有效公开,这将抵消使用这些密钥的任何安全优势。
从本质上讲,虽然 AS112 在处理不可路由 IP 地址的 DNS 查询方面提供了有价值的服务,但操作员和用户应注意一些安全问题。适当的措施和意识有助于降低潜在风险。
EdgeUno 的 AS112 实施情况
EdgeUno 是拉丁美洲领先的互联网基础设施提供商,它积极采用 AS112 项目来提高其庞大网络的效率和可靠性。由于认识到处理非全球唯一 IP 地址的 DNS 查询的重要性,EdgeUno 已战略性地实施了 AS112 节点:
地域分布:EdgeUno 的 AS112 节点战略性地部署在拉丁美洲的八个关键地点。这些地点包括
-哥伦比亚
-墨西哥,具体节点为 MEX1、GLD1 和 QRO1
-智利
-迈阿密(作为拉丁美洲的重要连接点)
-巴西
-阿根廷
这一广泛部署确保了来自该地区不同地方的 DNS 查询得到有效处理,减少了不必要的流量,提高了用户体验。
技术规格
-操作系统:EdgeUno 的 AS112 节点在由 Linux Debian 支持的服务器上运行,Linux Debian 是一个强大可靠的操作系统,以其稳定性和安全性著称。
-路由守护进程:选择 BIRD 路由守护进程可确保高效和动态的路由功能,使 AS112 节点能够有效管理 DNS 流量并响应查询。
-支持 IPv4 / IPv6
-监测和分析
EdgeUno 采用 Grafana 和 InfluxDB 的组合来监控其 AS112 节点。该设置可提供
通过 Grafana 交互式仪表盘实时可视化节点性能和流量。
利用 InfluxDB 进行高效的数据存储和检索,确保能够快速识别和处理任何异常或问题。
行动呼吁
我们邀请其他网络考虑在其基础设施中实施 AS112 节点,以实现以下优势:
- 通过减轻根 DNS 服务器的负荷,改善全球互联网生态系统的整体健康和稳定性。
- 提高本地 DNS 性能,为客户提供更好的网络性能。
- 通过积极主动地维护互联网基础设施,展示对互联网社区的承诺。
- 促进网络运营商和利益相关方之间的合作,以应对共同的挑战并推广负责任的互联网实践。
结论
对于管理大型网络的企业来说,部署 AS112 节点是一个重要而负责任的步骤。通过采用这一技术解决方案,网络运营商可以为建立一个更有弹性、更高效的互联网做出贡献,使其客户和更广泛的网络社区受益。因此,我们鼓励其他网络探索 AS112 节点的实施,并加入到维护和增强全球互联网基础设施的集体努力中来。
参考资料
- RFC 7534 - AS112 名称服务器操作
- EdgeUno 官方网站https://edgeuno.com/
- RFC 1918 - 专用互联网的地址分配
- RFC 6598 - 共享地址空间的 IANA 保留 IPv4 前缀
