ブラックホールサーバー

ブラックホール DNS サーバーは、プライベート使用のために予約されているアドレスの逆 DNS ルックアップに対して「存在しないアドレス」の回答を返すドメイン ネーム システム(DNS) サーバーです。

IPv4ではプライベートネットワークで使用するために予約されているネットワークアドレスの範囲がいくつかある。^[1]

予約済みのプライベートIPv4ネットワーク範囲^[2]

名前	CIDRブロック	アドレス範囲	アドレス数	上品な説明
24ビットブロック	10.0.0.0/8	10.0.0.0 – 10.255.255.255	16 777 216	シングルクラスA
20ビットブロック	172.16.0.0/12	172.16.0.0 – 172.31.255.255	1 048 576	16個のクラスBブロックの連続範囲
16ビットブロック	192.168.0.0/16	192.168.0.0 – 192.168.255.255	65 536	連続した256個のクラスCブロック

逆DNSクエリは、IPアドレスをドメイン名にマッピングするために使用されます。これは、 in-addr.arpa（IPv4アドレスの場合）^[3]およびip6.arpa （IPv6アドレスの場合） ^[4]のサブドメインに対するPTRクエリです。例えば、IPアドレス203.0.113.22に関連付けられたドメイン名を見つけるには、 22.133.0.203.in-addr.arpaに対するPTRクエリを送信します。

設定ミスのあるホスト^[5]は、プライベートアドレスに対する逆引きDNSクエリをパブリックDNSに送信することがよくあります。これらのアドレスはプライベートネットワーク用に予約されており、単一のパブリックドメイン名に対応できないため、パブリックDNSはこれらのクエリに意味のある応答を行うことができません。何らかの対策を講じなければ、これらのクエリはin-addr.arpaおよびip6.arpaネームサーバーに不要な負荷をかけてしまいます。^[6]

この問題に対処するため、インターネット番号割当局（IANA）は「ブラックホールサーバー」と呼ばれる3つの特別なDNSサーバーを設置しました。現在、ブラックホールサーバーは以下のとおりです。^[7]

• blackhole-1.iana.org ( 192.175.48.6 )
• blackhole-2.iana.org ( 192.175.48.42 )
• prisoner.iana.org ( 192.175.48.1 )

これらのサーバーは、10.0.0.0 / 8、172.16.0.0 / 12、および192.168.0.0 / 16のアドレスの逆引きゾーンの権威サーバーとしてDNSディレクトリに登録されています。これらのサーバーは、すべてのクエリに対して「存在しないアドレス」という応答を返すように設定されています。これにより、（否定の）応答が即座に返され、タイムアウトを待つ必要がなくなるため、待機時間が短縮されます。さらに、返された応答は再帰DNSサーバーによってキャッシュされることもできます。これは特に、同じノードが同じアドレスを再度検索した場合、権威サーバーに再度問い合わせるのではなく、ローカルキャッシュから応答が返される可能性が高いため、非常に役立ちます。これにより、ネットワーク負荷が大幅に軽減されます。IANAによると、「ブラックホールサーバーは通常、1秒あたり数千件のクエリに応答します」^[8]。IANA ブラックホールサーバーの負荷が非常に高くなったため、主にボランティアのオペレーターによって運営されている代替サービスAS112が作成されました。

AS112プロジェクトは、自律システムに参加しているボランティアのネームサーバー運用者グループです。彼らは、パブリックインターネットに送信されるプライベートネットワークアドレスおよびリンクローカルアドレスの逆引きDNSルックアップに応答するネームサーバーのエニーキャストインスタンスを運用しています。これらのクエリは本質的に曖昧であり、正しく回答することはできません。否定的な回答を提供することで、パブリックDNSインフラストラクチャの負荷を軽減します。

^{2001年以前、プライベートネットワーク[1]}のin-addr.arpaゾーンは、 blackhole-1.iana.orgとblackhole-2.iana.orgという単一のネームサーバーインスタンスに委任されていました。これらはブラックホールサーバーと呼ばれていました。IANAが運営するサーバーは、不適切に設定されたNATネットワークからの負荷が増大し、逆DNSクエリが漏洩し、ルートサーバーに不要な負荷をかけていました。そこで、少数のルートサーバー運用者によって、逆委任を実行することが決定されました。各逆委任は、自律システム番号112を使用してネットワークをアナウンスします^。[9]その後、このボランティアグループは成長し、多くの組織が参加するようになりました。

DNAMEリダイレクトを使用する代替アプローチは、2015年5月にIETFによって採用されました。^{[6] [10]} DNSゾーン管理者は、empty.as112.arpaへのDNAMEリダイレクトを設定することで、クエリをAS112にリダイレクトできます。^[10]

AS112 プロジェクトに参加しているネーム サーバーはそれぞれ、次のゾーンに対して権威を持って応答するように構成されています。

• 10.0.0.0 / 8、172.16.0.0 / 12、192.168.0.0 / 16のプライベートネットワークの場合 : [ 1 ^]
  • 10.in-addr.arpa
  • 16.172.in-addr.arpa
  • 17.172.in-addr.arpa
  • 18.172.in-addr.arpa
  • 19.172.in-addr.arpa
  • 20.172.in-addr.arpa
  • 21.172.in-addr.arpa
  • 22.172.in-addr.arpa
  • 23.172.in-addr.arpa
  • 24.172.in-addr.arpa
  • 25.172.in-addr.arpa
  • 26.172.in-addr.arpa
  • 27.172.in-addr.arpa
  • 28.172.in-addr.arpa
  • 29.172.in-addr.arpa
  • 30.172.in-addr.arpa
  • 31.172.in-addr.arpa
  • 168.192.in-addr.arpa
• 169.254.0.0 / 16リンクローカルアドレスの場合: ^[11]
  • 254.169.in-addr.arpa
• 特定の特殊用途ドメイン名の場合: ^[12]
  • ホーム.arpa
• 一意の識別目的のため：^[6]
  • ホスト名.as112.net
  • ホスト名.as112.arpa

• ブラックホール サーバーに関する情報が記載されている IANA の不正使用に関する FAQ。
• AS112ウェブページ
• RSSAC ミーティング アトランタ 2002 ^{[永久リンク切れ]} RFC  1918 ネットワーク クエリがルート サーバーに与える影響について説明したメモ。
• AS112 オペレータのメーリング リスト。