Назначение
Проект AS112 – группировка DNS-серверов, созданная и поддерживаемая различными организациями для защиты корневых серверов DNS от атак и избыточной нагрузки, создаваемой запросами обратного разрешения (reverse lookup) глобально немаршрутизируемых адресов. К таким адресам относятся 192.168.0.1 и другие приватные адреса, определенные в RFC 1918, RFC 4193, канальные (link-local) адреса и пр.
MSK-IX предоставляет доступ к службе проекта AS112 для всех участников в Москве, желающих повысить уровень защиты корневых серверов DNS.
В чем проблема?
Адреса зарезервированных диапазонов могут одновременно использоваться в множестве сетей и не должны использоваться в публичном Интернете. У таких адресов не существует публично доступной обратной зоны, в качестве ответа на запрос обратного разрешения должен выдаваться NXDOMAIN (имя не найдено). Тем не менее, DNS-запросы в отношении таких адресов могут генерироваться достаточно часто, например, программным обеспечением, выполняющим обратное разрешение имен при логировании событий.
Для ответов на такие запросы были созданы три сервера: prisoner.iana.org, blackhole-1.iana.org и blackhole-2.iana.org, которые изначально управлялись IANA. С распространением использования адресов из частного диапазона нагрузка на сервера возросла. Для её распределения был создан проект AS112, участники которого добровольно предоставляют DNS-сервера для обработки таких запросов. Название проекта происходит от номера автономной системы (AS), зарегистрированной для этой цели. Сайт проекта: https://www.as112.net.
Как начать пользоваться?
Узел проекта AS112 в сети MSK-IX подключен к службе Route Server по протоколам IPv4 и IPv6. Таким образом, участники, использующие RS, автоматически получают маршруты AS112 по протоколу BGP по наиболее короткому маршруту.
Для участников MSK-IX, не использующих службу Route Server, для получения связности с узлом проекта AS112 в сети MSK-IX, возможно настроить прямые BGP сессии. Для этого направьте на адрес noc@ix.ru заявку с указанием:
- Города и идентификатора подключения к MSK-IX
- Номера AS Вашей сети
- IP-адреса Вашей сети на подключении к MSK-IX
- Максимального количества префиксов, которые будут анонсированы Вашей сетью в рамках BGP-сессии
| MSK-IX Москва | |
|---|---|
| Номер автономной системы | AS112 |
| IPv4-адрес | 195.208.209.248 |
| IPv6-адрес | 2001:7f8:20:101::209:248 |
| Максимальное количество префиксов, анонсируемых узлом | 2 IPv4, 2 IPv6 |
Реализация узла AS112 в сети MSK-IX
Серверы проекта AS112 работают по схеме anycast. Узел AS112, расположенный в сети MSK-IX, состоит из двух компонентов:
BGP-маршрутизатор, анонсирующий префиксы:
192.175.48.0/24 192.31.196.0/24 2001:4:112::/48 2620:4f:8000::/48
DNS-сервер, настроенный отвечать на запросы о сетях:
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 EMPTY.AS112.ARPA HOSTNAME.AS112.NET HOSTNAME.AS112.ARPA