Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

DNS reverso

Seção 1: O que é DNS reverso

O DNS reverso (Domain Name System) é parte integrante da infraestrutura da Internet e desempenha um papel crucial na tradução de endereços IP em nomes de domínio. Embora a maioria dos usuários esteja familiarizada com o DNS direto, que mapeia nomes de domínio para endereços IP, o DNS reverso executa a tarefa oposta, permitindo que os usuários identifiquem os domínios e nomes de host associados a endereços IP específicos.

O DNS reverso é um serviço baseado em consulta e resposta, de modo que, quando um endereço IP é usado para acessar um site ou enviar um e-mail, o DNS reverso pode ser empregado para determinar o domínio associado.

Seção 2: Delegação reversa de DNS

2.1 Delegação de DNS reverso

O DNS reverso (Domain Name System) opera por meio de uma árvore hierárquica de servidores, semelhante ao DNS direto. O domínio da Internet de nível superior da Área de Parâmetros de Roteamento e Endereço (ARPA) serve como a raiz da estrutura do DNS reverso. O processo de delegação envolve a raiz ARPA, os Registros Regionais da Internet (RIRs), servidores delegados e registros PTR.

Os Registros Regionais da Internet, como o AFRINIC, gerenciam o processo de delegação reversa para suas respectivas regiões. Compreender a estrutura hierárquica e o processo de delegação do DNS reverso é essencial para manter a configuração adequada e garantir pesquisas eficientes de endereços IP no ecossistema da Internet. 

Hierarquia do DNS reverso

A raiz ARPA serve como o nível mais alto na hierarquia DNS reversa. Abaixo da raiz ARPA, os servidores delegados lidam com intervalos de endereços IP específicos. Para IPv4 endereços, o domínio "in-addr.arpa" é usado, enquanto "ip6.arpa" é utilizado para IPv6 endereços. Mais abaixo na hierarquia, há delegações para o /8 IPv4 e IPv6 blocos alocados pela Internet Assigned Numbers Authority (IANA) para o RIRs.
Imagem

Registros PTR e arquivos de zona

Os registros PTR, contendo o mapeamento reverso de endereços IP para nomes de domínio, são armazenados nos arquivos de zona específicos de cada domínio reverso. Esses arquivos de zona são mantidos por servidores de nomes. Para criar um registro PTR, os octetos de endereço IP são invertidos e acrescentados com a extensão ".in-addr.arpa". Por exemplo, se um servidor tiver o endereço IP 196.0.1.2, o registro PTR correspondente será registrado como 2.1.0.192.in-addr.arpa.

Processo de Delegação Reversa AFRINIC

Os servidores AFRINIC DNS fornecem referências para os recursos IP delegados a seus membros de recurso.

Para solicitar a delegação reversa, os detentores de recursos precisam criar um objeto de domínio no AFRINIC WHOIS Base de dados. Os membros também devem configurar zonas DNS reversas em seus servidores de nomes com antecedência, pois os servidores AFRINIC realizarão a verificação para garantir que as configurações adequadas já estejam em vigor. Recomenda-se ter pelo menos dois servidores de nomes para fins de redundância. Se os servidores de nomes estiverem configurados corretamente, o AFRINIC propaga a delegação para o Domain Name System. No entanto, se um servidor DNS não estiver configurado corretamente, ele será detectado como um servidor DNS lame e a solicitação de delegação poderá ser descartada, a menos que o problema seja resolvido imediatamente.

2.2 Uso de DNS reverso

O DNS reverso encontra inúmeras aplicações em gerenciamento de e-mail, administração de rede, segurança e solução de problemas. Alguns casos de uso notáveis ​​incluem:
  1. Autenticação de e-mail: o DNS reverso é um componente essencial dos mecanismos de autenticação de e-mail, como SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Verificar se o endereço IP usado para enviar e-mails corresponde ao domínio especificado no endereço do remetente ajuda a combater o spam de e-mail e melhorar a capacidade de entrega.
  2. Solução de problemas de rede: ao usar o DNS reverso, os administradores de rede podem identificar o domínio associado a um endereço IP problemático usando os dados de log com nomes de host legíveis por humanos em vez de endereços IP numéricos, permitindo que eles identifiquem a origem dos problemas de rede com mais eficiência.
  3. Segurança e controle de acesso: o DNS reverso é frequentemente usado em configurações de firewall e sistemas de controle de acesso. Ele permite que as organizações definam regras com base em nomes de domínio em vez de endereços IP, aprimorando as medidas de segurança e facilitando o gerenciamento de rede.

2.3 Problemas comuns de DNS reverso

Certos serviços, como e-mail, são configurados para verificar a autenticidade dos endereços IP de origem da solicitação antes de aceitar tais solicitações, portanto, registros PTR (ponteiro) inválidos ou inexistentes podem levar à rejeição do serviço. Abaixo estão algumas das causas comuns de problemas de DNS reverso.

1. Falta de delegação de DNS reverso

A ausência de informações do servidor de nomes (NS) das operadoras de rede para seus IPs causará uma falha na delegação reversa do DNS.

  • O AFRINIC mantém informações autorizadas para os blocos de IP que administram e seus servidores DNS autoritativos fornecem referências se contiverem as informações do servidor de nomes (NS) da operadora de rede no que é chamado de delegação DNS reversa.
    • Por exemplo, AFRINIC administra o prefixo 196/8 e tem o domínio correspondente 196.in-addr.arpa.
  • Os membros do recurso devem solicitar a delegação registrando seus servidores de nomes DNS no banco de dados AFRINIC.
    • Por exemplo, a operadora de rede com 196.1.0.0/24 deve registrar o domínio 0.1.196.in-addr.arpa.

2. Falta de registros PTR para seu endereço IP

  • Um registro PTR mapeia um endereço IP para um nome de host dentro da zona DNS reversa.
  • Os operadores de rede devem criar registros PTR para seus servidores de e-mail, permitindo a pesquisa DNS reversa para estabelecer a autoridade do servidor para enviar e receber e-mails. Se um servidor DNS não possuir o registro PTR apropriado, a pesquisa DNS reversa falhará. Consequentemente, o envio de e-mails de tal servidor pode ser rejeitado por provedores de e-mail que exigem um registro de DNS reverso válido.

3. Registro de DNS reverso incorreto

  • Um registro de DNS reverso incorreto pode causar falha no serviço ou na delegação de DNS, afetando outras funcionalidades da rede, levando à rejeição de e-mails enviados do servidor. É crucial garantir a precisão dos registros PTR para manter a resolução DNS reversa adequada.

4. Resolução lenta de DNS reverso

  • Atrasos nas pesquisas de DNS reverso podem ocorrer devido ao congestionamento da rede ou problemas com o desempenho do servidor DNS. Se a resolução lenta do DNS reverso se tornar um problema, servidores DNS alternativos podem ser usados ​​para determinar se o problema persiste. Nesses casos, é recomendável entrar em contato com o provedor de hospedagem ou administrador de rede para uma investigação mais aprofundada.
Problemas de DNS reverso podem prejudicar o bom funcionamento dos servidores de e-mail. Compreendendo as causas comuns, os administradores de rede e os operadores de servidor de e-mail podem identificar e resolver esses problemas com eficácia. Garantir a configuração e a manutenção adequadas dos registros de DNS reverso é crucial para a entrega de e-mail confiável e a conformidade com os requisitos do provedor de e-mail.

Seção 3: Etapas para configurar a delegação reversa no AFRINIC WHOIS banco de dados

 Antes de prosseguir com a solicitação do serviço de delegação reversa, é aconselhável revisar o seguinte checklist:
  • Registrar Atribuições no WHOIS Banco de dados: Para membros do Local Internet Registry (LIR), é obrigatório registrar as atribuições de utilização de IP no AFRINIC WHOIS banco de dados antes de iniciar o registro de DNS reverso. O AFRINIC requer pelo menos uma cessão registrada para cumprir a política de aceitação de delegações reversas.
Este requisito não se aplica a membros de recursos na categoria Usuário final.
  • Limites de delegação para IPv4 e IPv6: AFRINIC permite delegação reversa em limites de 8 bits para IPv4 endereços, normalmente /16 ou /24.
Para abranger prefixos CIDR menores que /24 (por exemplo, /22), são necessárias delegações múltiplas, exigindo o registro de quatro objetos /24. Para IPv6, é altamente recomendável alinhar as delegações reversas com os limites de 4 bits, comumente chamados de limites de nibble.

Etapa 1. Configurações de DNS em seus servidores de nomes

Antes de solicitar a delegação reversa de DNS, siga estas etapas de configuração de DNS em seus servidores de nomes:
  1. Criar zona reversa: certifique-se de que a zona reversa seja criada antes de prosseguir com a solicitação de delegação de DNS reverso.
  2. Configurar registros PTR: Configure corretamente os registros PTR nas zonas reversas. Esses registros facilitam o mapeamento de endereços IP para nomes de domínio.
  3. Uniformidade no registro de recursos SOA: mantenha a consistência entre todos os servidores de nomes, garantindo que o registro de recursos SOA (Start of Authority) contenha o mesmo número de série e outro conteúdo de dados. A SOA também deve incluir um 'rname' válido, que representa o endereço de contato para fins administrativos.

Passo 2. Registre seu(s) Domínio(s) nos Servidores AFRINIC

Após concluir a etapa 1, você está pronto para adicionar seu(s) objeto(s) de domínio e solicitar a delegação reversa. da AFRINIC. Esta solicitação pode ser feita em um dos três métodos:

2.1 Através MyAfrinic Portal de membros

  1. Logar em https://my.afrinic.net
  2. Vá para Recursos -> Delegação Reversa
  3. Clique em "+" para expandir a alocação de destino
  4. Clique na opção "Adicionar delegação reversa" para adicionar o domínio
  5. Atualize os detalhes e envie

2.2 Através do whois portal web

  1. Por favor vá a https://afrinic.net/whois
  2. Clique em "criar objeto", escolha "domínio" e carregue.
  3. Preencha o formulário conforme solicitado e, em seguida, envie-o.

2.3 Por e-mail e vale para atualizações em massa

Envie um novo objeto de domínio reverso copiando o modelo do(s) objeto(s) de domínio em um arquivo de texto e enviando-o por e-mail para Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. com uma linha de assunto em branco.

Um exemplo de um objeto de domínio (delegação reversa) para 192.168.1.0/24 é mostrado abaixo;

domínio: 0.1.192.in-addr.arpa
descr: Exemplo de objeto de domínio
admin-c: NIC-AFRINIC
tecnologia-c: NIC-AFRINIC
zona-c: NIC-AFRINIC
nserver: ns1.exemplo.com
nserver: ns2.exemplo.com
mnt-by: EXEMPLO-MNT
alterado: Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.
fonte: AFRINIC

Observe que os atributos "nserver:" devem ser os nomes de domínio totalmente qualificados (FQDNs) e não os endereços IP de seus servidores de nomes.

Você pode validar a funcionalidade de sua delegação de DNS reverso usando o verificador de claudicação de DNS reverso AFRINIC aqui: https://afrinic.net/whois/lame.

A propagação pode levar algumas horas para refletir totalmente no sistema DNS global (dependendo do TTL e dos valores de atualização). Em caso de desafios com propagação após 8 horas, entre em contato com AFRINIC em Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo..

Seção 4: Solução de problemas de DNS reverso (O QUE PODE DAR ERRADO!)

1. Mensagem de erro se as atribuições de utilização de IP não estiverem registradas no banco de dados AFRINIC:

É obrigatório registrar as atribuições/subalocações de utilização de IP no AFRINIC whois banco de dados antes de enviar seu(s) objeto(s) de domínio para os membros do recurso LIR.

Com referência à seção 10.5 do AFRINIC Manual de políticas consolidadas (CPM), afirma-se que “Nenhuma delegação reversa de espaço de endereço IP administrado/alocado é permitida, a menos que uma atribuição ou subalocação da alocação de endereço específico seja registrada apropriadamente no AFRINIC WHOIS base de dados",

O não cumprimento dos requisitos da política acima gerará a mensagem abaixo:
Imagem

2. Erro de autenticação ao criar em whois portal web e e-mail.

Ao enviar um novo objeto de domínio via web whois ou e-mail, é necessária autenticação nos domínios mnt; assim, a senha do seu objeto mantenedor é necessária.

Caso sua senha não possa ser rastreada, as etapas a seguir ajudarão a redefinir a senha:
  1. Acesse WHOIS Cripta e outros utilitários
  2. Insira a nova senha que você deseja usar para o mantenedor.
  3. Clique em "Gerar hash".
  4. Por favor, envie-nos o valor de hash BCRYPT que será gerado. Em seguida, usaremos isso para redefinir seu objeto.
Observe que, para autenticar em relação ao seu mantenedor após redefinir a senha com sucesso, você deve usar a senha em texto não criptografado que você enviou na Etapa 2 acima.
Imagem

Seção 5: seções importantes da política

O AFRINIC AFRINIC's Consolidated Policy Manual (CPM) abrange a delegação reversa em Seção 10 e as duas seções principais para prestar atenção são:

1. Cláusula - 10.5 - Validade da Delegação Reversa

A seção de política estipula estritamente que:

Nenhum serviço de DNS reverso na ausência de atribuições registradas:

  • Nenhuma delegação reversa de espaço de endereço IP administrado / alocado é permitida, a menos que uma atribuição ou subalocação da alocação de endereço específica seja registrada apropriadamente no AFRINIC whois base de dados.
  • Para uma delegação reversa / 24, pelo menos uma atribuição ou subalocação deve ser registrada no banco de dados AFRINIC para esse / 24 específico. O / 24 inteiro não precisa ser atribuído para que a delegação reversa seja permitida.

2. Seção 10.7 - Remoção de Delegações 'Lame'

O que é a Delegação Lame?

Um servidor de nomes DNS é considerado coxo quando não responde adequadamente às consultas DNS:

  • Não estou respondendo.
  • Respondendo de alguma forma, mas não para o domínio específico consultado.
  • Respondendo ao domínio correto, mas sem o bit de autoridade definido.

Delegações coxas podem levar a:

  • Negação de certos serviços e atrasos devido a mau funcionamento do DNS.
  • Tempos limite de servidores que não respondem podem aumentar o tráfego de DNS entre servidores de cache e DNS autorizados, resultando em possível carga na infraestrutura e aumento dos custos operacionais.

O que o Membro pode fazer? (Teste de Delegação Lame)

A AFRINIC desenvolveu uma ferramenta para testar delegações DNS inválidas nos domínios in-addr.arpa e ipv6.arpa. https://afrinic.net/whois/lame

Se um determinado atributo 'nserver' for considerado ruim para um determinado objeto de domínio, os membros são aconselhados a
  • Configure os servidores de nomes autorizados para as zonas relevantes
  • Edite a lista de servidores de nomes nos atributos "nserver" dos objetos "domínio" relevantes. Objetos com delegações lame podem ser atualizados por um dos mecanismos de interação com o WHOIS banco de dados identificado acima.

Resolvendo Delegações Lame

As operações de DNS são serviços críticos para uma Internet de bom desempenho, portanto, para garantir um serviço de DNS eficaz, o AFRINIC implementou um procedimento automatizado para ajudar os membros do recurso a identificar e corrigir problemas de delegação deficiente. Na eventualidade de falha na correção dos problemas, as delegações de DNS lame persistentes são removidas de acordo com a seção 10.7 do CPM para manter os dados de delegação de DNS reverso precisos.

O procedimento completo está documentado aqui.

Mais detalhes sobre a abordagem completa de verificação de "claudicação" e o cronograma de notificação podem ser lidos aqui.
Imprimir amigável, PDF e e-mail
Última modificação em -
enarfrpt