القسم 1: ما هو عكس DNS
يعد نظام DNS العكسي (نظام اسم المجال) جزءًا لا يتجزأ من البنية التحتية للإنترنت ويلعب دورًا مهمًا في ترجمة عناوين IP إلى أسماء نطاقات. في حين أن معظم المستخدمين معتادون على إعادة توجيه DNS ، والذي يقوم بتعيين أسماء المجال إلى عناوين IP ، فإن DNS العكسي يؤدي المهمة المعاكسة ، مما يسمح للمستخدمين بتحديد المجالات وأسماء المضيف المرتبطة بعناوين IP معينة.
DNS العكسي عبارة عن خدمة قائمة على الاستعلام والاستجابة مثل أنه عند استخدام عنوان IP للوصول إلى موقع ويب أو إرسال بريد إلكتروني ، يمكن استخدام DNS العكسي لتحديد المجال المرتبط.
DNS العكسي عبارة عن خدمة قائمة على الاستعلام والاستجابة مثل أنه عند استخدام عنوان IP للوصول إلى موقع ويب أو إرسال بريد إلكتروني ، يمكن استخدام DNS العكسي لتحديد المجال المرتبط.
القسم 2: عكس تفويض DNS
2.1 تفويض DNS العكسي
يعمل نظام أسماء النطاقات العكسي (نظام اسم المجال) من خلال شجرة هرمية من الخوادم ، على غرار إعادة توجيه DNS. يعمل مجال الإنترنت عالي المستوى لمنطقة معلمات العنوان والتوجيه (ARPA) كجذر لبنية DNS العكسية. تتضمن عملية التفويض جذر ARPA ، وسجلات الإنترنت الإقليمية (RIRs) والخوادم المفوضة وسجلات PTR.
تدير سجلات الإنترنت الإقليمية ، مثل AFRINIC ، عملية التفويض العكسي لمناطقها. يعد فهم الهيكل الهرمي وعملية التفويض لعكس DNS أمرًا ضروريًا للحفاظ على التكوين المناسب وضمان عمليات بحث فعالة لعناوين IP في النظام البيئي للإنترنت.
تدير سجلات الإنترنت الإقليمية ، مثل AFRINIC ، عملية التفويض العكسي لمناطقها. يعد فهم الهيكل الهرمي وعملية التفويض لعكس DNS أمرًا ضروريًا للحفاظ على التكوين المناسب وضمان عمليات بحث فعالة لعناوين IP في النظام البيئي للإنترنت.
التسلسل الهرمي لـ DNS العكسي
يعمل جذر ARPA كأعلى مستوى في التسلسل الهرمي العكسي لنظام أسماء النطاقات. تحت جذر ARPA ، تتعامل الخوادم المفوضة مع نطاقات عناوين IP محددة. ل IPv4 العناوين ، يتم استخدام المجال "in-addr.arpa" ، بينما يتم استخدام "ip6.arpa" لـ IPv6 عناوين. أسفل التسلسل الهرمي ، هناك وفود لـ / 8 IPv4 و IPv6 الكتل المخصصة من قبل هيئة الإنترنت للأرقام المخصصة (IANA) إلى RIRs.
سجلات PTR وملفات المنطقة
يتم تخزين سجلات PTR ، التي تحتوي على التعيين العكسي لعناوين IP لأسماء المجال ، في ملفات المنطقة الخاصة بكل مجال عكسي. يتم الاحتفاظ بملفات المنطقة هذه بواسطة خوادم الأسماء. لإنشاء سجل PTR ، يتم عكس الثماني عناوين IP وإلحاقها بالملحق ".in-addr.arpa". على سبيل المثال ، إذا كان للخادم عنوان IP 196.0.1.2 ، فسيتم تسجيل سجل PTR المقابل على أنه 2.1.0.192.in-addr.arpa.
عملية التفويض العكسي AFRINIC
توفر خوادم AFRINIC DNS إحالات لموارد IP المفوضة إلى أعضاء الموارد.
لطلب التفويض العكسي ، يحتاج أصحاب الموارد إلى إنشاء كائن مجال في AFRINIC WHOIS قاعدة البيانات. يجب على الأعضاء أيضًا تكوين مناطق DNS العكسية على خوادم الأسماء الخاصة بهم مسبقًا ، حيث ستقوم خوادم AFRINIC بالتحقق للتأكد من أن التكوينات المناسبة موجودة بالفعل. من المستحسن أن يكون لديك خادما أسماء على الأقل لأغراض التكرار. إذا تم تكوين خوادم الأسماء بشكل صحيح ، فإن AFRINIC ينشر التفويض إلى نظام اسم المجال. ومع ذلك ، إذا لم يتم تكوين خادم DNS بشكل صحيح ، فسيتم اكتشافه كخادم DNS ضعيف ، وقد يتم إسقاط طلب التفويض ما لم يتم حل المشكلة على الفور.
2.2 عكس استخدام DNS
يجد DNS العكسي العديد من التطبيقات في إدارة البريد الإلكتروني وإدارة الشبكة والأمن واستكشاف الأخطاء وإصلاحها. تشمل بعض حالات الاستخدام البارزة ما يلي:
-
مصادقة البريد الإلكتروني: يعد DNS العكسي مكونًا أساسيًا لآليات مصادقة البريد الإلكتروني مثل SPF (إطار عمل سياسة المرسل) و DKIM (البريد المعرف بمفاتيح المجال). التحقق من أن عنوان IP المستخدم لإرسال رسائل البريد الإلكتروني يطابق المجال المحدد في عنوان المرسل يساعد في مكافحة البريد الإلكتروني العشوائي وتحسين إمكانية التسليم.
-
استكشاف أخطاء الشبكة وإصلاحها: باستخدام DNS العكسي ، يمكن لمسؤولي الشبكة تحديد المجال المرتبط بعنوان IP إشكالي باستخدام بيانات السجل بأسماء مضيفين يمكن قراءتها بواسطة الإنسان بدلاً من عناوين IP الرقمية ، مما يمكنهم من تحديد مصدر مشكلات الشبكة بشكل أكثر كفاءة.
-
الأمان والتحكم في الوصول: غالبًا ما يتم استخدام DNS العكسي في تكوينات جدار الحماية وأنظمة التحكم في الوصول. يسمح للمؤسسات بتحديد القواعد بناءً على أسماء النطاقات بدلاً من عناوين IP ، وتعزيز تدابير الأمان وتسهيل إدارة الشبكة.
2.3 مشكلات DNS العكسية الشائعة
يتم تكوين خدمات معينة مثل البريد الإلكتروني للتحقق من صحة عناوين IP التي تنشأ عن الطلب قبل قبول مثل هذه الطلبات ، وبالتالي قد تؤدي سجلات PTR (Pointer) غير الصالحة أو غير الموجودة إلى رفض الخدمة. فيما يلي بعض الأسباب الشائعة لمشكلات DNS العكسية.
1. عدم وجود تفويض عكسي لنظام أسماء النطاقات
سيؤدي عدم وجود معلومات خادم الأسماء (NS) لمشغلي الشبكات لعناوين IP الخاصة بهم إلى فشل تفويض DNS العكسي.
- تحتفظ AFRINIC بمعلومات موثوقة عن كتل IP التي تديرها وتقدم خوادم DNS الرسمية إحالات إذا كانت تحتوي على معلومات خادم اسم مشغل الشبكة (NS) فيما يشار إليه بتفويض DNS العكسي.
- على سبيل المثال ، تدير AFRINIC البادئة 196/8 ولها المجال المقابل 196.in-addr.arpa.
- يجب أن يطلب أعضاء المورد التفويض عن طريق تسجيل خوادم أسماء DNS الخاصة بهم في قاعدة بيانات AFRINIC.
- على سبيل المثال ، يجب على مشغل الشبكة مع 196.1.0.0/24 تسجيل المجال 0.1.196.in-addr.arpa.
2. عدم وجود سجلات PTR لعنوان IP الخاص بك
- يقوم سجل PTR بتعيين عنوان IP لاسم مضيف داخل منطقة DNS العكسية.
- يجب على مشغلي الشبكات إنشاء سجلات PTR لخوادم البريد الإلكتروني الخاصة بهم ، مما يتيح البحث العكسي عن DNS لتأسيس سلطة الخادم لإرسال البريد واستلامه. إذا كان خادم DNS لا يمتلك سجل PTR المناسب ، فسيفشل البحث العكسي عن DNS. وبالتالي ، قد يواجه إرسال رسائل البريد الإلكتروني من هذا الخادم الرفض من قِبل مزودي البريد الإلكتروني الذين يتطلبون سجل DNS عكسي صالحًا.
3. سجل DNS عكسي غير صحيح
- قد يتسبب سجل DNS العكسي غير الصحيح في فشل الخدمة أو تفويض DNS مما يؤثر على وظائف الشبكة الأخرى ، مما يؤدي إلى رفض رسائل البريد الإلكتروني المرسلة من الخادم. من الأهمية بمكان ضمان دقة سجلات PTR للحفاظ على دقة DNS العكسية المناسبة.
4. حل DNS العكسي البطيء
- قد تحدث تأخيرات في عمليات بحث DNS العكسية بسبب ازدحام الشبكة أو مشاكل في أداء خادم DNS. إذا أصبح حل DNS العكسي البطيء مشكلة ، فيمكن استخدام خوادم DNS البديلة لتحديد ما إذا كانت المشكلة قائمة. في مثل هذه الحالات ، يوصى بالاتصال بموفر الاستضافة أو مسؤول الشبكة لمزيد من التحقيق.
يمكن أن تعيق مشكلات DNS العكسية التشغيل السلس لخوادم البريد الإلكتروني. من خلال فهم الأسباب الشائعة ، يمكن لمسؤولي الشبكة ومشغلي خادم البريد الإلكتروني استكشاف هذه المشكلات وحلها بفعالية. يعد ضمان التكوين السليم وصيانة سجلات DNS العكسية أمرًا بالغ الأهمية لتسليم البريد الإلكتروني الموثوق به والامتثال لمتطلبات مزود البريد الإلكتروني.
القسم 3: خطوات إعداد التفويض العكسي في AFRINIC WHOIS قاعدة بيانات
قبل متابعة طلب خدمة التفويض العكسي ، يُنصح بمراجعة قائمة التحقق التالية:
-
سجل الواجبات على ملف WHOIS قاعدة البيانات: بالنسبة لأعضاء سجل الإنترنت المحلي (LIR) ، من الضروري تسجيل تعيينات استخدام IP في AFRINIC WHOIS قاعدة البيانات قبل الشروع في تسجيل DNS العكسي. يتطلب AFRINIC تعيينًا واحدًا على الأقل من أجل الامتثال لسياسة قبول التفويضات العكسية.
- حدود التفويض لـ IPv4 و IPv6: يسمح AFRINIC بالتفويض العكسي على حدود 8 بت لـ IPv4 عناوين ، عادة / 16 أو / 24.
الخطوة 1. تكوينات DNS على خوادم الأسماء الخاصة بك
قبل طلب تفويض DNS العكسي ، اتبع خطوات تكوين DNS هذه على خوادم الأسماء الخاصة بك:
-
إنشاء منطقة عكسية: تأكد من إنشاء المنطقة العكسية قبل متابعة طلب تفويض DNS العكسي.
-
تكوين سجلات PTR: تكوين سجلات PTR بشكل صحيح داخل المناطق العكسية. تسهل هذه السجلات تعيين عناوين IP لأسماء المجال.
-
التوحيد في سجل موارد SOA: حافظ على التناسق بين جميع خوادم الأسماء من خلال التأكد من أن سجل مورد SOA (بداية التفويض) يحتوي على نفس الرقم التسلسلي ومحتوى البيانات الأخرى. يجب أن تتضمن SOA أيضًا "rname" صالحًا ، والذي يمثل عنوان جهة الاتصال لأغراض إدارية.
الخطوة 2. قم بتسجيل المجال (المجالات) الخاصة بك على خوادم AFRINIC
بعد الانتهاء من الخطوة 1 ، أنت الآن جاهز لإضافة كائن (كائنات) المجال الخاص بك وطلب التفويض العكسي. من AFRINIC. يمكن تقديم هذا الطلب بإحدى الطرق الثلاث:
2.1 من خلال MyAfrinic بوابة الأعضاء
- تسجيل الدخول إلى https://my.afrinic.net
- انتقل إلى الموارد -> عكس التفويض
- انقر فوق "+" لتوسيع التخصيص المستهدف
- انقر فوق خيار "إضافة التفويض العكسي" لإضافة المجال
- تحديث التفاصيل وتقديم
2.2 من خلال whois البوابة الإلكترونية
- الرجاء الذهاب إلى https://afrinic.net/whois
- انقر على "إنشاء كائن" ، ثم اختر "المجال" ، ثم تحميل.
- املأ النموذج كما هو مطلوب ، ثم أرسله.
2.3 من خلال البريد الإلكتروني وهو فعال للتحديثات الجماعية
قم بإرسال كائن مجال عكسي جديد عن طريق نسخ قالب كائن (كائنات) المجال في ملف نصي وإرساله بالبريد الإلكتروني إلى محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته. بسطر موضوع فارغ.
يظهر أدناه مثال لكائن المجال (التفويض العكسي) لـ 192.168.1.0/24 ؛
المجال: 0.1.192.in-addr.arpa
descr: مثال على كائن المجال
المشرف-ج: NIC-AFRINIC
التكنولوجيا ج: NIC-AFRINIC
المنطقة ج: NIC-AFRINIC
الخادم: ns1.example.com
الخادم: ns2.example.com
mnt-by: مثال - MNT
تغير: محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته.
المصدر: AFRINIC
لاحظ أن سمات "nserver:" يجب أن تكون أسماء المجال المؤهلة بالكامل (FQDNs) وليس عناوين IP لخوادم الأسماء الخاصة بك.
يمكنك التحقق من صحة وظيفة تفويض DNS العكسي باستخدام مدقق عرج DNS العكسي AFRINIC هنا: https://afrinic.net/whois/lame.
قد يستغرق النشر بضع ساعات لينعكس بشكل كامل في نظام DNS العالمي (اعتمادًا على TTL وقيم التحديث). في حالة وجود تحديات مع انتشار بعد 8 ساعات ، يرجى الاتصال بـ AFRINIC على محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته..
قد يستغرق النشر بضع ساعات لينعكس بشكل كامل في نظام DNS العالمي (اعتمادًا على TTL وقيم التحديث). في حالة وجود تحديات مع انتشار بعد 8 ساعات ، يرجى الاتصال بـ AFRINIC على محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته..
القسم 4: عكس استكشاف أخطاء DNS وإصلاحها (ما الذي يمكن أن يكون خطأ!)
1. رسالة خطأ إذا لم يتم تسجيل تخصيصات استخدام IP في قاعدة بيانات AFRINIC:
من الضروري تسجيل تخصيصات استخدام IP / التخصيصات الفرعية في AFRINIC whois قاعدة البيانات قبل إرسال كائنات المجال الخاصة بك لأعضاء موارد LIR.
بالإشارة إلى القسم 10.5 من AFRINIC دليل السياسة الموحدة (CPM)، يُذكر أنه "لا يُسمح بأي تفويض عكسي لمساحة عنوان IP المُدارة / المخصصة ما لم يتم تسجيل تخصيص أو تخصيص فرعي من تخصيص العنوان المحدد بشكل مناسب في AFRINIC WHOIS قاعدة البيانات"،
سيؤدي عدم الالتزام بمتطلبات السياسة المذكورة أعلاه إلى إنشاء الرسالة أدناه:
بالإشارة إلى القسم 10.5 من AFRINIC دليل السياسة الموحدة (CPM)، يُذكر أنه "لا يُسمح بأي تفويض عكسي لمساحة عنوان IP المُدارة / المخصصة ما لم يتم تسجيل تخصيص أو تخصيص فرعي من تخصيص العنوان المحدد بشكل مناسب في AFRINIC WHOIS قاعدة البيانات"،
سيؤدي عدم الالتزام بمتطلبات السياسة المذكورة أعلاه إلى إنشاء الرسالة أدناه:
2. خطأ في المصادقة عند الإنشاء على whois بوابة الويب والبريد الإلكتروني.
عند إرسال كائن مجال جديد عبر الويب whois أو البريد الإلكتروني ، مطلوب المصادقة على المجالات mnt ؛ وبالتالي ، يلزم إدخال كلمة مرور كائن المشرف.
في حالة تعذر تتبع كلمة المرور الخاصة بك ، ستساعد الخطوات التالية في إعادة تعيين كلمة المرور:
في حالة تعذر تتبع كلمة المرور الخاصة بك ، ستساعد الخطوات التالية في إعادة تعيين كلمة المرور:
- انتقل إلى البرنامج المساعد في التأليف WHOIS القبو والمرافق الأخرى
- أدخل كلمة المرور الجديدة التي ترغب في استخدامها لأمين الصيانة.
- انقر على "توليد التجزئة".
- يرجى إرسال قيمة تجزئة BCRYPT التي سيتم إنشاؤها. سنستخدم هذا بعد ذلك لإعادة تعيين الكائن الخاص بك.
لاحظ أنه للمصادقة على المشرف الخاص بك بعد إعادة تعيين كلمة المرور بنجاح ، يجب عليك استخدام كلمة المرور ذات النص الواضح التي قدمتها في الخطوة 2 أعلاه.
القسم 5: أقسام السياسة الهامة
يغطي دليل السياسة الموحدة (CPM) لشركة AFRINIC AFRINIC التفويض العكسي بتنسيق قسم 10 والقسمان الأساسيان اللذان يجب الانتباه إليهما هما:
1. القسم - 10.5 - صلاحية التفويض العكسي
ينص قسم السياسة بشكل صارم على ما يلي:
لا توجد خدمة DNS عكسية في حالة عدم وجود تخصيصات مسجلة:
لا توجد خدمة DNS عكسية في حالة عدم وجود تخصيصات مسجلة:
- لا يُسمح بأي تفويض عكسي لمساحة عنوان IP المُدارة / المخصصة ما لم يتم تسجيل تخصيص أو تخصيص فرعي من تخصيص العنوان المحدد بشكل مناسب في AFRINIC whois
- بالنسبة للتفويض العكسي / 24 ، يجب تسجيل تخصيص واحد أو تخصيص فرعي واحد على الأقل في قاعدة بيانات AFRINIC لذلك المعين / 24. كامل / 24 ليس من الضروري أن يتم تعيين من أجل السماح للتفويض العكسي.
2. القسم 10.7 - استبعاد الوفود "العرجاء"
ما هو عرجاء الوفد؟
يعتبر خادم اسم DNS عرجاء عندما لا يستجيب بشكل كاف لاستفسارات DNS إما عن طريق:
- لا يستجيب على الإطلاق.
- الاستجابة بطريقة ما ، ولكن ليس للمجال المحدد الذي تم الاستعلام عنه.
- الرد على المجال الصحيح ، ولكن دون تعيين بت السلطة.
يمكن أن تؤدي وفود عرجاء إلى:
- الحرمان من بعض الخدمات والتأخير بسبب أعطال DNS.
- يمكن أن تؤدي المهلات من الخوادم غير المستجيبة إلى زيادة حركة مرور DNS بين التخزين المؤقت وخوادم DNS الموثوقة ، مما يؤدي إلى تحميل محتمل على البنية التحتية وزيادة تكاليف التشغيل.
ما يمكن أن يفعله العضو؟ (اختبار التفويض عرجاء)
قامت AFRINIC بتطوير أداة لاختبار تفويضات DNS الضعيفة داخل النطاقات in-addr.arpa و ipv6.arpa. https://afrinic.net/whois/lame
إذا تم تحديد سمة "nserver" معينة على أنها أعرج لكائن مجال معين ، يُنصح الأعضاء
- تكوين خوادم الأسماء الموثوقة للمناطق ذات الصلة
- قم بتحرير قائمة خوادم الأسماء في سمات "nserver" لكائنات "المجال" ذات الصلة. يمكن تحديث الكائنات ذات التفويضات العرجاء بإحدى آليات التفاعل مع WHOIS قاعدة البيانات المحددة أعلاه.
حل التفويضات العرجاء
عمليات DNS هي خدمات مهمة للإنترنت جيد الأداء ومن ثم لضمان خدمة DNS فعالة ، نفذت AFRINIC إجراءً آليًا لمساعدة أعضاء الموارد على تحديد مشكلات التفويض الضعيفة وإصلاحها. في حالة الفشل في إصلاح المشكلات ، تتم إزالة تفويضات DNS العرجاء المستمرة بما يتماشى مع قسم CPM 10.7 للحفاظ على بيانات تفويض DNS العكسية الدقيقة.
يمكن قراءة المزيد من التفاصيل حول نهج فحص "العرج" الكامل وجدول الإخطار اضغط هنا.