Błąd (niedostępna sieć) w dziennikach mojego serwera

20

W pliku dziennika komunikatów Centos pojawia się wiele nieosiągalnych linii sieciowych. Wygląda na to, że nie potrafią rozwiązać niektórych adresów, na które nie mam pojęcia, dlaczego mój serwer musi je rozwiązać. Czy ktoś mógłby dać mi znać przyczynę takiego błędu? Czy jestem atakowany?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

Nawiasem mówiąc, opcje mojego named.conf są jak poniżej, jeśli są pomocne:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Proszę pomóż!

linux networking bind ipv6 deweloper
źródło
1
czy możesz opublikować fragmenty z pliku dziennika w swoim pytaniu, pokazując wyświetlane wiadomości?
Fegnoid
@Fegnoid Hi. Kody są dołączone. Przepraszam.
programista
1
używasz powiązanego serwera DNS? jeśli tak, być może trzeba go zmienić, aby używał tylko IPv4, dodając do uruchamiania powiązania, /etc/sysconfig/namedOPTIONS="-4"
edytując
Tak. Sprawdzę to. Ale dlaczego widzę to niedawno w moim pliku dziennika?
programista
czy ostatnio aktualizowałeś Centos?
Fegnoid

Odpowiedzi:

22

Wszystkie adresy są IPv6. Wygląda na problem z IPv6, prawdopodobnie nie masz skonfigurowanej sieci IPv6. Wyłącz suport IPv6 w Bind:

Edytuj / etc / sysconfig / named i ustaw:

OPTIONS="-4"

Następnie uruchom ponownie powiązanie:

service named restart

(z http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Czy jesteś atakowany? Nie sądzę, żebyś był zagrożony. Te wiadomości mogą być normalne w zależności od tego, jakie usługi uruchomisz (w każdym razie każdy serwer jest zawsze poddawany próbie ataku, ludzie skanują Internet, próbując wykorzystać exploity na każdym serwerze).

jjmontes
źródło
Cześć. Faktem jest, że nie otrzymałem tych powiadomień do wczoraj. To znaczy, zaczęło się wczoraj nagle. Co więcej, myślę, że w ten czy inny sposób odpowiada wczoraj na duże obciążenie mojego serwera. Nadal mam pytanie: dlaczego, na przykład, mój serwer chce się połączyć z adobe.com? Na mojej stronie lub serwerze nie ma elementów związanych z Adobe.
programista
Hej, próbowałem tego, ale kiedy próbuję zrestartować serwer dns, otrzymuję ten komunikat: prntscr.com/cdxz2e Czy masz o tym pomysł?
Tolgay Toklar
Plik to / etc / default / bind9 na Ubuntu / Debian; dodaj „-4” do OPCJI
ArunasR
14

Warto zauważyć, że w Debian Jessie z systememd -4opcja w /etc/default/bind9może zostać zignorowana. Zobacz błąd # 767798 .

W takim przypadku musisz zmodyfikować bind9.serviceplik systemowy :

Przenieś plik bind9.service, aby uniknąć nadpisywania go podczas aktualizacji

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

Edytuj, system/bind9.serviceaby użyć opcji w /etc/default/bind9.

$EDITOR system/bind9.service

Dodaj EnvironmentFile=-/etc/default/bind9i zmodyfikuj, ExecStartaby uwzględnić $OPTIONS. (Usuwam -u bind, ponieważ w Debianie jest już uwzględniony w $OPTIONS)

Pamiętaj, aby zachować -fopcję wymaganą dla systemd. Zobacz to diffna przykład:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

I w końcu

systemctl reenable bind9.service
service bind9 restart
mivk
źródło
1
Uderzyło mnie to także na serwerze Ubuntu 16.04
neutrinus
1
Zauważ, że wspomniany błąd został już naprawiony, aw ostatnim Debianie możesz tylko ponownie edytować/etc/default/bind9
Elrond
4

Problem jest spowodowany aktualizacją BIND w Centos, próbuje on używać zarówno IPv6, jak i IPv4.

Najlepszym sposobem, aby to naprawić, jest albo użycie protokołu IPv6, albo skonfigurowanie powiązania, aby korzystało tylko z protokołu IPv4

w zestawie /etc/named.conf

OPTIONS="-4"

Spowoduje to zatrzymanie go przy użyciu IPv6 podczas uruchamiania i zrestartowanie DNS

usługa o nazwie restart

Fegnoid
źródło
Cześć. Dzięki za odpowiedź. Wyłączyłem już IPV6, wykonując samouczek tutaj. wiki.centos.org/FAQ/… Czy muszę również zastosować powyższą zmianę?
programista
4

Dla zamówienia Ubuntu niż 16.04: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

okwap
źródło
2
Nie wiem, dlaczego ta odpowiedź została odrzucona, mam 14.04.5, a plik konfiguracyjny rzeczywiście znajduje się w innym miejscu niż w odpowiedzi JJmontes. Odpowiedź Okwap jest ważnym dodatkiem, prawda?
Moolie,
2

Fajne opcje, zdałem sobie sprawę, że ten dziennik pojawia się, gdy używasz serwerów named.root dostarczonych przez www.internic.net/zones, ponieważ niektóre z tych serwerów nie mają internetowych interfejsów IPv6.

To, co zrobiłem, to praca z sekcją forwarderów w moim pliku named.conf, a ten dziennik już się nie pojawił lub przynajmniej do tej pory.

Oto część mojego pliku named.conf. Jak widać, skomentowałem sekcję Wskazówki dotyczące stref. I inne zwrotki, ponieważ pracuję nad konkretną konfiguracją.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
Daniel Jackson
źródło
Myślę, że jako sposób radzenia sobie z brakiem globalnej łączności IPv6, -4opcja ta ma znacznie większy sens niż całkowita zmiana sposobu działania BIND. O ile oczywiście nie istniał jakiś powód, dla którego korzystanie z usług przesyłania dalej było pożądane.
Håkan Lindqvist
2

Dla mnie problem spowodowany tą wiadomością był nieco poważniejszy. Gdy serwer jest odłączony od Internetu, dostajesz wiele z nich na sekundę. Jeśli jesteś rozłączony przez długi czas, mogą zapełnić dysk.

Oczywistym rozwiązaniem jest wyłączenie tego konkretnego komunikatu, nie tylko dla IPv6, jak wspomniano w innych rozwiązaniach, ale dla wszystkich protokołów. Nie możesz wyłączyć określonej wiadomości w powiązaniu, więc jest to tak blisko, jak to możliwe:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
Russell Stuart
źródło