W pliku dziennika komunikatów Centos pojawia się wiele nieosiągalnych linii sieciowych. Wygląda na to, że nie potrafią rozwiązać niektórych adresów, na które nie mam pojęcia, dlaczego mój serwer musi je rozwiązać. Czy ktoś mógłby dać mi znać przyczynę takiego błędu? Czy jestem atakowany?
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]
Nawiasem mówiąc, opcje mojego named.conf są jak poniżej, jeśli są pomocne:
options {
//listen-on port 53 { 127.0.0.1; };
//listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
//allow-query { localhost; };
allow-recursion { localnets; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
Proszę pomóż!
linux
networking
bind
ipv6
deweloper
źródło
źródło
/etc/sysconfig/named
OPTIONS="-4"
Odpowiedzi:
Wszystkie adresy są IPv6. Wygląda na problem z IPv6, prawdopodobnie nie masz skonfigurowanej sieci IPv6. Wyłącz suport IPv6 w Bind:
Edytuj / etc / sysconfig / named i ustaw:
Następnie uruchom ponownie powiązanie:
(z http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )
Czy jesteś atakowany? Nie sądzę, żebyś był zagrożony. Te wiadomości mogą być normalne w zależności od tego, jakie usługi uruchomisz (w każdym razie każdy serwer jest zawsze poddawany próbie ataku, ludzie skanują Internet, próbując wykorzystać exploity na każdym serwerze).
źródło
Warto zauważyć, że w Debian Jessie z systememd
-4
opcja w/etc/default/bind9
może zostać zignorowana. Zobacz błąd # 767798 .W takim przypadku musisz zmodyfikować
bind9.service
plik systemowy :Przenieś plik bind9.service, aby uniknąć nadpisywania go podczas aktualizacji
Edytuj,
system/bind9.service
aby użyć opcji w/etc/default/bind9
.Dodaj
EnvironmentFile=-/etc/default/bind9
i zmodyfikuj,ExecStart
aby uwzględnić$OPTIONS
. (Usuwam-u bind
, ponieważ w Debianie jest już uwzględniony w$OPTIONS
)Pamiętaj, aby zachować
-f
opcję wymaganą dla systemd. Zobacz todiff
na przykład:I w końcu
źródło
/etc/default/bind9
Problem jest spowodowany aktualizacją BIND w Centos, próbuje on używać zarówno IPv6, jak i IPv4.
Najlepszym sposobem, aby to naprawić, jest albo użycie protokołu IPv6, albo skonfigurowanie powiązania, aby korzystało tylko z protokołu IPv4
w zestawie /etc/named.conf
OPTIONS="-4"
Spowoduje to zatrzymanie go przy użyciu IPv6 podczas uruchamiania i zrestartowanie DNS
usługa o nazwie restart
źródło
Dla zamówienia Ubuntu niż 16.04: sudo vi / etc / default / bind9
OPTIONS="-4 -u bind"
źródło
Fajne opcje, zdałem sobie sprawę, że ten dziennik pojawia się, gdy używasz serwerów named.root dostarczonych przez www.internic.net/zones, ponieważ niektóre z tych serwerów nie mają internetowych interfejsów IPv6.
To, co zrobiłem, to praca z sekcją forwarderów w moim pliku named.conf, a ten dziennik już się nie pojawił lub przynajmniej do tej pory.
Oto część mojego pliku named.conf. Jak widać, skomentowałem sekcję Wskazówki dotyczące stref. I inne zwrotki, ponieważ pracuję nad konkretną konfiguracją.
źródło
-4
opcja ta ma znacznie większy sens niż całkowita zmiana sposobu działania BIND. O ile oczywiście nie istniał jakiś powód, dla którego korzystanie z usług przesyłania dalej było pożądane.Dla mnie problem spowodowany tą wiadomością był nieco poważniejszy. Gdy serwer jest odłączony od Internetu, dostajesz wiele z nich na sekundę. Jeśli jesteś rozłączony przez długi czas, mogą zapełnić dysk.
Oczywistym rozwiązaniem jest wyłączenie tego konkretnego komunikatu, nie tylko dla IPv6, jak wspomniano w innych rozwiązaniach, ale dla wszystkich protokołów. Nie możesz wyłączyć określonej wiadomości w powiązaniu, więc jest to tak blisko, jak to możliwe:
źródło