web-dev-qa-db-ja.com

エラー(ネットワークに到達できません)の解決

ログを調べたところ、Bind 9の専門家ではありませんが、サーバーの一部が侵害されている可能性があることに気づきました。これを防ぐために何を修正すればよいかわかりません。

Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.gamasutra.com/A/IN': 2001:4800:7814:0:5008:8553:ff04:b151#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/A/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/AAAA/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e1405ce60: www.gamasutra.com A: no valid signature found
Oct 24 14:16:51 ip151 named[54864]:  validating @0x7f4e1c5befc0: gamasutra.com SOA: no valid signature found
Oct 24 14:16:51 ip151 named[54864]:  validating @0x7f4e2008e200: www.gamasutra.com NSEC: no valid signature found
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/A/IN': 194.149.137.168#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/AAAA/IN': 194.149.137.168#53
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e241324c0: www.biblioteksforeningen.org AAAA: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: www.biblioteksforeningen.org A: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: biblioteksforeningen.org A: no valid signature found
Oct 24 14:17:04 ip151 named[54864]: error (network unreachable) resolving 'dsac.cn/DS/IN': 2001:dc7::1#53

私のサーバーは、知られていない人々からの名前解決でスパムされているようです。私が正しく理解していれば、サーバーを何らかの方法でプライベートに設定する必要があります。

正しい用語を使用していなくて申し訳ありません。ホストしているサイトで実際に問題になる前に、この問題をすぐに解決しようとしています。

ありがとうございました

pdate 1: -route§の結果は次のとおりです。

Destination                    Next Hop                   Flag Met Ref Use If
[::]/96                        [::]                       !n   1024 0     0 lo
0.0.0.0/96                     [::]                       !n   1024 0     0 lo
2002:x00::/24                  [::]                       !n   1024 0     0 lo
2002:xf00::/24                 [::]                       !n   1024 0     0 lo
2002:x9fe::/32                 [::]                       !n   1024 0     0 lo
2002:xc10::/28                 [::]                       !n   1024 0     0 lo
2002:x0a8::/32                 [::]                       !n   1024 0     0 lo
2002:x000::/19                 [::]                       !n   1024 0     0 lo
3ffe:xfff::/32                 [::]                       !n   1024 0     0 lo
[::]/0                         [::]                       !n   -1  113233992 lo
localhost/128                  [::]                       Un   0   116069755 lo
ipxxx.ip-17x-3x-4x.eu/128      [::]                       Un   0   1 14444 lo
ff00::/8                       [::]                       U    256 0     0 ens18
[::]/0                         [::]                       !n   -1  113233992 lo

更新2

Named.confファイルを次のように変更しただけです(すべてがファイルで明確に説明されているので、最初にそこを確認しておく必要があります)。

options {
    listen-on port 53 {
        any;
        };
//  listen-on-v6 port 53 {
//      any;
//      };

私のウェブサイトではIP V6を扱っていないため、最後の3行にコメントしました。

また、その行をyesからnoに変更しました。

`/* 
 - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
 - If you are building a RECURSIVE (caching) DNS server, you need to enable 
   recursion. 
 - If your recursive DNS server has a public IP address, you MUST enable access 
   control to limit queries to your legitimate users. Failing to do so will
   cause your server to become part of large scale DNS amplification 
   attacks. Implementing BCP38 within your network would greatly
   reduce such attack surface 
*/`
    recursion no;

それは私のサイトに影響を与えていないようです。その結果、ログは次のようになります。

Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.microscopy-uk.org.uk): query (cache) 'www.microscopy-uk.org.uk/A/IN' denied
centosbind
3
None

Oct 24 14:16:50 ip151 named [54864]: 'www.gamasutra.com/A/IN'を解決するエラー(ネットワークに到達できません):2001:4800:7814:0:5008:8553:ff04:b151#53

Oct 24 14:16:50 ip151 named [54864]: 'www.kitchenworksinc.com/A/IN':2607:f208:302 :: 2d#53の解決中にエラー(ネットワークに到達できません)

うーん、IPv6送信元アドレスからのリクエストのみで発生しているようです。したがって、あなたのサーバーはIPv6アドレスで要求をリッスンしていると思いますが、応答に到達または送信できません(network unreachable)。また、デフォルトゲートウェイやデフォルトルートがないために発生している可能性も十分にあります。

したがって、以下を確認し、実行します。

route -6

あなたは次のようなものを見るはずです

::/0                           2001:xxxx:xxxx:196::1      UG   1024 8   874 eth0

::/0ルートがない場合、これは問題です(デフォルトルートが存在しない)。そのため、IPv6クエリに応答を送信できません。

更新:

Destination                    Next Hop                   Flag Met Ref Use If
[::]/96                        [::]                       !n   1024 0     0 lo
0.0.0.0/96                     [::]                       !n   1024 0     0 lo
2002:x00::/24                  [::]                       !n   1024 0     0 lo
2002:xf00::/24                 [::]                       !n   1024 0     0 lo
2002:x9fe::/32                 [::]                       !n   1024 0     0 lo
2002:xc10::/28                 [::]                       !n   1024 0     0 lo
2002:x0a8::/32                 [::]                       !n   1024 0     0 lo
2002:x000::/19                 [::]                       !n   1024 0     0 lo
3ffe:xfff::/32                 [::]                       !n   1024 0     0 lo
[::]/0                         [::]                       !n   -1  113233992 lo
localhost/128                  [::]                       Un   0   116069755 lo
ipxxx.ip-17x-3x-4x.eu/128      [::]                       Un   0   1 14444 lo
ff00::/8                       [::]                       U    256 0     0 ens18
[::]/0                         [::]                       !n   -1  113233992 lo

まあ私が言ったように、デフォルトのルートはないので、彼らはあなたに到達することができますが、あなたはそうではありません。繰り返しますが、これらのクエリを実行したくない場合は、3つのオプションがあります。

  • ip6tablesの53ポートをブロック
  • インターフェイスのIPv6アドレスを無効にする
  • インターフェイスからIPv6アドレスを削除します

(DNSではなくWebサーバーを実行していると言ったように)いずれかのオプションスイートを選択します。それ以外の場合は、システムを離れます非常に脆弱です

3
Anirudh Malhotra

ポート53(DNS)で着信UDPトラフィックをブロックすると、うまくいくはずです。
すでに述べられていることを繰り返さないために、次を見てください 大学が宛先ポート53で着信UDPトラフィックをブロックするのはなぜですか?

0
fragamemnon

あなたのログから、私はそんなに多くのトラフィックを見ることはありません。とにかく、一部のクライアントだけにDNSサービスを提供したい場合は、jsutは名前付きACLを使用します。

これを行う方法の詳細については、この回答を確認してください:

allow-queryが "any"でない限り、バインドは機能しません

0
Fredi