web-dev-qa-db-ja.com

syslogにFORMERRエラーをバインドする

最近、障害が発生したルーターを交換しました...そしてしばらくして、/ var/log/syslogで報告された多くの(少なくともクエリの数より1桁またはそれ以上の)エラーが次の形式で見つかりました:

Mar 18 19:53:20 kenneth named[4022]: DNS format error from 192.112.36.4#53 resolving ./NS: non-improving referral
Mar 18 19:53:20 kenneth named[4022]: error (FORMERR) resolving './NS/IN': 192.112.36.4#53

Bind.confに次のものが含まれていることは重要です。

dnssec-enable no;
dnssec-validation no;

これは、UDPデータグラムを破壊する新しいルーターなどの問題の可能性がありますか?新しいルーターは(安価な)Netgear WNR854Tで、最新のファームウェアが適用されています。

上記から明らかでない場合、誰でもこの障害を診断する最善の方法を提案できますか?

-追加の詳細-これは、解決すべきと確信している住所に対するDigからの典型的な応答です。

$ Dig A barclays.co.uk                                         ~

; <<>> Dig 9.8.1-P1 <<>> A barclays.co.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22161
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;barclays.co.uk.                        IN      A

;; Query time: 84 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Mar 20 23:08:40 2013
;; MSG SIZE  rcvd: 32
$
3
aSteve

ネットワーク要素(ルーターなど)がUDP DNSトラフィックを切り捨てているか破損していると思われる場合は、次のことを試してください。

  1. Digを使用して同じクエリを再度実行し、応答コードとしてFORMERRも取得しているかどうかを確認します。 Dig(適切なオプションを使用)は、再帰サーバーと同様に機能しますが、プロセスの可視性が向上します。
  2. DigでFORMERRが発生する場合は、Dig + tcpを試し、エラーが続くかどうかを確認します(UDPの問題を除外するため)。
  3. Wiresharkまたは別のスニファを使用して、クエリを満たすために再帰的にサーバーが受信しているものをキャプチャします。

ログ内のすべてのFORMERRエラーは、改善されていない紹介に不満を持っていますか? Digはこれらのエラーメッセージを生成するクエリの「追加」セクションに何と言っていますか?

最後に、まだ言及していないスタブゾーンまたは転送優先ゾーンまたは転送専用ゾーンがセットアップされていますか?

2
Michael McNally

インドネシアを訪問していますが、オペレーター/政府がDNSを妨害しているため、これらのメッセージが表示されます。 DNSSECが検証に失敗し、ルートサーバーに直接アクセスすると、FORMERRメッセージがログに記録されます(bind9、DNSクエリごとに13メッセージ)。この例のアドレスはDNSルートサーバーGです。

0
user1497298