web-dev-qa-db-ja.com

(ネットワークに到達できません)サーバーログのエラー

Centosのメッセージログファイルに多数のネットワーク到達不能行が含まれています。彼らは特定のアドレスに解決できないようですが、なぜ私のサーバーはなぜ最初にそれらに解決しなければならないのか、私には何の考えもありません。誰かがそのようなエラーの原因を教えてもらえますか?私は攻撃を受けていますか?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

ちなみに、私のnamed.confのオプションは、役立つ場合は以下のとおりです。

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

助けてください!

21
developer

アドレスはすべてIPv6です。 IPv6の問題のようです。おそらくIPv6ネットワークが構成されていません。バインドでIPv6サポートを無効にします。

/ etc/sysconfig/namedを編集して設定します。

OPTIONS="-4"

次にバインドを再開します。

service named restart

http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos から)

あなたは攻撃を受けていますか?妥協はしていないと思います。これらのメッセージは、実行しているサービスによっては正常である可能性があります(とにかく、どのサーバーも常に攻撃の試みを受けており、すべてのサーバーでエクスプロイトを試みてインターネットをスキャンしています)。

24
jjmontes

Systemdを使用したDebian Jessieでは、-4/etc/default/bind9オプションが無視される可能性があることに注意してください。 バグ#767798 を参照してください。

その場合は、systemd bind9.serviceファイルを変更する必要があります。

Bind9.serviceを移動して、更新時に上書きされないようにします

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

system/bind9.serviceを編集して、/etc/default/bind9のオプションを使用します。

$EDITOR system/bind9.service

EnvironmentFile=-/etc/default/bind9を追加し、ExecStartを変更して$OPTIONSを含めます。 (私は-u bindを削除します。これは、Debianでは$OPTIONSにすでに含まれているためです)

Systemdに必要な-fオプションを必ず保持してください。例については、このdiffを参照してください。

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

そして最後に

systemctl reenable bind9.service
service bind9 restart
15
mivk

この問題はCentosのBINDへの更新が原因で発生し、IPv4だけでなくIPv6も使用しようとします。

それを修正する最良の方法は、IPv6を使用するか、IPv4のみを使用するようにバインドを構成することです

/etc/named.confセット内

OPTIONS="-4"

起動時にIPv6を使用して停止し、DNSを再起動します

restartという名前のサービス

4
Fegnoid

16.04よりもUbuntuの注文の場合:Sudo vi/etc/default/bind9

OPTIONS="-4 -u bind"

4
okwap

私にとって、このメッセージによって引き起こされる問題はもう少し深刻でした。サーバーがインターネットから切断されると、毎秒これらの多くを取得します。長時間切断されていると、ディスクがいっぱいになる可能性があります。

明白な解決策は、この特定のメッセージをオフにすることです。これは、他のソリューションで言及されているIPv6だけでなく、すべてのプロトコルに対してです。 bindで特定のメッセージをオフにすることはできないため、これは取得できる限り近くなります。

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
2
Russell Stuart

素敵なオプションです。www.internic.net/ zonesによって提供されるnamed.rootサーバーを使用すると、このサーバーの一部にオンラインIPv6インターフェースがないため、このログが表示されることがわかりました。

私がやったのは、named.confファイルのフォワーダースタンザを操作することでした。このログはもう表示されないか、少なくとも今のところ表示されません。

これが私のnamed.confファイルの一部です。ご覧のとおり、ゾーンヒントセクションをコメントアウトしました。そして、私は特定のセットアップに取り組んでいるので、他のスタンザ。

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
2
Daniel Jackson