Centosのメッセージログファイルに多数のネットワーク到達不能行が含まれています。彼らは特定のアドレスに解決できないようですが、なぜ私のサーバーはなぜ最初にそれらに解決しなければならないのか、私には何の考えもありません。誰かがそのようなエラーの原因を教えてもらえますか?私は攻撃を受けていますか?
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]
ちなみに、私のnamed.confのオプションは、役立つ場合は以下のとおりです。
options {
//listen-on port 53 { 127.0.0.1; };
//listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
//allow-query { localhost; };
allow-recursion { localnets; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
助けてください!
アドレスはすべてIPv6です。 IPv6の問題のようです。おそらくIPv6ネットワークが構成されていません。バインドでIPv6サポートを無効にします。
/ etc/sysconfig/namedを編集して設定します。
OPTIONS="-4"
次にバインドを再開します。
service named restart
( http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos から)
あなたは攻撃を受けていますか?妥協はしていないと思います。これらのメッセージは、実行しているサービスによっては正常である可能性があります(とにかく、どのサーバーも常に攻撃の試みを受けており、すべてのサーバーでエクスプロイトを試みてインターネットをスキャンしています)。
Systemdを使用したDebian Jessieでは、-4
の/etc/default/bind9
オプションが無視される可能性があることに注意してください。 バグ#767798 を参照してください。
その場合は、systemd bind9.service
ファイルを変更する必要があります。
Bind9.serviceを移動して、更新時に上書きされないようにします
cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/
system/bind9.service
を編集して、/etc/default/bind9
のオプションを使用します。
$EDITOR system/bind9.service
EnvironmentFile=-/etc/default/bind9
を追加し、ExecStart
を変更して$OPTIONS
を含めます。 (私は-u bind
を削除します。これは、Debianでは$OPTIONS
にすでに含まれているためです)
Systemdに必要な-f
オプションを必ず保持してください。例については、このdiff
を参照してください。
# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service
--- /lib/systemd/system/bind9.service 2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service 2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
[Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
ExecReload=/usr/sbin/rndc reload
そして最後に
systemctl reenable bind9.service
service bind9 restart
この問題はCentosのBINDへの更新が原因で発生し、IPv4だけでなくIPv6も使用しようとします。
それを修正する最良の方法は、IPv6を使用するか、IPv4のみを使用するようにバインドを構成することです
/etc/named.confセット内
OPTIONS="-4"
起動時にIPv6を使用して停止し、DNSを再起動します
restartという名前のサービス
16.04よりもUbuntuの注文の場合:Sudo vi/etc/default/bind9
OPTIONS="-4 -u bind"
私にとって、このメッセージによって引き起こされる問題はもう少し深刻でした。サーバーがインターネットから切断されると、毎秒これらの多くを取得します。長時間切断されていると、ディスクがいっぱいになる可能性があります。
明白な解決策は、この特定のメッセージをオフにすることです。これは、他のソリューションで言及されているIPv6だけでなく、すべてのプロトコルに対してです。 bindで特定のメッセージをオフにすることはできないため、これは取得できる限り近くなります。
logging {
category lame-servers { default_debug; quiet_syslog; };
channel quiet_syslog { severity notice; syslog daemon; };
};
素敵なオプションです。www.internic.net/ zonesによって提供されるnamed.rootサーバーを使用すると、このサーバーの一部にオンラインIPv6インターフェースがないため、このログが表示されることがわかりました。
私がやったのは、named.confファイルのフォワーダースタンザを操作することでした。このログはもう表示されないか、少なくとも今のところ表示されません。
これが私のnamed.confファイルの一部です。ご覧のとおり、ゾーンヒントセクションをコメントアウトしました。そして、私は特定のセットアップに取り組んでいるので、他のスタンザ。
// Start the options clauses
options {
listen-on-v6 {
none;
};
listen-on port 53 {
127.0.0.1;
192.168.1.0/24;
};
directory "/var/named";
// tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
version "Not Currently Available";
auth-nxdomain yes;
empty-zones-enable no;
notify no;
forwarders {
208.67.220.220;
208.67.222.222;
};
allow-query {
127.0.0.1;
192.168.1.0/24;
};
allow-recursion {
127.0.0.1;
192.168.1.0/24;
};
allow-transfer {
none;
};
};
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// type hint;
// file "named.root";
// };