erro (rede inacessível) nos logs do meu servidor

20

Estou recebendo muitas linhas inacessíveis da rede no arquivo de log de mensagens do meu Centos. Parece que eles não podem resolver para determinados endereços que eu não tenho nenhuma idéia de por que meu servidor precisa resolver para eles em primeiro lugar. Alguém poderia me informar a origem desse erro? Estou sob ataque?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

A propósito, as opções do meu named.conf são as seguintes, se forem de alguma ajuda:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Por favor ajude!

linux networking bind ipv6 desenvolvedor
fonte
11
você pode postar trechos do arquivo de log na sua pergunta, mostrando as mensagens que está vendo?
Fegnoid
@Fegnoid Hi. Os códigos estão anexados. Desculpe.
desenvolvedor
11
você está usando um servidor DNS de ligação? se assim você pode precisar mudá-lo apenas para usar IPv4 adicionando ao arranque bind, editar /etc/sysconfig/namede adicionar a linha OPTIONS="-4", em seguida, reiniciar o servidor BIND
Fegnoid
Sim eu quero. Vou verificar isso. Mas por que vejo isso no meu arquivo de log recentemente?
desenvolvedor
você atualizou o Centos recentemente?
Fegnoid

Respostas:

22

Todos os endereços são IPv6. Parece um problema de IPv6, você provavelmente não tem rede IPv6 configurada. Desabilite o suporte ao IPv6 no Bind:

Edite / etc / sysconfig / named e defina:

OPTIONS="-4"

Em seguida, reinicie o bind:

service named restart

(em http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Você está sob ataque? Eu não acho que você foi comprometida. Essas mensagens podem ser normais, dependendo de quais serviços você está executando (de qualquer forma, qualquer servidor está sempre sob alguma tentativa de ataque, as pessoas varrem a Internet tentando fazer explorações em todos os servidores).

jjmontes
fonte
Oi. O fato é que eu não tinha esses alertas até ontem. Quero dizer, começou ontem de repente. Além do mais, acho que de uma forma ou de outra é responsável pela carga pesada do meu servidor ontem. Ainda tenho a seguinte pergunta: por que, por exemplo, meu servidor deseja se conectar ao adobe.com? Não há elementos no meu site ou servidor relacionados ao adobe.
desenvolvedor
Ei, eu tentei isso, mas quando tento reiniciar o servidor DNS, estou recebendo esta mensagem: prntscr.com/cdxz2e Você tem uma idéia sobre isso?
Tolgay Toklar 4/16
O arquivo é / etc / default / bind9 no Ubuntu / Debian; adicione "-4" às OPÇÕES
ArunasR 2/18/18
14

Pode ser interessante notar que no Debian Jessie com systemd, a -4opção in /etc/default/bind9pode ser ignorada. Veja o bug # 767798 .

Nesse caso, você precisa modificar o bind9.servicearquivo systemd :

Mova o bind9.service para evitar que ele seja sobrescrito nas atualizações

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

Edite system/bind9.servicepara usar as opções em /etc/default/bind9.

$EDITOR system/bind9.service

Adicione EnvironmentFile=-/etc/default/bind9e modifique ExecStartpara incluir $OPTIONS. (Eu removo -u bind, porque no Debian, ele já está incluído $OPTIONS)

Certifique-se de manter a -fopção necessária para o systemd. Veja isto diffpara um exemplo:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

E finalmente

systemctl reenable bind9.service
service bind9 restart
mivk
fonte
11
Ele bateu-me também sobre o servidor Ubuntu 16.04
neutrinus
11
Note que o bug mencionado foi corrigido a essa /etc/default/bind9
Elrond
4

O problema é causado por uma atualização do BIND no Centos, que tenta usar o IPv6 e o ​​IPv4.

A melhor maneira de corrigi-lo é usar o IPv6 ou configurar a ligação para usar apenas o IPv4

em /etc/named.conf set

OPTIONS="-4"

Isso interromperá o uso do IPv6 na inicialização e reiniciará o DNS

serviço chamado restart

Fegnoid
fonte
Oi. Obrigado por responder. Eu já desabilitei o IPV6 seguindo o tutorial aqui. wiki.centos.org/FAQ/… Preciso aplicar a alteração acima também?
desenvolvedor
4

Para a ordem do ubuntu que 16.04: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

okwap
fonte
2
Não sei por que essa resposta foi reduzida, eu tenho 14.04.5 e o arquivo de configuração está de fato em um local diferente do que na resposta do jjmontes. A resposta da Okwap é uma adição válida, certo?
Moolie 26/04
2

Boas opções, percebi que esse log aparece quando você usa os servidores named.root fornecidos por www.internic.net/zones, porque alguns desses servidores não possuem interfaces IPv6 online.

O que fiz foi trabalhar com a sub-rotina de encaminhadores no meu arquivo named.conf e esse log não apareceu mais ou pelo menos até agora.

Aqui está parte do meu arquivo named.conf. Como você pode ver, comentei a Seção de Dicas de Zona. E outras estrofes, porque estou trabalhando em uma configuração específica.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
Daniel Jackson
fonte
Eu acho que, como uma maneira de lidar com a falta de conectividade IPv6 global, a -4opção faz muito mais sentido do que mudar completamente a maneira como o BIND opera. A menos que, é claro, houvesse alguma razão pela qual o uso de encaminhadores era desejável em primeiro lugar.
Håkan Lindqvist
2

Para mim, o problema causado por esta mensagem foi um pouco mais sério. Quando o servidor está desconectado da Internet, você obtém muitos deles por segundo. Se você ficar desconectado por um longo período, eles poderão encher o disco.

A solução óbvia é desativar essa mensagem específica, não apenas para o IPv6, como mencionado nas outras soluções, mas para todos os protocolos. Você não pode desativar uma mensagem específica no bind, portanto, isso é o mais próximo possível:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
Russell Stuart
fonte