서버 로그의 (네트워크에 연결할 수 없음) 오류


20

Centos의 메시지 로그 파일에 네트워크에 연결할 수없는 라인이 많이 있습니다. 그들은 왜 내 서버가 먼저 그들에게 서버를 해결 해야하는지 전혀 모르는 특정 주소로 해결할 수없는 것 같습니다. 누구든지 그러한 오류의 근원을 알려 줄 수 있습니까? 내가 공격을 받고 있습니까?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

그런데 named.conf의 옵션은 도움이된다면 다음과 같습니다.

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

도와주세요!


1
질문의 로그 파일에서 스 니펫을 게시하여보고있는 메시지를 표시 할 수 있습니까?
Fegnoid

안녕하십니까. 코드가 첨부되어 있습니다. 죄송합니다.
개발자

1
바인드 DNS 서버를 사용하고 있습니까? 그렇다면 바인드 시작에 추가하여 IPv4 만 사용하도록 변경해야 할 수도 /etc/sysconfig/named있습니다. 라인 OPTIONS="-4"을 편집 하고 추가 한 다음 바인드 서버를 다시 시작하십시오.
Fegnoid

네 저도 그렇습니다. 확인해 볼게요 하지만 최근에 로그 파일에 왜 표시됩니까?
개발자

최근 Centos를 업데이트하셨습니까?
Fegnoid

답변:


22

모든 주소는 IPv6입니다. IPv6 문제인 것 같습니다. IPv6 네트워킹이 구성되어 있지 않을 수 있습니다. 바인드에서 IPv6 지원 비활성화 :

/ etc / sysconfig / named를 편집하고 설정하십시오 :

OPTIONS="-4"

그런 다음 바인드를 다시 시작하십시오.

service named restart

( http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos에서 )

당신은 공격을 받고 있습니까? 네가 타협 된 것 같아 이러한 메시지는 실행중인 서비스에 따라 정상일 수 있습니다 (어쨌든 모든 서버는 항상 공격을 시도하고 사람들은 모든 서버에서 익스플로잇을 시도합니다).


안녕하세요. 사실 어제까지 이러한 경고가 없었습니다. 어제 갑자기 시작 됐어요 더군다나, 어제 서버의로드가 많은 방법이라고 생각합니다. 여전히이 질문이 있습니다. 예를 들어 왜 내 서버가 adobe.com에 연결하려고합니까? 내 사이트 또는 서버에는 Adobe와 관련된 요소가 없습니다.
개발자

이봐, 나는 이것을 시도했지만 dns 서버를 다시 시작하려고하면이 메시지가 나타납니다 : prntscr.com/cdxz2e 당신은 그것에 대한 아이디어가 있습니까?
Tolgay Toklar

파일은 Ubuntu / Debian에서 / etc / default / bind9입니다. OPTIONS에 "-4"를 추가
ArunasR

14

systemd를 사용하는 Debian Jessie에서는 -4옵션 /etc/default/bind9이 무시 될 수 있습니다. 버그 # 767798을 참조하십시오 .

이 경우 systemd bind9.service파일 을 수정해야 합니다.

bind9.service를 이동하여 갱신시 겹쳐 쓰지 않도록하십시오.

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

system/bind9.service의 옵션을 사용하도록 편집하십시오 /etc/default/bind9.

$EDITOR system/bind9.service

를 추가 EnvironmentFile=-/etc/default/bind9하고 수정 ExecStart하여 포함하십시오 $OPTIONS. ( -u bind데비안에서는 이미 포함되어 있기 때문에를 제거합니다 . $OPTIONS)

-fsystemd에 필요한 옵션 을 유지하십시오 . diff예를 보려면 다음 을 참조하십시오 .

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

그리고 마지막으로

systemctl reenable bind9.service
service bind9 restart

1
그것은 또한 우분투 서버 16.04에서
7

1
언급 된 버그는 현재와 최근 데비안에서 수정되었습니다/etc/default/bind9
Elrond

4

이 문제는 Centos의 BIND 업데이트로 인해 발생하며 IPv4 및 IPv4를 사용하려고합니다.

이를 수정하는 가장 좋은 방법은 IPv6을 사용하거나 IPv4 만 사용하도록 바인드를 구성하는 것입니다.

/etc/named.conf 세트에서

OPTIONS="-4"

시작시 IPv6 사용을 중지하고 DNS를 다시 시작합니다.

restart라는 서비스


안녕하세요. 답장을 보내 주셔서 감사합니다. 튜토리얼을 따라 IPV6을 이미 비활성화했습니다. wiki.centos.org/FAQ/… 위의 변경 사항도 적용해야합니까?
개발자

4

16.04보다 우분투 순서 : sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"


2
이 답변이 다운 투표 된 이유를 모르겠습니다 .14.04.5이며 구성 파일은 실제로 jjmontes 답변과 다른 위치에 있습니다. Okwap의 답변은 유효한 추가 권리입니까?
Moolie

2

좋은 옵션입니다.이 로그 중 일부는 온라인 IPv6 인터페이스가 없기 때문에 www.internic.net/zones에서 제공하는 named.root 서버를 사용할 때이 로그가 나타납니다.

내가 한 것은 named.conf 파일의 전달자 스탠자와 작업하는 것이 었고이 로그는 더 이상 또는 지금까지 나타나지 않았습니다.

여기 내 named.conf 파일의 일부입니다. 보시다시피, Zone Hints Section을 주석 처리했습니다. 그리고 특정 스탠바이에서 작업하고 있기 때문에 다른 스탠자.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

글로벌 IPv6 연결을 사용하지 않는 -4방법으로 BIND 작동 방식을 완전히 변경하는 것보다는이 옵션이 더 의미가 있다고 생각 합니다. 물론 전달자를 사용하는 것이 바람직한 이유가 몇 가지 없었습니다.
Håkan Lindqvist 2016 년

2

나에게이 메시지로 인한 문제는 조금 더 심각했다. 서버와 인터넷 연결이 끊어지면 초당 많은 수를 얻게됩니다. 오랫동안 연결이 끊어지면 디스크를 채울 수 있습니다.

확실한 해결책은 다른 솔루션에서 언급 한 IPv6뿐만 아니라 모든 프로토콜에 대해이 특정 메시지를 끄는 것입니다. 바인드에서 특정 메시지를 끌 수 없으므로 가능한 한 가깝습니다.

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.