서버 로그의 (네트워크에 연결할 수 없음) 오류

Centos의 메시지 로그 파일에 네트워크에 연결할 수없는 라인이 많이 있습니다. 그들은 왜 내 서버가 먼저 그들에게 서버를 해결 해야하는지 전혀 모르는 특정 주소로 해결할 수없는 것 같습니다. 누구든지 그러한 오류의 근원을 알려 줄 수 있습니까? 내가 공격을 받고 있습니까?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

그런데 named.conf의 옵션은 도움이된다면 다음과 같습니다.

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

도와주세요!

모든 주소는 IPv6입니다. IPv6 문제인 것 같습니다. IPv6 네트워킹이 구성되어 있지 않을 수 있습니다. 바인드에서 IPv6 지원 비활성화 :

/ etc / sysconfig / named를 편집하고 설정하십시오 :

OPTIONS="-4"

그런 다음 바인드를 다시 시작하십시오.

service named restart

( http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos에서 )

당신은 공격을 받고 있습니까? 네가 타협 된 것 같아 이러한 메시지는 실행중인 서비스에 따라 정상일 수 있습니다 (어쨌든 모든 서버는 항상 공격을 시도하고 사람들은 모든 서버에서 익스플로잇을 시도합니다).

systemd를 사용하는 Debian Jessie에서는 -4옵션 /etc/default/bind9이 무시 될 수 있습니다. 버그 # 767798을 참조하십시오 .

이 경우 systemd bind9.service파일 을 수정해야 합니다.

bind9.service를 이동하여 갱신시 겹쳐 쓰지 않도록하십시오.

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

system/bind9.service의 옵션을 사용하도록 편집하십시오 /etc/default/bind9.

$EDITOR system/bind9.service

를 추가 EnvironmentFile=-/etc/default/bind9하고 수정 ExecStart하여 포함하십시오 $OPTIONS. ( -u bind데비안에서는 이미 포함되어 있기 때문에를 제거합니다 . $OPTIONS)

-fsystemd에 필요한 옵션 을 유지하십시오 . diff예를 보려면 다음 을 참조하십시오 .

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

그리고 마지막으로

systemctl reenable bind9.service
service bind9 restart

이 문제는 Centos의 BIND 업데이트로 인해 발생하며 IPv4 및 IPv4를 사용하려고합니다.

이를 수정하는 가장 좋은 방법은 IPv6을 사용하거나 IPv4 만 사용하도록 바인드를 구성하는 것입니다.

/etc/named.conf 세트에서

OPTIONS="-4"

시작시 IPv6 사용을 중지하고 DNS를 다시 시작합니다.

restart라는 서비스

16.04보다 우분투 순서 : sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

좋은 옵션입니다.이 로그 중 일부는 온라인 IPv6 인터페이스가 없기 때문에 www.internic.net/zones에서 제공하는 named.root 서버를 사용할 때이 로그가 나타납니다.

내가 한 것은 named.conf 파일의 전달자 스탠자와 작업하는 것이 었고이 로그는 더 이상 또는 지금까지 나타나지 않았습니다.

여기 내 named.conf 파일의 일부입니다. 보시다시피, Zone Hints Section을 주석 처리했습니다. 그리고 특정 스탠바이에서 작업하고 있기 때문에 다른 스탠자.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

나에게이 메시지로 인한 문제는 조금 더 심각했다. 서버와 인터넷 연결이 끊어지면 초당 많은 수를 얻게됩니다. 오랫동안 연결이 끊어지면 디스크를 채울 수 있습니다.

확실한 해결책은 다른 솔루션에서 언급 한 IPv6뿐만 아니라 모든 프로토콜에 대해이 특정 메시지를 끄는 것입니다. 바인드에서 특정 메시지를 끌 수 없으므로 가능한 한 가깝습니다.

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};