(réseau inaccessible) erreur dans mes journaux de serveur

20

J'obtiens beaucoup de lignes réseau inaccessibles dans le fichier journal des messages de mon Centos. Ils semblent ne pas pouvoir se résoudre à certaines adresses que je n'ai aucune idée pourquoi mon serveur doit les résoudre en premier lieu. Quelqu'un pourrait-il me faire savoir l'origine d'une telle erreur? Suis-je sous attaque?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

Soit dit en passant, les options de mon named.conf sont les suivantes si elles peuvent vous être utiles:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Aidez-moi!

développeur
la source
1
pouvez-vous publier des extraits du fichier journal dans votre question, montrant les messages que vous voyez?
Fegnoid
@Fegnoid Hi. Les codes sont joints. Pardon.
développeur
1
utilisez-vous un serveur DNS de liaison? si c'est le cas, vous devrez peut-être le modifier pour utiliser uniquement IPv4 en l'ajoutant au démarrage de la liaison, modifier /etc/sysconfig/namedet ajouter la ligne, OPTIONS="-4"puis redémarrer le serveur de liaison
Fegnoid
Oui. Je vais vérifier ça. Mais pourquoi est-ce que je vois cela dans mon fichier journal récemment?
développeur
avez-vous mis à jour Centos récemment?
Fegnoid

Réponses:

22

Toutes les adresses sont IPv6. Semble un problème IPv6, vous n'avez probablement aucun réseau IPv6 configuré. Désactivez le support IPv6 dans Bind:

Modifiez / etc / sysconfig / named et définissez:

OPTIONS="-4"

Redémarrez ensuite bind:

service named restart

(depuis http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Êtes-vous attaqué? Je ne pense pas que vous ayez été compromis. Ces messages peuvent être normaux en fonction des services que vous exécutez (de toute façon, n'importe quel serveur fait toujours l'objet d'une tentative d'attaque, les gens scannent Internet en essayant des exploits sur chaque serveur).

jjmontes
la source
Salut. Le fait est que je n'ai reçu ces alertes qu'hier. Je veux dire, ça a commencé hier tout d'un coup. De plus, je pense que c'est d'une manière ou d'une autre responsable hier de la lourde charge de mon serveur. J'ai toujours cette question: pourquoi, par exemple, mon serveur veut se connecter à adobe.com? Il n'y a aucun élément sur mon site ou serveur lié à Adobe.
développeur
Hé, j'ai essayé mais quand j'essaye de redémarrer le serveur DNS, je reçois ce message: prntscr.com/cdxz2e Avez-vous une idée à ce sujet?
Tolgay Toklar
Le fichier est / etc / default / bind9 sur Ubuntu / Debian; ajouter "-4" aux OPTIONS
ArunasR
14

Il peut être intéressant de noter que dans Debian Jessie avec systemd, l' -4option in /etc/default/bind9peut être ignorée. Voir bug # 767798 .

Dans ce cas, vous devez modifier le bind9.servicefichier systemd :

Déplacez bind9.service pour éviter qu'il ne soit écrasé lors des mises à jour

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

Modifier system/bind9.servicepour utiliser les options de /etc/default/bind9.

$EDITOR system/bind9.service

Ajoutez EnvironmentFile=-/etc/default/bind9et modifiez ExecStartpour inclure $OPTIONS. (Je supprime -u bind, car sur Debian, il est déjà inclus dans $OPTIONS)

Assurez-vous de conserver l' -foption nécessaire pour systemd. Voir ceci diffpour un exemple:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

et enfin

systemctl reenable bind9.service
service bind9 restart
mivk
la source
1
Cela m'a aussi frappé sur le serveur Ubuntu 16.04
neutrinus
1
Notez que le bogue mentionné a été corrigé maintenant et dans la récente Debian, vous ne pouvez que modifier à nouveau/etc/default/bind9
Elrond
4

Le problème est dû à une mise à jour de BIND dans Centos, il essaie d'utiliser IPv6 ainsi que IPv4.

La meilleure façon de le résoudre est d'utiliser IPv6 ou de configurer la liaison pour utiliser uniquement IPv4

dans /etc/named.conf set

OPTIONS="-4"

Cela l'empêchera d'utiliser IPv6 au démarrage et redémarrera DNS

service nommé redémarrage

Fegnoid
la source
Salut. Merci d'avoir répondu. J'ai déjà désactivé IPV6 en suivant le tutoriel ici. wiki.centos.org/FAQ/… Dois-je également appliquer la modification ci-dessus?
développeur
4

Pour une commande Ubuntu supérieure à 16.04: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

okwap
la source
2
Je ne sais pas pourquoi cette réponse a été rejetée, j'ai 14.04.5 et le fichier de configuration est en effet dans un emplacement différent de celui de la réponse jjmontes. La réponse d'Okwap est un ajout valable, non?
Moolie
2

De belles options, j'ai réalisé que ce journal apparaît lorsque vous utilisez les serveurs named.root fournis par www.internic.net/zones car certains de ces serveurs n'ont pas d'interfaces IPv6 en ligne.

Ce que j'ai fait, c'est travailler avec la strophe des redirecteurs dans mon fichier named.conf et ce journal n'apparaissait plus ou du moins jusqu'à présent.

Voici une partie de mon fichier named.conf. Comme vous pouvez le voir, j'ai commenté la section des conseils de zone. Et d'autres strophes parce que je travaille sur une configuration particulière.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
Daniel Jackson
la source
Je pense que, comme moyen de ne pas avoir de connectivité IPv6 mondiale, l' -4option est beaucoup plus logique plutôt que de changer complètement le fonctionnement de BIND. Sauf bien sûr, il y avait une raison pour laquelle l'utilisation de transitaires était souhaitable en premier lieu.
Håkan Lindqvist
2

Pour moi, le problème causé par ce message était un peu plus grave. Lorsque le serveur est déconnecté d'Internet, vous en obtenez plusieurs par seconde. Si vous êtes déconnecté pendant longtemps, ils peuvent remplir le disque.

La solution évidente est de désactiver ce message particulier, non seulement pour IPv6 comme mentionné dans les autres solutions, mais pour tous les protocoles. Vous ne pouvez pas désactiver un message particulier dans bind, c'est donc aussi proche que possible:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
Russell Stuart
la source