ข้อผิดพลาด (ไม่สามารถเข้าถึงเครือข่าย) ในบันทึกเซิร์ฟเวอร์ของฉัน


20

ฉันได้รับบรรทัดที่ไม่สามารถเข้าถึงเครือข่ายจำนวนมากในไฟล์บันทึกข้อความของ Centos ดูเหมือนว่าพวกเขาไม่สามารถแก้ไขที่อยู่บางแห่งซึ่งฉันไม่มีความคิดใด ๆ ว่าทำไมเซิร์ฟเวอร์ของฉันต้องแก้ไขที่อยู่เหล่านั้นตั้งแต่แรก ใครช่วยให้ฉันรู้ที่มาของข้อผิดพลาดดังกล่าวหรือไม่ ฉันถูกโจมตีไหม?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

อย่างไรก็ตามตัวเลือก named.conf ของฉันมีดังต่อไปนี้หากพวกเขามีความช่วยเหลือใด ๆ :

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

กรุณาช่วย!


1
คุณสามารถโพสต์ตัวอย่างจากไฟล์บันทึกในคำถามของคุณแสดงข้อความที่คุณเห็น?
Fegnoid

@Fegnoid สวัสดี รหัสที่แนบมา ขอโทษ
นักพัฒนา

1
คุณใช้เซิร์ฟเวอร์ DNS ที่เชื่อมโยงหรือไม่ ถ้าเป็นเช่นนั้นคุณอาจจำเป็นต้องเปลี่ยนให้ใช้เฉพาะ IPv4 ด้วยการเพิ่มการเริ่มต้นผูกแก้ไข/etc/sysconfig/namedและเพิ่มบรรทัดOPTIONS="-4"แล้วรีสตาร์ทเซิร์ฟเวอร์ผูก
Fegnoid

ใช่ฉันทำ. ฉันจะตรวจสอบสิ่งนั้น แต่ทำไมฉันเห็นว่าในไฟล์บันทึกของฉันเมื่อเร็ว ๆ นี้?
นักพัฒนา

คุณเพิ่งอัพเดต Centos เมื่อเร็ว ๆ นี้?
Fegnoid

คำตอบ:


22

ที่อยู่ทั้งหมดเป็น IPv6 ดูเหมือนว่าปัญหาเกี่ยวกับ IPv6 คุณอาจไม่มีการกำหนดเครือข่าย IPv6 ปิดการใช้งาน IPv6 suport ใน Bind:

แก้ไข / etc / sysconfig / ตั้งชื่อและตั้งค่า:

OPTIONS="-4"

จากนั้นเริ่มการเชื่อมโยงใหม่:

service named restart

(จากhttp://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

คุณถูกโจมตีหรือไม่ ฉันไม่คิดว่าคุณถูกโจมตี ข้อความเหล่านั้นอาจเป็นเรื่องปกติทั้งนี้ขึ้นอยู่กับบริการที่คุณใช้ (อย่างไรก็ตามเซิร์ฟเวอร์ใดก็ตามมักถูกโจมตีผู้ใช้จะสแกนอินเทอร์เน็ตเพื่อหาช่องโหว่ในทุก ๆ เซิร์ฟเวอร์)


สวัสดี ความจริงก็คือฉันไม่ได้มีการแจ้งเตือนเหล่านี้จนถึงเมื่อวาน ฉันหมายความว่ามันเริ่มต้นเมื่อวานนี้โดยฉับพลัน ยิ่งกว่านั้นฉันคิดว่ามันเป็นวิธีหนึ่งหรืออีกวิธีหนึ่งที่รับผิดชอบภาระงานหนักของเซิร์ฟเวอร์เมื่อวาน ฉันยังมีคำถามนี้อยู่: ทำไมตัวอย่างเช่นเซิร์ฟเวอร์ของฉันต้องการเชื่อมต่อกับ adobe.com ไม่มีองค์ประกอบในเว็บไซต์หรือเซิร์ฟเวอร์ของฉันเกี่ยวกับ adobe
นักพัฒนา

สวัสดีฉันลองแล้ว แต่เมื่อฉันพยายามรีสตาร์ทเซิร์ฟเวอร์ DNS ฉันได้รับข้อความนี้: prntscr.com/cdxz2eคุณมีความคิดเกี่ยวกับเรื่องนี้หรือไม่?
Tolgay Toklar

ไฟล์นี้ / etc / default / bind9 บน Ubuntu / Debian; เพิ่ม "-4" ลงใน OPTIONS
ArunasR

14

อาจเป็นเรื่องที่น่าสังเกตว่าใน Debian Jessie ที่มี systemd -4ตัวเลือกใน/etc/default/bind9อาจถูกละเว้น ดูข้อผิดพลาด #

ในกรณีนั้นคุณต้องแก้ไขbind9.serviceไฟล์systemd :

ย้าย bind9.service เพื่อหลีกเลี่ยงการเขียนทับบนการอัพเดต

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

แก้ไขการใช้ตัวเลือกในsystem/bind9.service/etc/default/bind9

$EDITOR system/bind9.service

เพิ่มEnvironmentFile=-/etc/default/bind9และปรับเปลี่ยนเพื่อรวมExecStart $OPTIONS(ฉันลบ-u bindเพราะใน Debian จะรวมอยู่ใน$OPTIONS)

ตรวจสอบให้แน่ใจว่าใช้-fอ็อพชันที่จำเป็นสำหรับ systemd ดูdiffตัวอย่างนี้:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

และในที่สุดก็

systemctl reenable bind9.service
service bind9 restart

1
มันตีฉันยังบนเซิร์ฟเวอร์อูบุนตู 16.04
neutrinus

1
โปรดทราบว่าข้อผิดพลาดดังกล่าวได้รับการแก้ไขแล้วในตอนนี้และใน Debian ล่าสุดคุณสามารถแก้ไขได้อีกครั้งเท่านั้น/etc/default/bind9
Elrond

4

ปัญหาเกิดจากการอัพเดตเป็น BIND ใน Centos พยายามใช้ IPv6 เช่นเดียวกับ IPv4

วิธีที่ดีที่สุดในการแก้ไขคือใช้ IPv6 หรือกำหนดค่าการเชื่อมโยงเพื่อใช้เฉพาะ IPv4

ใน /etc/named.conf ตั้งค่า

OPTIONS="-4"

สิ่งนี้จะหยุดใช้ IPv6 เมื่อเริ่มต้นและเริ่มต้น DNS ใหม่

ชื่อบริการเริ่มต้นใหม่


สวัสดี ขอบคุณที่ตอบกลับ ฉันปิดการใช้งาน IPV6 แล้วโดยทำตามบทช่วยสอนที่นี่ wiki.centos.org/FAQ/… ฉันต้องใช้การเปลี่ยนแปลงข้างต้นด้วยหรือไม่
นักพัฒนา

4

สำหรับการสั่งซื้ออูบุนตูมากกว่า 16.04: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"


2
ไม่ทราบว่าเพราะเหตุใดคำตอบนี้จึงลดลงฉันมี 14.04.5 และไฟล์กำหนดค่าอยู่ในตำแหน่งที่แตกต่างจากคำตอบ jjmontes คำตอบของ Okwap เป็นการเพิ่มที่ถูกต้องใช่ไหม
Moolie

2

ตัวเลือกที่ดีฉันรู้ว่าบันทึกนี้จะปรากฏขึ้นเมื่อคุณใช้เซิร์ฟเวอร์ named.root ที่จัดทำโดย www.internic.net/zones เพราะเซิร์ฟเวอร์นี้บางตัวไม่มีอินเทอร์เฟซ IPv6 ออนไลน์

สิ่งที่ฉันทำคือทำงานกับผู้ส่งต่อ stanza ในไฟล์ named.conf และบันทึกนี้ไม่ปรากฏอีกต่อไปหรืออย่างน้อยก็จนถึงตอนนี้

นี่คือส่วนหนึ่งของไฟล์ named.conf ของฉัน อย่างที่คุณเห็นฉันแสดงความคิดเห็นในส่วนคำแนะนำโซน และบทอื่น ๆ เพราะฉันกำลังทำงานในการตั้งค่าเฉพาะ

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

ฉันคิดว่าในฐานะที่เป็นวิธีการจัดการกับการไม่มีการเชื่อมต่อ IPv6 ทั่วโลก-4ตัวเลือกจะสมเหตุสมผลมากกว่าการเปลี่ยนวิธีการทำงานของ BIND โดยสิ้นเชิง ยกเว้นกรณีที่มีเหตุผลบางประการว่าทำไมการใช้ผู้ส่งต่อเป็นที่ต้องการในสถานที่แรก
Håkan Lindqvist

2

สำหรับฉันปัญหาที่เกิดจากข้อความนี้เป็นเรื่องเล็กน้อยร้ายแรง เมื่อเซิร์ฟเวอร์ถูกตัดการเชื่อมต่อจากอินเทอร์เน็ตคุณจะได้รับจำนวนมากต่อวินาที หากคุณถูกตัดการเชื่อมต่อเป็นเวลานานพวกเขาสามารถเติมดิสก์ได้

ทางออกที่ชัดเจนคือการปิดข้อความนี้ไม่ใช่เฉพาะสำหรับ IPv6 ดังที่กล่าวไว้ในโซลูชันอื่น แต่สำหรับโปรโตคอลทั้งหมด คุณไม่สามารถปิดข้อความใดข้อความหนึ่งเป็นพิเศษได้ดังนั้นนี่จึงใกล้เคียงกับที่คุณจะได้รับ:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.