我的服务器日志中(网络无法访问)错误


20

Centos的消息日志文件中出现了很多网络无法访问的行。他们似乎无法解析某些地址,我不知道为什么我的服务器必须首先解析这些地址。有人能让我知道这种错误的根源吗?我受到攻击了吗?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

顺便说一句,如果我的named.conf有所帮助,则如下所示:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

请帮忙!


1
您可以从问题日志文件中发布摘要,以显示您所看到的消息吗?
2014年

@Fegnoid嗨。附带的代码。抱歉。
开发人员

1
您正在使用绑定DNS服务器吗?如果是这样,您可能需要通过将其添加到绑定启动中来将其更改为仅使用IPv4,编辑/etc/sysconfig/named并添加该行,OPTIONS="-4"然后重新启动绑定服务器
2014年

是的,我愿意。我会检查的。但是为什么最近才在我的日志文件中看到它?
开发人员

您最近更新了Centos吗?
2014年

Answers:


22

所有地址均为IPv6。似乎是IPv6问题,您可能没有配置IPv6网络。在绑定中禁用IPv6支持:

编辑/ etc / sysconfig / named并设置:

OPTIONS="-4"

然后重新启动绑定:

service named restart

(来自http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos

您受到攻击了吗?我认为您没有受到损害。这些消息可能是正常的,具体取决于您所运行的服务(无论如何,任何服务器始终受到某种攻击的企图,人们会扫描Internet尝试在每台服务器上进行攻击)。


你好 事实是直到昨天我才收到这些警报。我的意思是,昨天突然开始了。而且,我认为这是昨天服务器负载沉重的一种或多种方式。我仍然有一个问题:例如,为什么我的服务器要连接到adobe.com?我的网站或服务器上没有与Adobe有关的元素。
开发人员

嘿,我试过了,但是当我尝试重新启动dns服务器时,我收到此消息:prntscr.com/cdxz2e您是否对此有想法?
Tolgay Toklar '16

该文件在Ubuntu / Debian上为/ etc / default / bind9;在选项中添加“ -4”
ArunasR,

14

可能值得注意的是,在带有systemd的Debian Jessie中,in中的-4选项/etc/default/bind9可能会被忽略。请参阅错误#767798

在这种情况下,您需要修改systemd bind9.service文件:

移动bind9.service以避免它在更新时被覆盖

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

编辑system/bind9.service以使用中的选项/etc/default/bind9

$EDITOR system/bind9.service

添加EnvironmentFile=-/etc/default/bind9和修改ExecStart以包括$OPTIONS。(我删除了-u bind,因为在Debian上已经包含了$OPTIONS

确保保留-fsystemd所需的选项。参见以下diff示例:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

最后

systemctl reenable bind9.service
service bind9 restart

1
它也在ubuntu服务器16.04上给我带来了打击
neutrinus

1
注意,提到的错误已得到修复,在最近的Debian中,您只能再次编辑/etc/default/bind9
Elrond '18

4

该问题是由Centos中的BIND更新引起的,它试图同时使用IPv6和IPv4。

修复此问题的最佳方法是使用IPv6或将绑定配置为仅使用IPv4

在/etc/named.conf中设置

OPTIONS="-4"

这将在启动时使用IPv6停止它并重新启动DNS

名为重新启动的服务


你好 感谢回复。我已经按照此处的教程禁用了IPV6。wiki.centos.org/FAQ/… 是否还需要应用上述更改?
开发人员

4

对于高于16.04的ubuntu命令:sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"


2
不知道为什么这个答案被否决了,我有14.04.5,并且配置文件的确与jjmontes答案位于不同的位置。Okwap的答案是有效的加法权利吗?
Moolie

2

不错的选择,我意识到当您使用www.internic.net/zones提供的named.root服务器时,会出现此日志,因为其中一些服务器没有在线IPv6接口。

我所做的就是在我的named.conf文件中使用转发器节,并且此日志不再出现或至少到目前为止没有出现。

这是我的named.conf文件的一部分。如您所见,我注释了“区域提示”部分。和其他节,因为我正在进行特定的设置。

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

我认为,作为一种应对不具有全局IPv6连接的方法,该-4选项比完全改变BIND的运行方式更有意义。当然,除非出于某些原因,否则首先需要使用转发器。
哈坎·林奎斯特

2

对我来说,此消息引起的问题要严重得多。当服务器断开与Internet的连接时,您每秒会收到许多这样的消息。如果您长时间断开连接,他们可能会填满磁盘。

显而易见的解决方案是关闭此特定消息,不仅针对其他解决方案中提到的IPv6,还针对所有协议。您不能在绑定中关闭特定的消息,所以这与您得到的结果很接近:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.