サーバーログの（ネットワークに到達できません）エラー

Centosのメッセージログファイルに、ネットワークに到達できない行がたくさんあります。彼らは特定のアドレスに解決できないように見えますが、そもそも私のサーバーがそれらに解決しなければならない理由はわかりません。誰かがそのようなエラーの原因を教えてもらえますか？攻撃を受けていますか？

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

ちなみに、named.confのオプションは、助けがあれば以下のとおりです。

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

助けてください！

アドレスはすべてIPv6です。IPv6の問題のようです。おそらくIPv6ネットワークは構成されていません。バインドでIPv6サポートを無効にします。

/ etc / sysconfig / namedを編集して設定します：

OPTIONS="-4"

次に、バインドを再起動します。

service named restart

（http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centosから）

あなたは攻撃を受けていますか？危殆化したとは思わない。これらのメッセージは、実行しているサービスに応じて正常になります（とにかく、どのサーバーも常に何らかの攻撃を受けており、インターネットをスキャンしてすべてのサーバーでエクスプロイトを試みています）。

systemdを使用するDebian Jessieでは、-4オプションを/etc/default/bind9無視できることに注意してください。バグ＃767798を参照してください。

その場合、systemd bind9.serviceファイルを変更する必要があります。

bind9.serviceを移動して、更新時に上書きされないようにします

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

編集system/bind9.serviceして、のオプションを使用します/etc/default/bind9。

$EDITOR system/bind9.service

を追加EnvironmentFile=-/etc/default/bind9して変更ExecStartします$OPTIONS。（-u bindDebianでは既にに含まれているため、削除します$OPTIONS）

-fsystemdに必要なオプションを必ず保持してください。diff例については、これを参照してください。

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

そして最後に

systemctl reenable bind9.service
service bind9 restart

この問題は、CentosのBINDの更新が原因で発生し、IPv4と同様にIPv6を使用しようとします。

修正する最善の方法は、IPv6を使用するか、バインドを構成してIPv4のみを使用することです。

/etc/named.confセット内

OPTIONS="-4"

これにより、起動時にIPv6を使用して停止し、DNSを再起動します

restartという名前のサービス

16.04よりもUbuntuの注文の場合：sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

素晴らしいオプションです。www.internic.net/ zonesが提供するnamed.rootサーバーを使用すると、このサーバーの一部にはオンラインIPv6インターフェースがないため、このログが表示されることに気付きました。

私がやったのは、named.confファイルでforwardersスタンザを操作することで、このログはもう表示されませんでした。

named.confファイルの一部を次に示します。ご覧のとおり、ゾーンヒントセクションをコメントアウトしました。そして、特定のセットアップに取り組んでいるので、他のスタンザ。

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

私にとって、このメッセージによって引き起こされた問題はもう少し深刻でした。サーバーがインターネットから切断されると、これらの多くが1秒あたりに取得されます。長時間切断すると、ディスクがいっぱいになる可能性があります。

明らかな解決策は、この特定のメッセージをオフにすることです。他のソリューションで述べたIPv6だけでなく、すべてのプロトコルに対してもです。バインドで特定のメッセージをオフにすることはできません。そのため、これは取得できる限り近くなります。

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};