サーバーログの(ネットワークに到達できません)エラー


20

Centosのメッセージログファイルに、ネットワークに到達できない行がたくさんあります。彼らは特定のアドレスに解決できないように見えますが、そもそも私のサーバーがそれらに解決しなければならない理由はわかりません。誰かがそのようなエラーの原因を教えてもらえますか?攻撃を受けていますか?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

ちなみに、named.confのオプションは、助けがあれば以下のとおりです。

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

助けてください!


1
質問内のログファイルからスニペットを投稿して、表示されているメッセージを表示できますか?
フェグノイド14年

@Fegnoidこんにちは。コードが添付されています。ごめんなさい。
開発者

1
バインドDNSサーバーを使用していますか?その場合、バインドスタートアップに追加してIPv4のみを使用するように変更する必要がある場合があります。/etc/sysconfig/named行を編集して追加しOPTIONS="-4"、バインドサーバーを再起動します
Fegnoid 14年

はい、そうです。確認します。しかし、最近ログファイルに表示されるのはなぜですか?
開発者14年

最近Centosを更新しましたか?
フェグノイド14年

回答:


22

アドレスはすべてIPv6です。IPv6の問題のようです。おそらくIPv6ネットワークは構成されていません。バインドでIPv6サポートを無効にします。

/ etc / sysconfig / namedを編集して設定します:

OPTIONS="-4"

次に、バインドを再起動します。

service named restart

http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centosから)

あなたは攻撃を受けていますか?危殆化したとは思わない。これらのメッセージは、実行しているサービスに応じて正常になります(とにかく、どのサーバーも常に何らかの攻撃を受けており、インターネットをスキャンしてすべてのサーバーでエクスプロイトを試みています)。


こんにちは。事実、昨日までこれらのアラートはありませんでした。つまり、昨日は突然始まりました。さらに、昨日のサーバーの大きな負荷の原因の1つであると思います。それでもこの質問があります:たとえば、なぜ私のサーバーがadobe.comに接続したいのですか?私のサイトやサーバーには、Adobeに関係する要素はありません。
開発者14年

ねえ、私はこれを試しましたが、DNSサーバーを再起動しようとすると、次のメッセージが表示されます:prntscr.com/cdxz2eそれについてのアイデアはありますか?
トルゲイトクラー16

ファイルはUbuntu / Debianの/ etc / default / bind9です。オプションに「-4」を追加
-ArunasR

14

systemdを使用するDebian Jessieでは、-4オプションを/etc/default/bind9無視できることに注意してください。バグ#767798を参照してください。

その場合、systemd bind9.serviceファイルを変更する必要があります。

bind9.serviceを移動して、更新時に上書きされないようにします

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

編集system/bind9.serviceして、のオプションを使用します/etc/default/bind9

$EDITOR system/bind9.service

を追加EnvironmentFile=-/etc/default/bind9して変更ExecStartします$OPTIONS。(-u bindDebianでは既にに含まれているため、削除します$OPTIONS

-fsystemdに必要なオプションを必ず保持してください。diff例については、これを参照してください。

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

そして最後に

systemctl reenable bind9.service
service bind9 restart

1
ubuntuサーバー16.04でも私を襲った
neutrinus

1
上記のバグが今と最近のDebianのことができます。もう一度だけ編集中で固定されていることに注意してください、/etc/default/bind9
エルロンド

4

この問題は、CentosのBINDの更新が原因で発生し、IPv4と同様にIPv6を使用しようとします。

修正する最善の方法は、IPv6を使用するか、バインドを構成してIPv4のみを使用することです。

/etc/named.confセット内

OPTIONS="-4"

これにより、起動時にIPv6を使用して停止し、DNSを再起動します

restartという名前のサービス


こんにちは。返信いただきありがとうございます。こちらのチュートリアルに従って、すでにIPV6を無効にしています。wiki.centos.org/FAQ/… 上記の変更も適用する必要がありますか?
開発者

4

16.04よりもUbuntuの注文の場合:sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"


2
この答えがなぜ投票されたのかわからない。14.04.5があり、設定ファイルはjjmontesの回答とは異なる場所にある。Okwapの答えは有効な追加権ですか?
ムーリー

2

素晴らしいオプションです。www.internic.net/ zonesが提供するnamed.rootサーバーを使用すると、このサーバーの一部にはオンラインIPv6インターフェースがないため、このログが表示されることに気付きました。

私がやったのは、named.confファイルでforwardersスタンザを操作することで、このログはもう表示されませんでした。

named.confファイルの一部を次に示します。ご覧のとおり、ゾーンヒントセクションをコメントアウトしました。そして、特定のセットアップに取り組んでいるので、他のスタンザ。

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };

グローバルなIPv6接続を持たないことに対処する方法として、-4BINDの動作を完全に変更するよりも、このオプションの方がはるかに理にかなっていると思います。もちろん、最初にフォワーダーを使用することが望ましい理由がない限り。
ホーカンLindqvist

2

私にとって、このメッセージによって引き起こされた問題はもう少し深刻でした。サーバーがインターネットから切断されると、これらの多くが1秒あたりに取得されます。長時間切断すると、ディスクがいっぱいになる可能性があります。

明らかな解決策は、この特定のメッセージをオフにすることです。他のソリューションで述べたIPv6だけでなく、すべてのプロトコルに対してもです。バインドで特定のメッセージをオフにすることはできません。そのため、これは取得できる限り近くなります。

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.