(Netzwerk nicht erreichbar) Fehler in meinen Server-Protokollen

20

In der Nachrichtenprotokolldatei meines Centos werden viele nicht erreichbare Netzwerkleitungen angezeigt. Sie scheinen nicht in bestimmte Adressen auflösen zu können, von denen ich keine Ahnung habe, warum mein Server sie überhaupt auflösen muss. Kann mir jemand die Ursache eines solchen Fehlers mitteilen? Bin ich angegriffen?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

Übrigens sind die Optionen meiner named.conf wie folgt, wenn sie hilfreich sind:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Bitte helfen Sie!

Entwickler
quelle
1
Können Sie in Ihrer Frage Ausschnitte aus der Protokolldatei veröffentlichen, in denen die angezeigten Nachrichten angezeigt werden?
Fegnoid
@ Fegnoid Hallo. Die Codes sind beigefügt. Es tut uns leid.
Entwickler
1
Verwenden Sie einen DNS-Bindungsserver? In diesem /etc/sysconfig/namedOPTIONS="-4"
Fall
Ja, ich will. Ich werde das überprüfen. Aber warum sehe ich das erst kürzlich in meiner Protokolldatei?
Entwickler
Hast du kürzlich Centos aktualisiert?
Fegnoid

Antworten:

21

Alle Adressen sind IPv6. Scheint ein IPv6-Problem zu sein, Sie haben wahrscheinlich kein IPv6-Netzwerk konfiguriert. IPv6-Unterstützung in "Binden" deaktivieren:

Bearbeite / etc / sysconfig / named und setze:

OPTIONS="-4"

Dann starte bind neu:

service named restart

(von http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Wirst du angegriffen? Ich glaube nicht, dass du kompromittiert wurdest. Diese Nachrichten können normal sein, abhängig von den Diensten, die Sie ausführen (auf jeden Fall wird auf jedem Server ein Angriffsversuch unternommen und auf jedem Server wird das Internet nach Exploits durchsucht).

jjmontes
quelle
Hallo. Tatsache ist, dass ich diese Warnungen erst gestern hatte. Ich meine, es hat gestern plötzlich angefangen. Darüber hinaus denke ich, dass es auf die eine oder andere Weise für die hohe Auslastung meines Servers verantwortlich ist. Trotzdem habe ich folgende Frage: Warum möchte mein Server beispielsweise eine Verbindung zu adobe.com herstellen? Es gibt keine Elemente auf meiner Site oder meinem Server, die mit Adobe zu tun haben.
Entwickler
Hey, ich habe es versucht, aber wenn ich versuche, DNS-Server neu zu starten, erhalte ich diese Meldung: prntscr.com/cdxz2e Haben Sie eine Idee dazu?
Tolgay Toklar
Die Datei ist / etc / default / bind9 unter Ubuntu / Debian; füge "-4" zu OPTIONEN hinzu
ArunasR
14

Es kann erwähnenswert sein, dass in Debian Jessie mit systemd die -4Option in /etc/default/bind9möglicherweise ignoriert wird. Siehe Fehler # 767798 .

In diesem Fall müssen Sie die systemd- bind9.serviceDatei ändern :

Verschieben Sie bind9.service, um zu vermeiden, dass es bei Updates überschrieben wird

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

Bearbeiten system/bind9.service, um die Optionen in zu verwenden /etc/default/bind9.

$EDITOR system/bind9.service

Hinzufügen EnvironmentFile=-/etc/default/bind9und ändern, ExecStartum einzuschließen $OPTIONS. (Ich entferne -u bind, weil es auf Debian bereits enthalten ist $OPTIONS)

Stellen Sie sicher, dass Sie die -ffür systemd erforderliche Option beibehalten. Hier diffein Beispiel:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

Und schlussendlich

systemctl reenable bind9.service
service bind9 restart
mivk
quelle
1
Es traf mich auch auf Ubuntu Server 16.04
Neutrinus
1
Beachten Sie, dass der erwähnte Fehler inzwischen behoben wurde und Sie ihn in neuerem Debian nur noch einmal bearbeiten können/etc/default/bind9
Elrond,
4

Das Problem wird durch ein Update auf BIND in Centos verursacht. Es wird versucht, sowohl IPv6 als auch IPv4 zu verwenden.

Der beste Weg, dies zu beheben, ist entweder die Verwendung von IPv6 oder die Konfiguration von bind, um nur IPv4 zu verwenden

in /etc/named.conf gesetzt

OPTIONS="-4"

Dies stoppt die Verwendung von IPv6 beim Start und startet DNS neu

Dienst namens Neustart

Fegnoid
quelle
Hallo. Danke für die Antwort. Ich habe IPV6 bereits deaktiviert, indem ich dem Tutorial hier gefolgt bin. wiki.centos.org/FAQ/... Benötige ich die obige Änderung auch bewerben?
Entwickler
4

Für Ubuntu-Bestellungen ab 16.04: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

okwap
quelle
2
Ich weiß nicht, warum diese Antwort abgelehnt wurde, ich habe 14.04.5 und die Konfigurationsdatei befindet sich in der Tat an einem anderen Ort als in jjmontes Antwort. Okwaps Antwort ist eine gültige Ergänzung, oder?
Moolie
2

Ich habe festgestellt, dass dieses Protokoll angezeigt wird, wenn Sie die named.root-Server verwenden, die von www.internic.net/zones bereitgestellt werden, da einige dieser Server keine Online-IPv6-Schnittstellen haben.

Ich habe mit der Zeilengruppe "forwarders" in meiner named.conf-Datei gearbeitet und dieses Protokoll wurde nicht mehr oder zumindest noch nicht angezeigt.

Hier ist ein Teil meiner named.conf-Datei. Wie Sie sehen können, habe ich die Zone Hints Section auskommentiert. Und andere Strophen, weil ich an einem bestimmten Setup arbeite.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
Daniel Jackson
quelle
Ich bin der Meinung, dass diese -4Option viel sinnvoller ist, als die Funktionsweise von BIND vollständig zu ändern, um zu verhindern, dass eine globale IPv6-Konnektivität besteht . Es sei denn natürlich, es gab einen Grund, warum die Verwendung von Spediteuren überhaupt wünschenswert war.
Håkan Lindqvist
2

Für mich war das durch diese Meldung verursachte Problem etwas schwerwiegender. Wenn der Server vom Internet getrennt wird, erhalten Sie viele davon pro Sekunde. Wenn Sie für längere Zeit nicht verbunden sind, können sie die Festplatte füllen.

Die naheliegende Lösung besteht darin, diese bestimmte Nachricht zu deaktivieren, nicht nur für IPv6, wie in den anderen Lösungen erwähnt, sondern für alle Protokolle. Sie können eine bestimmte Nachricht in bind nicht deaktivieren. Dies ist also so nah wie möglich:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
Russell Stuart
quelle