意外的 RCODE(SERVFAIL)导致绑定崩溃?

意外的 RCODE(SERVFAIL)导致绑定崩溃?

每隔两天左右,我的服务器就会完全停止响应其服务。我可以 ping 它,但无法使用 SSH,所以我必须进入主机的控制面板并重置它。

当它重新启动时,/var/log/messages 中崩溃前的最后一条日志条目是以下内容的变体:

命名[3493]:意外的 RCODE(SERVFAIL)解析‘3.39.148.159.in-addr.arpa/PTR/IN’:193.0.0.193#53

这可能是 DoS 攻击的一部分吗?我没有在这台服务器上配置绑定,也不认为我需要这样做(尽管这可能很天真)。

答案1

首先要问的是:它是否真的需要外部世界可以访问的绑定?如果不需要,只需阻止 DNS 端口上的传入流量,一切就绪了。

但是是的,间接地这是“攻击”的一部分,因为您的邮件服务器可能正试图将“未找到用户”邮件反弹到虚假服务器。

您的机器上是否运行了 spamassassin?如果您受到垃圾邮件的侵袭,并且 perl spamassassin 试图处理所有邮件,则可能会因配置不当而导致您的系统崩溃。

答案2

该系统日志条目很可能是您的机器试图查找刚刚连接到它的主机的 IP。 193.0.0.193是 RIPE 的 DNS 服务器之一,它对于in-addr.arpa用于从 IP 映射到主机名的树的一部分具有权威性。

这是极不可能这些 DNS 查询导致您的计算机崩溃。更可能是来自任何入站流量的资源消耗间接导致了 DNS 查找。

查看您的服务器向外界提供哪些入站服务,并决定是否需要为每个入站连接实时执行 DNS 查找,这将对您最有用。

例如,如果这是一个 Web 服务器,则不要在日志文件中存储主机名,而只存储远程 IP 地址。然后稍后(如果需要)离线添加主机名。

答案3

bind 是什么版本?另外,是否可以运行服务器的 tcpdump 来捕获传入的查询?如果 bind 会杀死整个机器,我会感到惊讶,那么在日志中上述条目之前有什么有趣的东西吗?

相关内容