BIND报错named[ ]: client :query (cache) ' /A/IN' denied

2014-03-22 20:40:15

[服务器开发] , , ,

 

上网找了很久,有很多不同的声音。当/var/log/messages 出现named[进程编号]: client IP地址:端口 : query (cache) '非本机域名/A/IN' denied这样的错误的时候怎样解决呢?如果你的DNS服务器是设置在开放网域中为所有人提供特定域名的解析服务的,而出现大量的查询非本机域名的拒绝错误,这篇文章或许会适合你。其实这是一种攻击,如果量不是很大其实不用任何诸如fail2ban这样的插件,如果量太大,就应该考虑一下是不是遭到分布式拒绝服务攻击了,跟你的ISP谈谈,看看能不能更换机房。

 

 

经常能够发现/var/log/message里面由named报错的信息。我的服务器也还比较好,大概就是每个几个小时出现一次这样的错误,其实这个应该算是攻击。

Mar 21 07:19:19 masterchan named[9100]: client 38.64.138.74#51879: query (cache) '域名/A/IN' denied
Mar 21 16:55:30 masterchan named[9100]: client 50.7.9.98#35706: query (cache) '域名.info/A/IN' denied
Mar 21 19:39:02 masterchan named[9100]: client 74.118.193.51#40267: query (cache) '域名.asia/A/IN' denied
Mar 21 20:54:52 masterchan named[9100]: client 184.105.139.77#33315: query (cache) 'dnsscan.域名.org/A/IN' denied
Mar 21 21:23:16 masterchan named[9100]: client 91.188.117.154#40662: query (cache) 'x域名x.gov/ANY/IN' denied
Mar 22 00:02:38 masterchan named[9100]: client 93.174.93.92#51701: query (cache) 'isc.org/ANY/IN' denied
Mar 22 01:02:44 masterchan named[9100]: client 173.234.150.121#42548: query (cache) 'xxxx域名x.info/A/IN' denied
Mar 22 03:24:50 masterchan named[9100]: client 199.168.143.106#40089: query (cache) 'xx域名x.info/ANY/IN' denied
Mar 22 04:27:17 masterchan named[9100]: client 37.221.163.153#40909: query (cache) 'admin.xx域名xx.com/ANY/IN' denied
Mar 22 05:16:07 masterchan named[9100]: client 134.147.203.115#10607: query (cache) '1000.d7922059.dnsr.xxxx域名xxxxxx.net/A/IN' denied

 

 

经过仔细研究后比对。其实网上面之所以出现有两种相互矛盾的说法是因为—— 域名服务器大致有两种。一种是为解析自己特定域名的服务器的;一种是设置在局域网顶端,为内网的主机提供解析服务的。个人的理解是,如果你这台服务器是为自己特定的域名进行解析服务的服务器,出现这样的情况证明你的设置是相当正确的千万不能打开allow-query-cache 和 recursion(递归查询)

 

 

如果实在忍不了可以将有关的IP地址用iptables将它隔断掉。或者直接关掉BIND的登录档。

 

options{
    //这里应该会有其它的设定
    recursion no;
    //在Options里面必须添加这句话
}

 

如果试着将其打开,登录档虽然没有任何问题了,你会发现你服务器的流量有着平稳且明显的增加,究竟好与不好自己去分析吧。

 

 

 

 

这篇博文发表在 服务器开发 目录下,标签为 , , ,
版权所有,请勿转载。如需引用,请使用链接:https://note.masterchan.me/?p=289
 

您的邮箱地址不会被公开,评论使用Gravatar头像。
Your email address will not be published. This blog is using Gravatar.

正在提交评论...
正在为您准备评论控件