Назад | Перейти на главную страницу

BIND9: «Ошибка синтаксического анализа сообщения: FORMERR»

мой BIND 9.10.3 регистрирует странные записи, например:

Jan 12 12:44:49 www named[24776]: client 117.136.25.126#18977: message parsing failed: FORMERR
Jan 12 12:50:47 www named[24776]: client 117.136.25.126#18978: message parsing failed: FORMERR
Jan 12 13:00:08 www named[24776]: client 117.136.95.15#24805: message parsing failed: FORMERR

117.136.95.15 отсутствует в моей сети, и я не разрешаю рекурсию для чего-либо, кроме localhost, поэтому она должна быть для зоны, для которой я уполномочен.

Это началось совсем недавно (5 января). Глядя на журнал, кажется, что только запросы из:

# zfgrep "message parsing failed: FORMERR" daemon.log*  | awk '{print $7}' |awk -F\. '{printf("%s.%s.x.x\n",$1,$2)}'  | sort | uniq -c | sort -n 
  1 101.27.x.x
  1 121.31.x.x
  1 1.84.x.x
  1 61.158.x.x
104 223.104.x.x
150 117.136.x.x

вызывают это. Просматривая информацию WHOIS для этих IP-адресов:

inetnum:        117.128.0.0 - 117.191.255.255
netname:        CMNET
descr:          China Mobile Communications Corporation
descr:          Mobile Communications Network Operator in China
descr:          Internet Service Provider in China
country:        CN

inetnum:        223.64.0.0 - 223.117.255.255
netname:        CMNET
descr:          China Mobile Communications Corporation
descr:          Mobile Communications Network Operator in China
descr:          Internet Service Provider in China
country:        CN

Итак, я взял tcpdump и получил в награду довольно много пакетов из одних и тех же двух сетей, что привело к тем же сообщениям в моем журнале.

Глядя на пакеты, ничего в их полезной нагрузке DNS не кажется правильным:

В поле с доменным именем стоит двоичный «0». Метки DNS-домена кодируются по длине - и длина «0» указывает на «пустое имя» - корневая зона имеет пустое имя.

Но поскольку остальная часть полезной нагрузки DNS также состоит почти исключительно из нулей, это, вероятно, совпадение.

Это могло быть и нападение, но скорее сломанное ПО (вроде файрвола).

Кажется, что запросы DNS плохо отформатированы. Возможно, у вас есть сетевое устройство, портящее UDP-трафик, или, может быть, эти IP-адреса получены от ботнета, который ищет некоторые уязвимые DNS-серверы (я так думаю)