Просматривая свои журналы, я просто понял, что какая-то часть моего сервера может быть скомпрометирована, хотя я не являюсь экспертом по Bind 9, я не уверен, что исправить, чтобы предотвратить это:
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.gamasutra.com/A/IN': 2001:4800:7814:0:5008:8553:ff04:b151#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/A/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:302::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/A/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'www.kitchenworksinc.com/AAAA/IN': 2607:f208:206::2d#53
Oct 24 14:16:50 ip151 named[54864]: error (network unreachable) resolving 'gyogynovenyek-gyogyteak.com/AAAA/IN': 2607:f0d0:1101:16f::6#53
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e1405ce60: www.gamasutra.com A: no valid signature found
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e1c5befc0: gamasutra.com SOA: no valid signature found
Oct 24 14:16:51 ip151 named[54864]: validating @0x7f4e2008e200: www.gamasutra.com NSEC: no valid signature found
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:678:1::2#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/A/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (network unreachable) resolving 'www.utrinski.mk/AAAA/IN': 2001:628:453:bb::4#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/A/IN': 194.149.137.168#53
Oct 24 14:16:54 ip151 named[54864]: error (connection refused) resolving 'www.utrinski.mk/AAAA/IN': 194.149.137.168#53
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e241324c0: www.biblioteksforeningen.org AAAA: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: www.biblioteksforeningen.org A: no valid signature found
Oct 24 14:16:59 ip151 named[54864]: validating @0x7f4e0ccf4060: biblioteksforeningen.org A: no valid signature found
Oct 24 14:17:04 ip151 named[54864]: error (network unreachable) resolving 'dsac.cn/DS/IN': 2001:dc7::1#53
Похоже, мой сервер засыпан спамом с разрешениями имен от неизвестных людей. Если я правильно понял, мне нужно сделать мой сервер каким-то образом частным.
Мне очень жаль, если я использую неправильную терминологию, я просто пытаюсь решить эту проблему быстро, прежде чем она станет реальной проблемой для сайтов, которые я размещаю.
Спасибо
Обновление 1: результат -route §:
Destination Next Hop Flag Met Ref Use If
[::]/96 [::] !n 1024 0 0 lo
0.0.0.0/96 [::] !n 1024 0 0 lo
2002:x00::/24 [::] !n 1024 0 0 lo
2002:xf00::/24 [::] !n 1024 0 0 lo
2002:x9fe::/32 [::] !n 1024 0 0 lo
2002:xc10::/28 [::] !n 1024 0 0 lo
2002:x0a8::/32 [::] !n 1024 0 0 lo
2002:x000::/19 [::] !n 1024 0 0 lo
3ffe:xfff::/32 [::] !n 1024 0 0 lo
[::]/0 [::] !n -1 113233992 lo
localhost/128 [::] Un 0 116069755 lo
ipxxx.ip-17x-3x-4x.eu/128 [::] Un 0 1 14444 lo
ff00::/8 [::] U 256 0 0 ens18
[::]/0 [::] !n -1 113233992 lo
ОБНОВЛЕНИЕ 2
Я просто модифицировал файл named.conf следующим изменением (все четко объяснено в файле, я должен сначала посмотреть туда)
options {
listen-on port 53 {
any;
};
// listen-on-v6 port 53 {
// any;
// };
Я прокомментировал последние 3 строки, так как я не обрабатываю IP V6 на своих сайтах.
Также изменил эту строку с да на нет:
`/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/`
recursion no;
Похоже, это не повлияло ни на один из моих сайтов. В результате мои логи теперь выглядят так:
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.dunyadinleri.com): query (cache) 'www.dunyadinleri.com/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#17750 (ujquery.org): query (cache) 'ujquery.org/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/A/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (adsl.aruba.it): query (cache) 'adsl.aruba.it/AAAA/IN' denied
Oct 24 15:10:57 ip151 named[40819]: client 127.0.0.1#58400 (www.microscopy-uk.org.uk): query (cache) 'www.microscopy-uk.org.uk/A/IN' denied
24 октября 14:16:50 ip151 с именем [54864]: ошибка (сеть недоступна) при разрешении 'www.gamasutra.com/A/IN': 2001: 4800: 7814: 0: 5008: 8553: ff04: b151 # 53
24 октября, 14:16:50 ip151 с именем [54864]: ошибка (сеть недоступна) при разрешении «www.kitchenworksinc.com/A/IN»: 2607: f208: 302 :: 2d # 53
Хм, я вижу, что это происходит для запросов, поступающих только с исходных адресов IPv6. Поэтому я думаю, что ваш сервер прослушивает запросы на адрес IPv6, но не может связаться с ними или отправить им ответы (сеть недоступна). И я почти уверен, что это может происходить из-за отсутствия шлюза по умолчанию или маршрута по умолчанию.
Итак, проверьте следующее, запустите:
route -6
Вы должны увидеть что-то вроде
::/0 2001:xxxx:xxxx:196::1 UG 1024 8 874 eth0
Если нет маршрута :: / 0, то это проблема (отсутствие маршрута по умолчанию). Следовательно, невозможно отправлять ответы на запросы IPv6.
Обновить:
Destination Next Hop Flag Met Ref Use If [::]/96 [::] !n 1024 0 0 lo 0.0.0.0/96 [::] !n 1024 0 0 lo 2002:x00::/24 [::] !n 1024 0 0 lo 2002:xf00::/24 [::] !n 1024 0 0 lo 2002:x9fe::/32 [::] !n 1024 0 0 lo 2002:xc10::/28 [::] !n 1024 0 0 lo 2002:x0a8::/32 [::] !n 1024 0 0 lo 2002:x000::/19 [::] !n 1024 0 0 lo 3ffe:xfff::/32 [::] !n 1024 0 0 lo [::]/0 [::] !n -1 113233992 lo localhost/128 [::] Un 0 116069755 lo ipxxx.ip-17x-3x-4x.eu/128 [::] Un 0 1 14444 lo ff00::/8 [::] U 256 0 0 ens18 [::]/0 [::] !n -1 113233992 lo
Как я уже сказал, маршрута по умолчанию нет, поэтому они могут связаться с вами, а вы - нет. Опять же, если вы не хотите, чтобы эти запросы приходили, у вас есть три варианта
Выберите любой набор вариантов (как вы сказали, у вас веб-сервер, а не DNS), в противном случае вы покидаете свою систему очень уязвимый!
Блокирование входящего UDP-трафика на 53-м порту (DNS) должно помочь вам.
Чтобы не повторять уже сказанное, посмотрите на Зачем университету блокировать входящий UDP-трафик с портом назначения 53?
Из вашего журнала я не вижу такого большого трафика. В любом случае, если вы хотите предложить службу DNS только некоторым клиентам, используйте только именованные ACL.
Для получения дополнительной информации о том, как это сделать, проверьте этот ответ: