Назад | Перейти на главную страницу

Привязать ошибки FORMERR к системному журналу

Я недавно отключил неисправный маршрутизатор ... и некоторое время спустя я обнаружил много (по крайней мере, на порядок или величину больше, чем количество запросов) ошибок, зарегистрированных в / var / log / syslog - в форме :

Mar 18 19:53:20 kenneth named[4022]: DNS format error from 192.112.36.4#53 resolving ./NS: non-improving referral
Mar 18 19:53:20 kenneth named[4022]: error (FORMERR) resolving './NS/IN': 192.112.36.4#53

Может быть важно, что в bind.conf у меня есть следующее:

dnssec-enable no;
dnssec-validation no;

Вероятно, это проблема, связанная с тем, что новый маршрутизатор повреждает датаграммы UDP или что-то еще? Новый маршрутизатор (недорогой) Netgear WNR854T - на нем установлена ​​последняя версия прошивки.

Может ли кто-нибудь подсказать, как лучше всего диагностировать эту неисправность, если это не очевидно из вышеперечисленного?

- Дополнительные сведения - это типичный ответ от dig для адреса, который, я уверен, должен разрешиться.

$ dig A barclays.co.uk                                         ~

; <<>> DiG 9.8.1-P1 <<>> A barclays.co.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22161
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;barclays.co.uk.                        IN      A

;; Query time: 84 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Mar 20 23:08:40 2013
;; MSG SIZE  rcvd: 32
$

Если вы подозреваете, что какой-либо сетевой элемент (например, маршрутизатор) усекает или искажает трафик UDP DNS, вы можете попробовать следующее:

  1. Выполните тот же запрос снова с помощью dig и посмотрите, получаете ли вы также FORMERR в качестве кода ответа. Dig (с правильными параметрами) будет работать так же, как ваш рекурсивный сервер, но даст вам больше информации о процессе.
  2. Если вы получаете FORMERR с помощью dig, попробуйте dig + tcp и посмотрите, сохраняется ли ошибка (чтобы исключить проблемы с UDP)
  3. Используйте Wireshark или другой сниффер, чтобы зафиксировать то, что фактически получает ваш сервер, когда он рекурсивно выполняет запрос.

Все ли ошибки FORMERR в вашем журнале связаны с отсутствием улучшения рефералов? Что dig говорит о "дополнительном" разделе запросов, которые генерируют эти сообщения об ошибках?

Наконец, есть ли у вас зоны-заглушки, зоны прямого или только прямого доступа, о которых вы не упомянули?

Я приезжаю в Индонезию и получаю эти сообщения, потому что оператор / правительство саботирует DNS. DNSSEC не может проверить и получить прямой доступ к корневым серверам, заставляет сообщение FORMERR регистрироваться (bind9, 13 сообщений на каждый запрос DNS). Адрес в вашем примере - это корневой DNS-сервер G.