Unerwarteter RCODE (SERVFAIL) führt zum Absturz der Bindung?

Question 1

Zunächst die Frage: Muss die Bindung tatsächlich für die Außenwelt zugänglich sein? Wenn nicht, blockieren Sie einfach den eingehenden Datenverkehr auf den DNS-Ports, und schon sind Sie fertig.

Aber ja, indirekt ist dies Teil eines „Angriffs“, da Ihr Mailserver wahrscheinlich versucht, E-Mails mit der Meldung „Benutzer nicht gefunden“ an gefälschte Server zurückzuschicken.

Und läuft auf Ihrem Rechner Spamassassin? Wenn Sie von einer Spamwelle heimgesucht werden und der Perl-Spamassassin versucht, alle Mails zu verarbeiten, kann es bei unglücklichen Konfigurationen zu einem Systemabsturz kommen.

Answer

Zunächst die Frage: Muss die Bindung tatsächlich für die Außenwelt zugänglich sein? Wenn nicht, blockieren Sie einfach den eingehenden Datenverkehr auf den DNS-Ports, und schon sind Sie fertig.

Aber ja, indirekt ist dies Teil eines „Angriffs“, da Ihr Mailserver wahrscheinlich versucht, E-Mails mit der Meldung „Benutzer nicht gefunden“ an gefälschte Server zurückzuschicken.

Und läuft auf Ihrem Rechner Spamassassin? Wenn Sie von einer Spamwelle heimgesucht werden und der Perl-Spamassassin versucht, alle Mails zu verarbeiten, kann es bei unglücklichen Konfigurationen zu einem Systemabsturz kommen.

Question 2

Dieser Syslog-Eintrag stammt höchstwahrscheinlich von Ihrem Computer, der versucht, die IP eines Hosts nachzuschlagen, der gerade eine Verbindung zu ihm hergestellt hat. 193.0.0.193ist einer der DNS-Server von RIPE, die für einen Teil des in-addr.arpaBaums maßgebend sind, der zum Zuordnen von IP zu Hostnamen verwendet wird.

Es istäußerst unwahrscheinlichdass diese DNS-Abfragen den Absturz Ihres Computers verursachen. Es ist viel wahrscheinlicher, dass der Ressourcenverbrauch durch den eingehenden Datenverkehr indirekt die DNS-Suchvorgänge verursacht.

Am hilfreichsten wäre es, wenn Sie sich ansehen, welche eingehenden Dienste Ihr Server der Außenwelt anbietet, und entscheiden, ob Sie für jede dieser eingehenden Verbindungen DNS-Lookups in Echtzeit durchführen müssen.

Wenn es sich beispielsweise um einen Webserver handelt, speichern Sie in den Protokolldateien keine Hostnamen, sondern nur die Remote-IP-Adressen. Fügen Sie die Hostnamen dann später (falls erforderlich) offline hinzu.

Answer

Dieser Syslog-Eintrag stammt höchstwahrscheinlich von Ihrem Computer, der versucht, die IP eines Hosts nachzuschlagen, der gerade eine Verbindung zu ihm hergestellt hat. 193.0.0.193ist einer der DNS-Server von RIPE, die für einen Teil des in-addr.arpaBaums maßgebend sind, der zum Zuordnen von IP zu Hostnamen verwendet wird.

Es istäußerst unwahrscheinlichdass diese DNS-Abfragen den Absturz Ihres Computers verursachen. Es ist viel wahrscheinlicher, dass der Ressourcenverbrauch durch den eingehenden Datenverkehr indirekt die DNS-Suchvorgänge verursacht.

Am hilfreichsten wäre es, wenn Sie sich ansehen, welche eingehenden Dienste Ihr Server der Außenwelt anbietet, und entscheiden, ob Sie für jede dieser eingehenden Verbindungen DNS-Lookups in Echtzeit durchführen müssen.

Wenn es sich beispielsweise um einen Webserver handelt, speichern Sie in den Protokolldateien keine Hostnamen, sondern nur die Remote-IP-Adressen. Fügen Sie die Hostnamen dann später (falls erforderlich) offline hinzu.

Question 3

Welche Version von Bind? Ist es außerdem möglich, tcpdump des Servers auszuführen, um die Abfrage abzufangen, sobald sie eingeht? Es würde mich überraschen, wenn Bind die ganze Maschine abstürzen würde. Gibt es also irgendetwas Interessantes vor dem oben genannten Eintrag in den Protokollen?

Answer

Welche Version von Bind? Ist es außerdem möglich, tcpdump des Servers auszuführen, um die Abfrage abzufangen, sobald sie eingeht? Es würde mich überraschen, wenn Bind die ganze Maschine abstürzen würde. Gibt es also irgendetwas Interessantes vor dem oben genannten Eintrag in den Protokollen?

Unerwarteter RCODE (SERVFAIL) führt zum Absturz der Bindung?

Antwort1

Antwort2

Antwort3

verwandte Informationen