RCODE (SERVFAIL) inesperado causando falha na ligação?

Question 1

Primeira pergunta: ele realmente precisa de uma ligação acessível ao mundo exterior? Caso contrário, basta bloquear o tráfego de entrada nas portas DNS e está tudo pronto.

Mas sim, indiretamente, isso faz parte de um 'ataque', já que seu servidor de e-mail provavelmente está tentando devolver e-mails de "usuário não encontrado" para servidores falsos.

E você tem spamassassin rodando na sua máquina? Se você for atingido por uma onda de spam e o perl spamassassin estiver tentando lidar com todos os e-mails, ele poderá derrubar seu sistema em configurações infelizes.

Answer

Primeira pergunta: ele realmente precisa de uma ligação acessível ao mundo exterior? Caso contrário, basta bloquear o tráfego de entrada nas portas DNS e está tudo pronto.

Mas sim, indiretamente, isso faz parte de um 'ataque', já que seu servidor de e-mail provavelmente está tentando devolver e-mails de "usuário não encontrado" para servidores falsos.

E você tem spamassassin rodando na sua máquina? Se você for atingido por uma onda de spam e o perl spamassassin estiver tentando lidar com todos os e-mails, ele poderá derrubar seu sistema em configurações infelizes.

Question 2

Essa entrada do syslog é provavelmente a sua máquina tentando pesquisar o IP de um host que acabou de se conectar a ela. 193.0.0.193é um dos servidores DNS do RIPE que tem autoridade para parte da in-addr.arpaárvore usada para mapear do IP para o nome do host.

Isso éextremamente improvávelque essas consultas DNS estão causando o travamento da sua máquina. É muito mais provável que seja a drenagem de recursos de qualquer tráfego de entrada que esteja causando indiretamente as pesquisas de DNS.

Seria mais útil observar quais serviços de entrada seu servidor está oferecendo ao mundo externo e decidir se você precisa realizar pesquisas de DNS em tempo real para cada uma dessas conexões de entrada.

Por exemplo, se este for um servidor web, não armazene nomes de host nos arquivos de log, apenas armazene os endereços IP remotos. Em seguida, adicione os nomes de host posteriormente (caso seja necessário) offline.

Answer

Essa entrada do syslog é provavelmente a sua máquina tentando pesquisar o IP de um host que acabou de se conectar a ela. 193.0.0.193é um dos servidores DNS do RIPE que tem autoridade para parte da in-addr.arpaárvore usada para mapear do IP para o nome do host.

Isso éextremamente improvávelque essas consultas DNS estão causando o travamento da sua máquina. É muito mais provável que seja a drenagem de recursos de qualquer tráfego de entrada que esteja causando indiretamente as pesquisas de DNS.

Seria mais útil observar quais serviços de entrada seu servidor está oferecendo ao mundo externo e decidir se você precisa realizar pesquisas de DNS em tempo real para cada uma dessas conexões de entrada.

Por exemplo, se este for um servidor web, não armazene nomes de host nos arquivos de log, apenas armazene os endereços IP remotos. Em seguida, adicione os nomes de host posteriormente (caso seja necessário) offline.

Question 3

Qual versão do bind? Além disso, é possível executar o tcpdump do servidor para capturar a consulta conforme ela chega? Eu ficaria surpreso se o bind estivesse matando toda a máquina, então há algo interessante antes da entrada mencionada acima nos logs?

Answer

Qual versão do bind? Além disso, é possível executar o tcpdump do servidor para capturar a consulta conforme ela chega? Eu ficaria surpreso se o bind estivesse matando toda a máquina, então há algo interessante antes da entrada mencionada acima nos logs?

RCODE (SERVFAIL) inesperado causando falha na ligação?

Responder1

Responder2

Responder3

informação relacionada