免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 rhel5.3 的bind使用不稳定问题--急
最近访问板块 发新帖
查看: 4915 | 回复: 9
打印 上一主题 下一主题

[DNS] rhel5.3 的bind使用不稳定问题--急 [复制链接]

shineboy816

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-05-25 10:52 |只看该作者 |倒序浏览
10可用积分
大家好,我用rhel5.3的bind搭建DNS服务,不知道为什么使用一段时间后,就不能dns查询了,有时间机器重启就好了:

log如下:
client 192.168.16.250#34127: view airway_tech: no more recursive clients: quota reached
May 25 10:46:09 ns1 named[2160]: client 192.168.16.149#49695: view atech: no more recursive clients: quota reached
May 25 10:46:10 ns1 named[2160]: client 192.168.16.149#52192: view tech: no more recursive clients: quota reached
May 25 10:46:11 ns1 named[2160]: client 192.168.16.149#1592: view tech: no more recursive clients: quota reached
May 25 10:46:12 ns1 named[2160]: client 192.168.16.149#55527: view tech: no more recursive clients: quota reached
May 25 10:46:13 ns1 named[2160]: client 192.168.16.149#64416: view tech: no more recursive clients: quota reached


我用的master/slave模式的dns。

最佳答案

ziggler

查看完整内容

这个站点可能有点帮助http://www.cert.org/advisories/CA-1997-22.html漏洞号是19003DNS服务器允许通过任意主机发送的Recursive Query(递归质问)。攻击者通过修改DNS主机DNS数据库的内容,企图进行DNS Cache Poisoning(DNS 缓存里加入虚假信息)攻击。攻击者使我们的域名服务器向带有虚假内容的恶意域名服务器执行Recursive Query(递归质问)。此时,我们的服务器会在缓存中保存回应信息中的虚假数据库内容。需要限制使用域名服务器 ...
ziggler

论坛徽章:
0
2 [报告]
发表于 2009-05-25 10:52 |只看该作者

回复 #1 shineboy816 的帖子

这个站点可能有点帮助http://www.cert.org/advisories/CA-1997-22.html
漏洞号是19003
DNS服务器允许通过任意主机发送的Recursive Query(递归质问)。攻击者通过修改DNS主机DNS数据库的内容,企图进行DNS Cache Poisoning(DNS 缓存里加入虚假信息)攻击。攻击者使我们的域名服务器向带有虚假内容的恶意域名服务器执行Recursive Query(递归质问)。此时,我们的服务器会在缓存中保存回应信息中的虚假数据库内容。
需要限制使用域名服务器的主机(即,同一网段的局域网主机)的Recursive Query。

o Unix/Linux 系统:
如果使用Bind 8版本,可以在named.conf文件的'option'部分加入'allow-recursive'命令。如果使用Bind 9版本可以用'allow-recursion'命令。
有必要限制在DNS服务器服务的信息。这些信息包括allow-transfer, allow-query, allow-recursive (或者 allow-recursion)以及版本等选项。Global部分(应用于所有服务Zone)或者per-zone basis中可以限制这些信息。

求助:日志老报no more recursive clients : quota reached - DNS服务器 - ChinaUnix.net (25 May 2009)

http://bbs.chinaunix.net/viewthr ... p;extra=&page=2
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
scyzxp

论坛徽章:
0
3 [报告]
发表于 2009-05-25 13:29 |只看该作者
原帖由 shineboy816 于 2009-5-25 10:52 发表
大家好,我用rhel5.3的bind搭建DNS服务,不知道为什么使用一段时间后,就不能dns查询了,有时间机器重启就好了:

log如下:
client 192.168.16.250#34127: view airway_tech: no more recursive clients: q ...


recursion yes;
改成
recursion no;
如果没有就加一行到
options {
recursion no;
}
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shineboy816

论坛徽章:
0
4 [报告]
发表于 2009-05-25 14:31 |只看该作者
谢谢高手解答。我在named.conf文件做如下修改(红色部分):
options {
        listen-on port 53 { any;};
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";

        // Those options should be used carefully because they disable port
        // randomization
          query-source address 192.168.16.250 port 53;
           forwarders{ 202.103.24.68;202.103.0.117;
                       208.67.222.222;208.67.220.220;};
        // query-source-v6 port 53;
           allow-transfer{ 192.168.16.249;};

        allow-query     { 192.168.16.0/24;10.0.0.0/16;
                          192.168.4.0/24; };
问题暂时解决,请问这句话的意思是不是只让上面这3个网段可以查询我dns,还需求修改哪些配置呢?

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shineboy816

论坛徽章:
0
5 [报告]
发表于 2009-05-27 20:21 |只看该作者
今天再次出现上次的问题,clients无法通过dns服务器解析,
登入到dns服务器上,执行命令:nslookup www.sina.com  系统显示无法与dns联系,
但是我输入命令:nslookup www.sina.com 202.103.24.68 却可以解析出来(在named.conf文件中已经设置forwarders 参数)。
机器重启几次都没行,中饭吃完后,服务又莫名其妙的恢复正常。最近几天都是出现这样的状况。请问有高手中的愿意吗?谢谢!!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
linux-czq

论坛徽章:
0
6 [报告]
发表于 2009-05-30 11:39 |只看该作者
关注中...! 新手学习中!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shineboy816

论坛徽章:
0
7 [报告]
发表于 2009-05-30 21:47 |只看该作者
顶起来,有高手中的愿意吗?我iptables是disable状态的。dns在内网,有pix防火墙连接出口!!!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
polokus

论坛徽章:
0
8 [报告]
发表于 2009-06-01 00:31 |只看该作者
query-source
If the server doesn’t know the answer to a question, it will query other name servers. query-source
specifies the address and port used for such queries.


allow-query
Specifies which hosts are allowed to ask ordinary DNS questions. allow-query may also
be specified in the zone statement, in which case it overrides the options allow-query statement.
If not specified, the default is to allow queries from all hosts
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
polokus

论坛徽章:
0
9 [报告]
发表于 2009-06-01 00:37 |只看该作者
LZ参考下2楼和3楼的帖子啊
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shineboy816

论坛徽章:
0
10 [报告]
发表于 2009-06-01 11:31 |只看该作者

named.conf 配置

root@ns1 etc]# vim named.conf

//
// DO NOT EDIT THIS FILE - use system-config-bind or an editor
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";

        // Those options should be used carefully because they disable port
        // randomization
           query-source address 192.168.16.249 port 53;
           forwarders { 202.103.24.68;202.103.0.117;
                      208.67.222.222;};
        // query-source-v6 port 53;
           allow-transfer{ 192.168.16.250;}; (这台为slave,192.168.16.250为maser)

        allow-query     { 192.168.16.0/24;10.0.0.0/24;
                          192.168.4.0/24; };
};
logging {
        category lame-server { null; };
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
view tech {
        match-clients      { 192.168.16.0/24;
                             192.168.4.0/24; };
        match-destinations { any; };
        recursion yes;
        include "/etc/named.xxxxxx.net.cn.zones";
};

大家看哈有什么问题,我就是这样配置的,有时出现不能对外查询,但是电信dns可以ping通。
通过命令:nslookup www.sohu.com 202.103.24.68 也可以查询的到!!!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP