求助：日志老报no more recursive clients : quota reached

mana

干脆做个“蜜罐”或“陷阱”得了

yuanchangmeng

这个问题好像现在没有彻底的解决方法！！！

titan1120

这个站点可能有点帮助http://www.cert.org/advisories/CA-1997-22.html
漏洞号是19003
DNS服务器允许通过任意主机发送的Recursive Query(递归质问)。攻击者通过修改DNS主机DNS数据库的内容，企图进行DNS Cache Poisoning(DNS 缓存里加入虚假信息)攻击。攻击者使我们的域名服务器向带有虚假内容的恶意域名服务器执行Recursive Query(递归质问)。此时，我们的服务器会在缓存中保存回应信息中的虚假数据库内容。
需要限制使用域名服务器的主机(即，同一网段的局域网主机）的Recursive Query。

o Unix/Linux 系统:
如果使用Bind 8版本，可以在named.conf文件的'option'部分加入'allow-recursive'命令。如果使用Bind 9版本可以用'allow-recursion'命令。
有必要限制在DNS服务器服务的信息。这些信息包括allow-transfer, allow-query, allow-recursive (或者 allow-recursion)以及版本等选项。Global部分(应用于所有服务Zone)或者per-zone basis中可以限制这些信息。

realfox

恩
只对希望提供递归解析的网段提供
allow-recursion
一般就是对内提供

dns&bing第四版中
大概有这样的意思的一段话
对query级别的限制
的blackhole
allow-query
allow-recusion
中
没有限制的ip发出的query，server将充当起一个查询者的完全责任，查到确切答案后返回给客户端；
对allow-recusiong(允许递归查询)段外的ip对非该server权威域的查询，server给出的反应是给出它所知道该域的相关信息，而不去亲自进行查询；
而对于allow-query段外的ip，只是给出一个回应“query delined"；
而归入blackhole段的ip，则处于最低领域，服务器将不给任何反应，书中还特别强调了确实是任何反应都没有。
以上是我对书的理解，
希望对你有帮助

jsquan

no more recursive clients: quota reached

我最近两台公网的DNS　9.2.2，经常在log弹出如下信息。
等我发现时，几千用户已经受到影响了。请大家帮帮忙：

1、是不是升级到最新版就能解决问题？
2、是不是用户恶意攻击，还是病毒影响所致?

我发现好几次，结果追到用户那里，用户不承认是恶意攻击！

我也试过论坛中的建议
如：
recursive-clients 100000;  (默认是1000)
调整tcp-clients搞到5000

但都不管用呀!!!，请尽快帮助。

yfhe

原帖由 "jsquan" 发表：
no more recursive clients: quota reached

我最近两台公网的DNS　9.2.2，经常在log弹出如下信息。
等我发现时，几千用户已经受到影响了。请大家帮帮忙：

1、是不是升级到最新版就能解决问题？
2、是不是用?.........

其实“quota reached”就是指配额满了，也算是正常消息，但“recursive-clients 100000; (默认是1000)调整tcp-clients搞到5000”这样也解决不了问题，那就肯定是什么地方出问题了。

首先，你应该先确定你的DNS服务器的用途以及定位需要服务的用户，这样就可以使用allow-query等语句进行访问控制；其次尽量减少transfer，可以的话最好关闭tcp连接。

BTW：你有记录query的log吗？我以前也碰到过类似的问题，但是我当时的环境跟你现在的环境可能不一样，所以不敢肯定我以前的方法能解决你现在的问题。

jsquan

原帖由 "yfhe" 发表：


其实“quota reached”就是指配额满了，也算是正常消息，但“recursive-clients 100000; (默认是1000)调整tcp-clients搞到5000”这样也解决不了问题，那就肯定是什么地方出问题了。

首先，你应该先确定你的DNS..........

1、我在我两台dns server上，都安装了dnstop 。一旦发现"no more recursive clients: quota reached"告警时，我就使用dnstop interface和
tail -f /var/log/messages来分析攻击源。

2、通常在dnstop 输出结果上最顶端的源IP，就是攻击源。通过bind的acl和
router acl控制后，结果就好了。恶意攻击或病毒攻击是肯定的。

3、其实我只是把“recursive-clients 100000”搞上去了，没有使用
tcp-clients搞到5000，后者意思我还不太明白。觉得用处不大。

4、我到www.isc.org看过bind9中关于该故障的文章，多数都回答上述第3
点中的第一个建议。

5、目前isc.org上，release是bind9.2.3和 BIND 9.3.0beta3，我计划尽
快将目前的bind9.2.2升级到 BIND 9.3.0beta3。

6、我的两台dns是isp公网的。而攻击常常自已的用户。所以使用        allow-query {our-nets;};
allow-recursion {our-nets;};
并不太好。

7、目前是否有DNS的实时告警系统。即当DNS出现问题时，会有系统告警。

请版主指教。我的email是：jsquan@163.com。请回复，以便交流和联络。谢谢。

jsquan

原帖由 "jsquan" 发表：
no more recursive clients: quota reached

我最近两台公网的DNS　9.2.2，经常在log弹出如下信息。
等我发现时，几千用户已经受到影响了。请大家帮帮忙：

1、是不是升级到最新版就能解决问题？
2、是不是用?.........

1、昨天晚上，我两台dns又收到较大的攻击。但我的ns2已经升级到bind-9.3.0beta3。ns1还是9.2.2。但ns1 recursive clients=10000；
ns2 recursive clients=20000，所以在tail -f /var/log/messages时
并没有看到信息：no more recursive clients: quota reached。

2、根据dnstop判断某窄带拨号用户的query count 竟然大于dns本身的
的query count。并且以每秒100左右的query增长。query 目的IP就是
我的dns。(两台都受影响)。

3、根据查到的用户电话号码联系后，用户是职高学生，估计也不太会玩网络。
并且从NAS上看到用户的os=win98。因此，初步判断是病毒攻击。

4、在www.rising.com.cn中找到一篇文章。
FreeBSD Kernel VM_Map模块存在本地拒绝服务漏洞
http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Unix/200405/12-141615080.htm
文章称FreeBSD 4.9以下都受该漏洞影响，而我的操作系统就是FreeBSD 4.8
并且只跑了bind和ssh服务。

5、根据ns2升级到最新的bind9.3.0beta4仍受到攻击。因此，我断定很可能
是上述FreeBSD漏洞所致。但我找了http://www.freebsd.org/security/index.html
却无法确定需要打那一个补丁?

请各位参考，指点。谢谢。

fmccterry

我升级到9.2.3都没问题了，如果有9。2。4的话，我也想升级

jsquan

[quote]原帖由 "fmccterry"]我升级到9.2.3都没问题了，如果有9。2。4的话，我也想升级[/quote 发表：


我的是FreeBSD4.8 ，可能是操作系统漏洞。
我到bind找过，bind9.2.2以后并没有这样的漏洞。