< HomePage | Снимки
<- Сряда, 8 Август 2007 | Начална страница | Петък, 10 Август 2007 ->
Четвъртък, 9 Август 2007

Преди седмица (и повече) след обявен проблем със сигурността, обнових Bind до последната стабилна версия 9.4.1-P1 и от тогава се появиха нови съобщения в логовете ми. Оставих ги няколко дни да се събират, но след като започнаха да се генерират над мегабайт на ден, реших, че е крайно време да видя какъв е проблема.

Съобщенията изглеждат така:

Aug 9 15:25:38 ns named[1674]: client 80.80.146.103#32768: query (cache) '67.119.87.in-addr.arpa/NS/IN' denied
Aug 9 15:27:00 ns named[1674]: client 193.45.1.101#59914: query (cache) '66.67.119.87.in-addr.arpa/PTR/IN' denied
Aug 9 15:27:13 ns named[1674]: client 206.10.30.2#1402: query (cache) '252.65.119.87.in-addr.arpa/PTR/IN' denied
Aug 9 15:31:37 ns named[1674]: client 212.50.12.130#4127: query (cache) 'linux-bg.org/SOA/IN' denied

Адресите на клиентите и запитванията се сменят, но в крайна сметка съобщението казва, че някой пита сървъра ми за зона, която не му е известна. Сървъра отказва да извърши заявката, тъй като смята, че трябва да направи рекурсивно запитване, което пък е забранено за адресите, които питат (сложно ли ви стана?) :)

Първоначално и аз се почудих, защо тези клиенти се опитват да ползват моя сървър за рекурсивни заявки, докато в един момент не ми светна, че заявките всъщност за зони, на които моите сървъри за имена са посочени като отговарящи.

Просто съм забравил да си създам зоните и Bind ме подсеща. След проверка се оказа, че наистина за 87.119.64.0/22 сървърите за имена са моите, а клиента питащ за linux-bg.org е излъган, че моите сървъри отговарят за него (които го е излъгал му е стара информацията).

В крайна сметка благодарение на съобщенията, създадох липсващите зони за 87.119.64.0/22 и логовете вече не се пълнят с глупости.

И за да не е съвсем безполезно днешното писание, ето един сайт - http://highscalability.com/ на който можете да си загубите часове в четене на интересни неща.

[ Коментари: 1 ]
Коментари

Чорбаджийски, твоите DNS-и са бял кахър. Последните дни DNS сървърите на ENOM.com нещо дават фира, а те са доста голям registrar. Няма да ти казвам що сайтове умират.

root@georgi:~# nslookup enom.com
;; connection timed out; no servers could be reached

Честито на печелившите :)

Написа Георги (www) на 09-Aug-2007 20:35