このスレッドは解決済です(未解決に戻す場合はこちら)
済 Logwatchからのメッツセージ このメッセージに返信する
日時: 2018/10/08(Mon) 16:03
名前: satosan
URL:
名前: satosan
URL:
皆さま
CENTOS_6でサーバー構築して5年ほど経ちます。
最近、Logwatchを見ていると、下記のようなメッセージが大量にありました。
これは、どのような状況が起きているのでしょうか?
client XX.XX.XX.XX query 'ns.サーバー名.co.jp/A/IN' denied: 1 Time(s)
「/A/IN」は、色々と変わります。
上記のXXは、知らないアドレスです。
自サーバーのグローバルIPからも、自サーバー宛にqueryがあります。
client 自サーバーグローバルIP query 'ns.サーバー名.co.jp/A/IN' denied: 1 Time(s)
「/A/IN」は、色々と変わります。
お手数ですが、ご教授頂ければ幸いです。
宜しくお願い致します。

日時: 2018/10/08(Mon) 17:39
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
DDosの形跡と思われる問い合わせだと思う
bindのグローバル用の設定(external)では
recursion no;(再帰的なqueryを許可しない)を設定します
recursion no の場合
自分がSOAであるゾーンのみについて名前解決をおこないます
「キャッシュポイズンニング」を防ぐため
named.confは人それぞれなのでnetで検索して自分で研究してみてください

日時: 2018/10/08(Mon) 20:09
名前: superweibu
URL: http://www.superweibu.com
名前: superweibu
URL: http://www.superweibu.com
オープンリゾルバだろうね
https://www.nic.ad.jp/ja/basics/terms/open-resolver.html

日時: 2018/10/08(Mon) 22:54
名前: satosan
URL:
名前: satosan
URL:
superweibuさん
ご教授有難うございます。
頂いた資料を元に、調査してみます。
もし、解決できなければ、また質問させてください。
>オープンリゾルバだろうね
>https://www.nic.ad.jp/ja/basics/terms/open-resolver.html

日時: 2018/10/08(Mon) 22:57
名前: satosan
URL:
名前: satosan
URL:
strangerさん
ご教授、有難うございます。
下記、調べてみます。
もし、解決できなければ、もう一度質問させてください。
有難うございました。
>DDosの形跡と思われる問い合わせだと思う
>
>bindのグローバル用の設定(external)では
>recursion no;(再帰的なqueryを許可しない)を設定します
>
>recursion no の場合
>自分がSOAであるゾーンのみについて名前解決をおこないます
>「キャッシュポイズンニング」を防ぐため
>
>named.confは人それぞれなのでnetで検索して自分で研究してみてください

日時: 2018/10/13(Sat) 09:48
名前: satosan
URL:
名前: satosan
URL:
こんにちは。
もともとのnamed.confでは、recursion no; の設定でした。
このサイトの設定を参考に、named.confのrecursion no;を
下記に書き換えて再起動しました。
暫く様子を見ます。
一旦、クローズとさせて頂きます。
アドバイス有難うございました!
recursion yes; ← 再帰問合せ機能を有効化(内部DNSサーバーとして動作)
allow-query { localhost; localnets; }; ← 内部からのみ問合せを許可
allow-recursion { localhost; localnets; }; ← 内部からのみ再帰問合せを許可
allow-query-cache { localhost; localnets; }; ← 内部からのみキャッシュ問合せを許可
forwarders{ 8.8.8.8; 8.8.4.4; }; ← 本DNSサーバー管理外の問合せ先としてGoogleの公開DNSサーバーを指定

日時: 2018/10/13(Sat) 17:12
名前: stranger
URL: http://ja.528p.com/
名前: stranger
URL: http://ja.528p.com/
攻撃元が特定される(自分が必要としない相手先の)場合
optionsのaclとblackholeでパケットを処理せず破棄することもできる
最後の選択
※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。