DNS - too many timeouts resolving

Konfiguracja serwerów, usług, itp.
wozi
Posty: 1
Rejestracja: 11 listopada 2008, 20:08

DNS - too many timeouts resolving

Post autor: wozi » 11 listopada 2008, 20:12

Co mam nie tak widząc często takie logi?

Kod: Zaznacz cały

...named[17268]: too many timeouts resolving 'kirdan.warman.nask.pl/AAAA' (in 'warman.nask.pl'?): disabling EDNS
...named[17268]: too many timeouts resolving 'kirdan.warman.nask.pl/A' (in 'warman.nask.pl'?): disabling EDNS
...named[17268]: lame server resolving '139.145.41.64.in-addr.arpa' (in '145.41.64.in-addr.arpa'?): 209.83.162.35#53
...named[17268]: lame server resolving '139.145.41.64.in-addr.arpa' (in '145.41.64.in-addr.arpa'?): 209.83.162.35#53

Lukeman
Posty: 19
Rejestracja: 19 lutego 2008, 23:08

Post autor: Lukeman » 11 listopada 2008, 22:24

Zgaduję, że masz binda w wersji 9.5?
Obsługuje on EDNS, które zezwala na używanie pakietów DNS UDP dłuższych niż 500bajtów. Z drugiej strony firewall zakłada, że pakiet DNS UDP nie może być dłuższy niż wspomniane 500bajtów i dlatego go nie przepuszcza.

Rozwiązaniem może być dodanie następujących lini w
/etc/named.conf lub
/var/named/chroot/etc/named.conf :

Kod: Zaznacz cały

logging {
category lame-servers {null; };
category edns-disabled { null; };

}; 
Innych sposobów obejścia tego nie udało mi się na razie znaleźć, więc nie pozostaje nam chyba nic innego jak poczekać aż regułą stanie się stosowanie pakietów DNS UDP większych niż 500bajtów :)

miras_w
Beginner
Posty: 199
Rejestracja: 13 czerwca 2007, 19:32
Lokalizacja: Wejherowo

Post autor: miras_w » 11 listopada 2008, 23:24

a mnie denerwuje to:

Kod: Zaznacz cały

/etc/bind/named.conf.options:35: using specific query-source port suppresses port randomization and can be insecure.
linia 35 mam tak:

Kod: Zaznacz cały

 query-source address * port 53;

Lukeman
Posty: 19
Rejestracja: 19 lutego 2008, 23:08

Post autor: Lukeman » 12 listopada 2008, 00:08

zamień
query-source address * port 53;
na
query-source address * port *;
szczegóły:
http://www.debian.org/security/2008/dsa-1603
pkt. 3
jeżeli coś przestanie działać to trzeba zastosować się do wszystkich instrukcji :)

Ogólnie chodzi o to żeby utrudnić phishing przy użyciu zatruwania DNS dzięki zmianie portu wysyłającego zapytania DNS

ODPOWIEDZ