rhel5.3 的bind使用不穩定問題--急

rhel5.3 的bind使用不穩定問題--急

大家好，我用rhel5.3的bind搭建DNS服務，不知道為什麼使用一段時間后，就不能dns查詢了，有時間機器重啟就好了：

log如下：
client 192.168.16.250#34127: view airway_tech: no more recursive clients: quota reached
May 25 10:46:09 ns1 named: client 192.168.16.149#49695: view atech: no more recursive clients: quota reached
May 25 10:46:10 ns1 named: client 192.168.16.149#52192: view tech: no more recursive clients: quota reached
May 25 10:46:11 ns1 named: client 192.168.16.149#1592: view tech: no more recursive clients: quota reached
May 25 10:46:12 ns1 named: client 192.168.16.149#55527: view tech: no more recursive clients: quota reached
May 25 10:46:13 ns1 named: client 192.168.16.149#64416: view tech: no more recursive clients: quota reached


我用的master/slave模式的dns。

回復 #1 shineboy816 的帖子

這個站點可能有點幫助http://www.cert.org/advisories/CA-1997-22.html
漏洞號是19003
DNS伺服器允許通過任意主機發送的Recursive Query(遞歸質問)。攻擊者通過修改DNS主機DNS資料庫的內容，企圖進行DNS Cache Poisoning(DNS 緩存里加入虛假信息)攻擊。攻擊者使我們的域名伺服器向帶有虛假內容的惡意域名伺服器執行Recursive Query(遞歸質問)。此時，我們的伺服器會在緩存中保存回應信息中的虛假資料庫內容。
需要限制使用域名伺服器的主機(即，同一網段的區域網主機）的Recursive Query。

o Unix/Linux 系統:
如果使用Bind 8版本，可以在named.conf文件的'option'部分加入'allow-recursive'命令。如果使用Bind 9版本可以用'allow-recursion'命令。
有必要限制在DNS伺服器服務的信息。這些信息包括allow-transfer, allow-query, allow-recursive (或者 allow-recursion)以及版本等選項。Global部分(應用於所有服務Zone)或者per-zone basis中可以限制這些信息。

求助：日誌老報no more recursive clients : quota reached - DNS伺服器 - ChinaUnix.net (25 May 2009)

http://bbs.chinaunix.net/viewthread.php?tid=304960&extra=&page=2

原帖由 shineboy816 於 2009-5-25 10:52 發表 http://bbs2.chinaunix.net/images/common/back.gif
大家好，我用rhel5.3的bind搭建DNS服務，不知道為什麼使用一段時間后，就不能dns查詢了，有時間機器重啟就好了：

log如下：
client 192.168.16.250#34127: view airway_tech: no more recursive clients: q ...

recursion yes;
改成
recursion no;
如果沒有就加一行到
options {
recursion no;
}

謝謝高手解答。我在named.conf文件做如下修改（紅色部分）：
options {
        listen-on port 53 { any;};
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";

        // Those options should be used carefully because they disable port
        // randomization
          query-source address 192.168.16.250 port 53;
           forwarders{ 202.103.24.68;202.103.0.117;
                       208.67.222.222;208.67.220.220;};
        // query-source-v6 port 53;
           allow-transfer{ 192.168.16.249;};

        allow-query     { 192.168.16.0/24;10.0.0.0/16;
                          192.168.4.0/24; };
問題暫時解決，請問這句話的意思是不是只讓上面這3個網段可以查詢我dns，還需求修改哪些配置呢？

今天再次出現上次的問題，clients無法通過dns伺服器解析，
登入到dns伺服器上，執行命令：nslookup www.sina.com  系統顯示無法與dns聯繫，
但是我輸入命令：nslookup www.sina.com 202.103.24.68 卻可以解析出來（在named.conf文件中已經設置forwarders 參數）。
機器重啟幾次都沒行，中飯吃完后，服務又莫名其妙的恢復正常。最近幾天都是出現這樣的狀況。請問有高手中的願意嗎？謝謝！！

關注中...！ 新手學習中！

頂起來，有高手中的願意嗎？我iptables是disable狀態的。dns在內網，有pix防火牆連接出口！！！

query-source
If the server doesn』t know the answer to a question, it will query other name servers. query-source
specifies the address and port used for such queries.


allow-query
Specifies which hosts are allowed to ask ordinary DNS questions. allow-query may also
be specified in the zone statement, in which case it overrides the options allow-query statement.
If not specified, the default is to allow queries from all hosts

LZ參考下2樓和3樓的帖子啊

named.conf 配置

root@ns1 etc]# vim named.conf

//
// DO NOT EDIT THIS FILE - use system-config-bind or an editor
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";

        // Those options should be used carefully because they disable port
        // randomization
           query-source address 192.168.16.249 port 53;
           forwarders { 202.103.24.68;202.103.0.117;
                      208.67.222.222;};
        // query-source-v6 port 53;
           allow-transfer{ 192.168.16.250;}; （這台為slave，192.168.16.250為maser）

        allow-query     { 192.168.16.0/24;10.0.0.0/24;
                          192.168.4.0/24; };
};
logging {
        category lame-server { null; };
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
view tech {
        match-clients      { 192.168.16.0/24;
                             192.168.4.0/24; };
        match-destinations { any; };
        recursion yes;
        include "/etc/named.xxxxxx.net.cn.zones";
};

大家看哈有什麼問題，我就是這樣配置的，有時出現不能對外查詢，但是電信dns可以ping通。
通過命令：nslookup www.sohu.com 202.103.24.68 也可以查詢的到！！！

Tags: