Início / server / Perguntas / 1039297
Accepted
InterLinked
Asked: 2020-10-20 06:15:36 +0800 CST

Falha temporária na resolução de nomes afetando a maior parte do tráfego público

  • 772

Estamos tendo um problema bizarro com um de nossos domínios que está acontecendo há mais de 15 horas neste momento. O domínio não pode ser resolvido em muitas partes do país. Eu tentei pingar em alguns servidores Linux diferentes e obtive:

example.com: Temporary failure in name resolution

O problema não é geograficamente limitado. Pessoas de todo o país já me disseram que também não podem pingar o domínio. No entanto, algumas pessoas podem pingar o domínio e acessá-lo normalmente.

Finalmente, alguém me indicou este site: https://dnschecker.org/ip-blacklist-checker.php

Quando tento resolver o domínio, "Na lista negra?" é Não para todos eles, exceto para este:dnsbl.spfbl.net

Quando clico no erro, ele diz isso:

Nenhum rDNS foi encontrado.

Este IP foi sinalizado porque não possui FCrDNS válido.

Registre um rDNS válido para este IP, que aponta para o mesmo IP.

O rDNS deve ser registrado em seu próprio domínio para que você possa excluí-lo.

Não consigo pensar no que causou isso ou como corrigi-lo. Os registros A do domínio não apontam para um IP estático até onde eu saiba, pois ele passa pelos balanceadores de carga da Cloudflare. Achei que poderia ter sido um problema com o Cloudflare, que usamos para nossos servidores de nomes. No entanto, o portal deles não indicou nada ontem ou nada relevante esta manhã.

A única correção que encontramos é alterar manualmente o servidor DNS preferencial. Por exemplo, o Google e o OpenDNS não resolvem o domínio. No dnsblacklist.org, 7 dos 12 resolvedores de DNS não conseguem resolvê-lo. A Cloudflare e outros 4 resolvedores podem resolvê-lo com sucesso. Se alterarmos o servidor DNS preferencial para 1.1.1.1manualmente nos servidores, agora eles podem pingar o domínio.

O problema é que todos os nossos usuários públicos, obviamente, não vão fazer isso. Alguma opinião sobre o que exatamente está acontecendo? Não alterei nada nos registros de domínio recentemente, e isso não afeta nenhum dos meus outros domínios que também usam Cloudflare como servidor de nomes. O problema afeta todos os subdomínios neste domínio, bem como o domínio primário, independentemente de o tráfego nesse endereço ser proxy por meio da Cloudflare.

ATUALIZAR:

Outro domínio:

insira a descrição da imagem aqui

Domínio problemático:

insira a descrição da imagem aqui

domain-name-system reverse-dns

1 respostas

  1. Best Answer

    Se você acessar https://dnsviz.net/d/phreaknet.org/X44olg/dnssec/ você encontrará, agora, nada menos que 6 erros falsos e 3 erros em seu domínio. Dito de outra forma: está terrivelmente quebrado na camada DNS:

    Relatório DNSViz para phreaknet.org em 20/10/2020 00:00:22 UTC

    Não sei quais serviços você costumava verificar, mas obviamente eles estavam alheios aos problemas de DNSSEC, portanto, não são bons. Use dnsviz.net, é testado e confiável.

    Como dito nos comentários, o DNSSEC geralmente é uma fonte de "funciona lá, mas não lá" porque, se estiver quebrado, será visto como quebrado apenas pelos resolvedores de validação, que não são todos os resolvedores por aí. Além disso, existem muitos casos extremos no DNSSEC que podem fazer com que um resolvedor aceite a resposta e não o outro.

    Você precisará corrigir todos esses problemas.

    Comece removendo completamente o DNSSEC dele, a menos que você tenha certeza de dominá-lo. O que significa ir ao registrador patrocinador atualmente (Namecheap como visto no whois) e encontrar a maneira de remover DSregistros no registro do seu domínio.

    Feito isso, você terá que esperar. Quantos?

    Os servidores de nomes autorizados .ORG publicam seu DSregistro com um TTL de um dia:

    $ dig org. NS +short
b2.org.afilias-nst.org.
b0.org.afilias-nst.org.
a2.org.afilias-nst.info.
a0.org.afilias-nst.info.
d0.org.afilias-nst.org.
c0.org.afilias-nst.info.
$ dig @d0.org.afilias-nst.org. DS phreaknet.org +noall +ans
phreaknet.org.      1d IN DS 2371 13 2 (
                1AE4B3ECD5282A0A412E6792B60855C39D9166F94703
                980CCECB740EAAD501A9 )

    Portanto, você precisa esperar pelo menos um dia após o momento em que esse registro desaparece (o que pode acontecer algum tempo depois de solicitar ao seu registrador para removê-lo).

    Depois que o DSregistro desaparecer por pelo menos 1 dia, faça uma verificação DNSviz novamente e veja se você tem outros problemas. Mas é provavelmente com apenas que você já terá resolvido todos os seus problemas.

    Alternativamente, você deve pedir ao seu provedor de DNS para ajudá-lo com problemas relacionados ao DNS em seu domínio. Especialmente porque o problema principal é: "RRSIG phreaknet.org/DNSKEY alg 13, id 2371: The Signature Expiration field of the RRSIG RR (2020-10-18 21:55:18+00:00) is 1 day in the past."o que significa um erro do seu provedor de DNS não atualizar as assinaturas em seu domínio, ou por você mesmo se você foi instruído a alterar o DSregistro no registro para usar outra chave pelo seu provedor de DNS e não o fez . A expiração desta assinatura explica recentemente por que você começou a receber relatórios de problemas há cerca de um dia.

    Se o seu provedor de DNS pode gerar assinaturas válidas, com a chave atual, em todos os registros, pois as coisas funcionarão novamente sem precisar remover o DSregistro. Mas você também precisará esperar, embora muito menos, pois os TTLs das assinaturas parecem ser de 1 hora ou 5 minutos:

    $ dig phreaknet.org SOA +dnssec +cd +noall +ans
phreaknet.org.      1h IN SOA donna.ns.cloudflare.com. dns.cloudflare.com. (
                2035213272 ; serial
                10000      ; refresh (2 hours 46 minutes 40 seconds)
                2400       ; retry (40 minutes)
                604800     ; expire (1 week)
                3600       ; minimum (1 hour)
                )
phreaknet.org.      1h IN RRSIG SOA 13 2 3600 (
                20201021011353 20201018231353 34505 phreaknet.org.
                bxVvIlM7M5tlKDLsRUSj2LSpNrvkv4DlZnzi+AfKFkP7
                1GuzfyOJmNlpQK+eD8j+kigLcBXUEkbO66rY76QWtA== )
$ dig phreaknet.org A +dnssec +cd +noall +ans
phreaknet.org.      5m IN A 104.18.57.190
phreaknet.org.      5m IN A 104.18.56.190
phreaknet.org.      5m IN A 172.67.175.181
phreaknet.org.      5m IN RRSIG A 13 2 300 (
                20201021011314 20201018231314 34505 phreaknet.org.
                BCZjG6JZfJqERRBOZ9DP50OBXzUhCdQ777EoElWv52oU
                xRRWw+I1e/ok3a5V2h1gt/OBLVVwlRFQhALk2rclSA== )

    Além de nota útil sobre o acima:

    • você precisa +dnssecver os RRSIGregistros e, portanto, seu TTL (caso contrário, eles não são mostrados por padrão porque nunca são úteis em si ... exceto para solucionar problemas relacionados ao DNSSEC)
    • você precisa absolutamente de +cdqual é o sinalizador que solicita NÃO fazer validações de DNSSEC, caso contrário, essas consultas provavelmente retornarão SERVFAILporque a configuração de DNSSEC está quebrada. +cdé o sinalizador mais importante digpara DNSSEC: "faça uma consulta sem ele e obtenha SERVFAIL, em seguida, refaça a mesma consulta e obtenha uma resposta" significa em 99,999% dos casos que seu problema está relacionado apenas à configuração do DNSSEC em seu domínio.
    • 2

relate perguntas