Recentemente, configurei um novo servidor DNS usando o Bind (v9.18.28-1) e estou recebendo blocos repetidos de erros no meu arquivo de log "geral":
02-Oct-2024 09:49:09.723 resolver: DNS format error from 2001:7fe::53#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.755 resolver: DNS format error from 2001:dc3::35#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.787 resolver: DNS format error from 2001:500:2f::f#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.819 resolver: DNS format error from 2001:500:12::d0d#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.851 resolver: DNS format error from 2001:503:c27::2:30#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.883 resolver: DNS format error from 2001:500:2::c#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.919 resolver: DNS format error from 2001:500:2d::d#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.951 resolver: DNS format error from 2001:7fd::1#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:09.991 resolver: DNS format error from 2001:500:9f::42#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.027 resolver: DNS format error from 2801:1b8:10::b#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.059 resolver: DNS format error from 2001:500:a8::e#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.095 resolver: DNS format error from 2001:500:1::53#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.127 resolver: DNS format error from 2001:503:ba3e::2:30#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.163 resolver: DNS format error from 192.36.148.17#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.183 resolver: DNS format error from 202.12.27.33#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.207 resolver: DNS format error from 192.5.5.241#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.227 resolver: DNS format error from 192.112.36.4#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.251 resolver: DNS format error from 192.58.128.30#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.275 resolver: DNS format error from 192.33.4.12#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.299 resolver: DNS format error from 199.7.91.13#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.323 resolver: DNS format error from 193.0.14.129#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.347 resolver: DNS format error from 199.7.83.42#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.371 resolver: DNS format error from 170.247.170.2#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.395 resolver: DNS format error from 192.203.230.10#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.423 resolver: DNS format error from 198.97.190.53#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.447 resolver: DNS format error from 198.41.0.4#53 resolving ./NS for <unknown>: non-improving referral
02-Oct-2024 09:49:10.447 resolver: resolver priming query complete: failure
Parece que esses são todos os servidores de nomes raiz que listei no arquivo /usr/share/dns/root.hints.
Este arquivo é referenciado por meio deste bloco de zona no meu arquivo de configuração nomeado:
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/usr/share/dns/root.hints";
};
Aqui estão as opções que configurei:
options {
directory "/var/cache/bind";
allow-query {
any;
};
forwarders {
1.1.1.1;
};
allow-recursion {
xx.xx.xx.xx/29;
//10.0.0.0/8;
10.1.0.0/16;
};
// hide version #
version "unknown";
dnssec-validation auto;
};
Alguma ideia do que está causando esses erros de formatação e há algo que eu possa fazer a respeito?
Obrigado, pessoal!
Parece que algo (seu firewall, ou o firewall do seu provedor de internet, etc.) está interceptando todas as suas consultas DNS e redirecionando-as para outro resolvedor.
Execute
dig . ns @a.root-servers.net. Você deverá ver:aasinalizador no cabeçalho (os servidores "raiz" são autoritativos para.),rasinalizador (os servidores "root" nunca oferecem serviço recursivo),adsinalizador (servidores autoritativos não validam seus próprios dados pelo DNSSEC),Se os resultados forem diferentes dos listados acima, provavelmente sua consulta foi redirecionada para um servidor diferente.
Para investigar mais a fundo, execute:
dig +short hostname.bind CH TXT @a.root-servers.netdig +short version.bind CH TXT @a.root-servers.netRepita para cada um de
{a..m}.root-servers.net. Você deve obter resultados diferentes para cada servidor (B-root executa "knot 3.x", D-root executa "NSD 4", etc.). Se os resultados forem idênticos, significa que todas as consultas foram redirecionadas, e o nome do host relatado pode sugerir o proprietário do servidor ruim, se eles se esqueceram de ocultá-lo.Às vezes, a interceptação de DNS é configurada apenas para UDP, mas não para TCP (embora todos os servidores suportem ambos), então
dig +vc <query> @<server>pode ignorá-la. Além disso, a raiz B suporta DNS sobre TLS, então você pode tentardig +tls <query> @b.root-servers.netcomparar o resultado com o que você obtém "normalmente".Como seu BIND parece estar configurado para sempre depender do encaminhamento de consultas para 1.1.1.1 (em vez de ser um resolvedor autônomo), você pode silenciar as mensagens removendo a
zone "."definição inteira.