每隔两天左右,我的服务器就会完全停止对其服务的响应。我可以 ping 它,但我不能使用 SSH,所以我必须进入主机的控制面板并重置它。
当它恢复时,/var/log/messages 中崩溃前的最后一个日志条目是以下内容的变体:
命名 [3493]:意外 RCODE (SERVFAIL) 解析“3.39.148.159.in-addr.arpa/PTR/IN”:193.0.0.193#53
这可能是 DoS 攻击的一部分吗?我还没有在这台服务器上配置绑定,并且认为我不需要(尽管这可能很天真)。
AskOverflow.Dev
该系统日志条目很可能是您的机器试图查找刚刚连接到它的主机的 IP。 是 RIPE 的 DNS 服务器之一,它对用于从 IP 映射到主机名
193.0.0.193的树的一部分具有权威性。in-addr.arpa这些 DNS 查询极不可能导致您的计算机崩溃。无论入站流量间接导致 DNS 查找,这更有可能是资源消耗。
查看您的服务器向外部世界提供哪些入站服务,并决定是否需要为每个入站连接实时执行 DNS 查找,这对您最有用。
例如,如果这是一个网络服务器,不要在日志文件中存储主机名,只存储远程 IP 地址。然后稍后(如果您需要)离线添加主机名。
什么版本的绑定?另外,是否可以运行服务器的 tcpdump 来捕获进入的查询?如果 bind 杀死了整台机器,我会感到惊讶,那么在日志中上述命名条目之前有什么有趣的吗?
首先要问的是:它真的需要外部世界可以访问的绑定吗?如果没有,只需阻止 DNS 端口上的传入流量,就可以了。
但是,是的,间接地这是“攻击”的一部分,因为您的邮件服务器可能正试图将“未找到用户”的邮件退回到虚假服务器。
你的机器上运行 spamassassin 吗?如果你被垃圾邮件击中并且 perl spamassassin 试图处理所有的邮件,它可能会在不幸的配置下关闭你的系统。