debian 7+ bind9 забивает ОЗУ и своп

0

2

Привет всем. прошу подсказать.. имею ОС linux Debian 7 VM 2Гб ОЗУ и 2 ядра, установлен первичный кэширующий DNS bind9 версии 9.8.4, 4 зоны (несколько сайтов, и другие веб-страницы доступные за NAT).Наблюдается проблема. Процесс named жрет оперативную память,ежедневно около 50мб (когда больше когда меньше), до тех пор,пока не закончится ОЗУ и своп, затем ядро отключает службу bind9 как результат все сайты и веб страницы не доступны.. Обнаружил проблему, запустив htop далее мониторил процессы, остановка службы bind9 приводит к высвобождению памяти.Нагрузка на ядра не превышает 7% иногда бывают скачки до 40%. Сам bind9 до возникновения проблемы работал 5 лет без проблем;

в логах сыпятся записи : named[2317]: error (network unreachable) resolving ‘digid-rm-dev.realreal.shop/A/IN’: 2400:cb00:2049:1::a29f:1b9e#53

named[2317]: error (unexpected RCODE REFUSED) resolving ‘idm-jci-security.realreal.shop/A/IN’: 162.159.25.5#53

-отключил эти запросы, отключив IPv6 и добавил в конфиг max-cache-size

named.conf.options

options {
directory "/var/cache/bind";
dnssec-validation auto;
auth-nxdomain no;    
listen-on-v6 { none; };
max-cache-size 1024m;
allow-query { any; };

в named.conf в качестве server указаны dns 8.8.8.8; 78.88.8.8

проблема не ушла.подскажите пожалуйста на что стоит обратить внимание? спасибо всем за ответы

←	Проблема с xrdp

Скорость работы mdadm с RAID10 из 4 HDD

→

на что стоит обратить внимание?

На календарь.

thesis ★★★★★
(22.06.23 12:07:07 MSK)

на что стоит обратить внимание?

На то, кто эти запросы шлёт.

allow-query { any; };

А allow-recursion, кстати, кто? Плюс у Bind есть rate-limit c некоторых пор. Кажется с 9 как раз.

AS ★★★★★
(22.06.23 12:20:42 MSK)

Ответ на: комментарий от AS 22.06.23 12:20:42 MSK

у Bind есть rate-limit c некоторых пор. Кажется с 9 как раз.

А, нет, с 9.10.

AS ★★★★★
(22.06.23 12:23:29 MSK)

Ответ на: комментарий от AS 22.06.23 12:20:42 MSK

allow-recursion такой опции нету в конфиге

texac12
(22.06.23 12:46:30 MSK) автор топика

Ответ на: комментарий от texac12 22.06.23 12:46:30 MSK

allow-recursion такой опции нету в конфиге

А вот тогда вопрос, что там по умолчанию, это вот не помню. Если any, то за это, в наше время, бьют канделябром.

AS ★★★★★
(22.06.23 12:49:32 MSK)

на что стоит обратить внимание?

Кстати сделай rndc dumpdb сразу после перезапуска и потом, сравни размер. Да и что внутри тоже.

AS ★★★★★
(22.06.23 12:52:35 MSK)

Ответ на: комментарий от AS 22.06.23 12:52:35 MSK

создался файл в /var/lib/cache/.db - его после теста могу удалить? вообще интересно что там по умолчанию.. сервер достался по наследству- думаю везде там any. allow-recursion { тут указать доверенные подсети; }; такой должен вид быть? спасибо

texac12
(22.06.23 13:02:39 MSK) автор топика

Ответ на: комментарий от texac12 22.06.23 13:02:39 MSK

создался файл в /var/lib/cache/.db - его после теста могу удалить?

Да, он нужен только на посмотреть. Но, сначала, оставь (переименуй только, а то перепишется заново). Смысл посмотреть, на сколько он вырастет, и что туда попадёт, например, к завтрашнему дню.

allow-recursion { тут указать доверенные подсети; }; такой должен вид быть?

да

AS ★★★★★
(22.06.23 13:08:01 MSK)

Ответ на: комментарий от AS 22.06.23 12:49:32 MSK

bind-9.8.4 - это 2012-10-09

т.к. это наследство, то там все такое.

Даже не знаю что посоветовать ТС.

allow-recursion есть в 9.8

https://downloads.isc.org/isc/bind9/9.8.4/doc/arm/Bv9ARM.ch06.html#Configurat...

vel ★★★★★
(22.06.23 13:13:49 MSK)

Ответ на: комментарий от AS 22.06.23 13:08:01 MSK

файл .db объемом 20мб имеет очень много записей со «странными» IP адресами, понаблюдаю.

texac12
(22.06.23 13:28:19 MSK) автор топика

Ответ на: комментарий от vel 22.06.23 13:13:49 MSK

allow-recursion есть в 9.8

Это практически изначально есть. Я не помню, когда не было. Я про rate-limit не сразу вспомнил, когда появилось, смотреть пришлось.

AS ★★★★★
(22.06.23 13:47:08 MSK)

Ответ на: комментарий от texac12 22.06.23 13:28:19 MSK

имеет очень много записей со «странными» IP адресами

Вот кто-то про них спрашивает. Ищи кто. Это должно быть в логе, но, может быть, это надо включить. Как-то так:

logging {
  category queries {log_queries;};
}

Это вне секции options.

AS ★★★★★
(22.06.23 13:47:46 MSK)
Последнее исправление: AS 22.06.23 14:01:29 MSK (всего исправлений: 2)

Ответ на: комментарий от AS 22.06.23 13:47:46 MSK

то есть в самом named.conf указать? нет этого в логе нету, вообще ничего не указанно про логи, куда и что пишется

texac12
(22.06.23 14:21:39 MSK) автор топика

Ответ на: комментарий от texac12 22.06.23 14:21:39 MSK

то есть в самом named.conf указать?

Это уж я не знаю. Можно и в named.conf. Он же многофайловый может быть, как оно в Debian сам смотри. Но logging {} - отдельная секция. Параметров там тоже больше одного.

AS ★★★★★
(22.06.23 14:24:01 MSK)
Последнее исправление: AS 22.06.23 14:24:38 MSK (всего исправлений: 1)

Просто на всякий случай: поддержка Debian 7 закончилась 5 лет назад.

В том ПО с тех пор нашли уйму уязвимостей, которые никто не фиксил давным-давно, конечно.

Если в закрытой сети, то ладно. Но если смотрит в Интернет — это не очень, мягко говоря. Именно благодаря таким серверам у Linux на самом деле очень скверная статистика взломов.

Vsevolod-linuxoid ★★★★★
(22.06.23 19:47:03 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 22.06.23 19:47:03 MSK

Просто на всякий случай: поддержка Debian 7 закончилась 5 лет назад.

+1 и емнип за эти 5 лет у named были найдены уязвимости.

anc ★★★★★
(22.06.23 23:14:03 MSK)

Ответ на: комментарий от anc 22.06.23 23:14:03 MSK

файл /var/cache/.db вырос с 20мб до 46мб. Настроил логи, в них есть записи похожие на те которые были, вот фрагмент помогите плиз с расшифровкой

validating @0x7fd4f6220e00: 8829d8c57060.gr7.us-east-1.eks.elb.learn.consensys.net A: no valid signature found
error (unexpected RCODE REFUSED) resolving 'ns500292.ns500250.ns500262.ns500250.ns500271.ns500259.ns500270.ns500250.ns500249.ns500259.ns500202.ns500250.ns500202.ns500250.ns500249.ns500245.ns500225.ns500219.hereyourhotlady.com/AAAA/IN': 34.173.156.107#53

error (unexpected RCODE REFUSED) resolving 'amedd.range86-539-office.eks-cluster-dev-7.eks.dev.tkwy.io/A/IN': 205.251.196.214#53

dispatch 0x7fd4e8000e80: shutting down due to TCP receive error: 162.93.239.1#53: connection reset

texac12
(23.06.23 10:19:06 MSK) автор топика

Ответ на: комментарий от texac12 23.06.23 10:19:06 MSK

ns500292.ns500250.ns500262.ns500250.ns500271.ns500259.ns500270.ns500250.ns500249.ns500259.ns500202.ns500250.ns500202.ns500250.ns500249.ns500245.ns500225.ns500219.hereyourhotlady.com/AAAA/IN

Это что ещё за хрень и вроде бы от гули?

anc ★★★★★
(23.06.23 10:25:26 MSK)

Ответ на: комментарий от anc 23.06.23 10:25:26 MSK

lame server resolving 'dollarspay111.pages.dev' (in 'dollarspay111.pages.dev'?): 172.64.34.90#53

записи такого типа еще есть, при чем летят они по 6-8 в секунду, лог разрастается быстро Подскажите , как избавиться от этих запросов? Большое всем спасибо

texac12
(23.06.23 10:34:06 MSK) автор топика

Ответ на: комментарий от texac12 23.06.23 10:34:06 MSK

Подскажите , как избавиться от этих запросов?

1. Найти виновника и набить ему лицо.
2. Ограничить с помощью fw || конфигом бинда доступ к named

anc ★★★★★
(23.06.23 10:46:19 MSK)

Может это: 10 лет назад я вкл днс на своей машинке. И тут началось! Перегрев машинки и загруз. Погуглил. Меня и такиж же обзывали пиdopa.. и прочими нехорошими словами. Старая версия днс=сервера отвечала на определенные запросы 1 к 69. Забивала канал. Вообщем проперся я тогда.

~~Boatmen~~
(23.06.23 11:19:31 MSK)
Последнее исправление: Boatmen 23.06.23 11:23:31 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 23.06.23 10:46:19 MSK

спасибо. поможет ли в данном случае allow-recursion ( со списком доверенных сетей) ? или нужно настраивать firewall

texac12
(23.06.23 11:35:39 MSK) автор топика

Ответ на: комментарий от texac12 23.06.23 11:35:39 MSK

поможет ли в данном случае allow-recursion

Мухи отдельно, котлеты отдельно.

или нужно настраивать firewall

Мухи отдельно, котлеты отдельно.

Надеюсь поняли намек :)

anc ★★★★★
(23.06.23 11:40:21 MSK)

Ответ на: комментарий от texac12 23.06.23 10:34:06 MSK

при чем летят они по 6-8 в секунду, лог разрастается быстро

Я же написал, что у logging {} много параметров. category lame-servers { null; };

AS ★★★★★
(23.06.23 11:48:28 MSK)

Ответ на: комментарий от texac12 23.06.23 10:19:06 MSK

вот фрагмент помогите плиз с расшифровкой

Основной вопрос в том, кто спрашивает. С какого IP запрос приходит?

AS ★★★★★
(23.06.23 11:50:45 MSK)

Ответ на: комментарий от AS 23.06.23 11:50:45 MSK

23-Jun-2023 13:38:39.645 queries: info: client 45.174.80.209#28578: query: higi.com IN ANY +E (192.168.67.13)
23-Jun-2023 13:38:39.676 queries: info: client 213.133.123.162#52471: query: hjfepc03.s3.amazonaws.com IN CNAME + (192.168.67.13)
23-Jun-2023 13:38:39.678 queries: info: client 141.8.180.56#37517: query: ns2.standart-n.RU IN A -EDC (192.168.67.13)
23-Jun-2023 13:38:39.678 queries: info: client 141.8.180.56#15073: query: ns1.standart-n.RU IN A -EDC (192.168.67.13)
23-Jun-2023 13:38:39.689 queries: info: client 45.174.80.209#28578: query: higi.com IN ANY +E (192.168.67.13)
23-Jun-2023 13:38:39.691 queries: info: client 45.174.80.10#27582: query: higi.com IN ANY +E (192.168.67.13)
23-Jun-2023 13:38:39.696 queries: info: client 45.174.80.10#27582: query: higi.com IN ANY +E (192.168.67.13)

то есть правильно понимаю слева клиенты с IP опрашивают доменные имена higi.com и другие через наш DNS 67.13?

texac12
(23.06.23 12:45:52 MSK) автор топика

Чтобы посмотреть кто что спрашивает и что получает в ответ не нужно ничего делать с named.

tcpdump -ni any -s0 -w /tmp/x.pcap -v '(dst host X and dst port 53) or (src host X and src port 53)'

X - внешний адрес хоста named.

потом посмотреть «tcpdump -nvvr /tmp/x.pcap»

vel ★★★★★
(23.06.23 12:51:20 MSK)
Последнее исправление: vel 23.06.23 12:52:24 MSK (всего исправлений: 1)

Ответ на: комментарий от texac12 23.06.23 12:45:52 MSK

Правильно.

Если higi.com - твой домен, то это легальные запросы.

vel ★★★★★
(23.06.23 12:55:30 MSK)

Ответ на: комментарий от texac12 23.06.23 12:45:52 MSK

то есть правильно понимаю слева клиенты с IP опрашивают доменные имена higi.com и другие через наш DNS

Да. Причём эти IP - вероятно адреса жертв твоего DNS, если это не твои адреса конечно. Если higi.com не твой домен. И hjfepc03.s3.amazonaws.com тоже.

AS ★★★★★
(23.06.23 13:33:16 MSK)
Последнее исправление: AS 23.06.23 13:34:35 MSK (всего исправлений: 1)

Ответ на: комментарий от AS 23.06.23 13:33:16 MSK

не мои домены. allow-recursion {192.168.1.0/24; 192.168.2.0/24,и другие доверенные подсети;}; они не смогут сделать рекурсивный запрос через меня?

texac12
(23.06.23 14:31:41 MSK) автор топика

Ответ на: комментарий от texac12 23.06.23 14:31:41 MSK

192.168.1.0/24; 192.168.2.0/24,

Сделал бы 192.168.0.0/16, всё равно приватные.

они не смогут сделать рекурсивный запрос через меня?

Если так сделать, то да.

AS ★★★★★
(23.06.23 14:47:17 MSK)

←	Проблема с xrdp

Admin

Скорость работы mdadm с RAID10 из 4 HDD

→

Похожие темы