RCODE (SERVFAIL) imprevisto che causa l'arresto anomalo del bind?

Ogni due giorni circa, il mio server smette di rispondere completamente ai suoi servizi. Posso eseguire il ping, ma non posso usare SSH, quindi devo andare nel pannello di controllo del mio host e resettarlo.

Quando viene eseguito il backup, l'ultima voce di registro prima dell'arresto anomalo in / var / log / messaggi sono le seguenti variazioni:

chiamato [3493]: imprevisto RCODE (SERVFAIL) che risolve '3.39.148.159.in-addr.arpa/PTR/IN': 193.0.0.193 # 53

Potrebbe far parte di un attacco DoS? Non ho configurato il bind su questo server e non pensavo che avrei dovuto (per quanto ingenuo possa essere).

Domanda prima di tutto: ha davvero bisogno del legame accessibile al mondo esterno? In caso contrario, basta bloccare il traffico in entrata sulle porte DNS e il gioco è fatto.

Ma sì, indirettamente questo fa parte di un 'attacco', poiché il tuo server di posta sta probabilmente cercando di rimandare le mail "utente non trovato" a server fasulli.

E hai spamassassin in esecuzione sul tuo computer? Se sei colpito da uno spamwave e lo spamassassin perl sta cercando di gestire tutta la posta, potrebbe portare il tuo sistema su configurazioni sfortunate.

Quella voce di syslog è molto probabilmente il tuo computer che cerca di cercare l'IP di un host che si è appena connesso. 193.0.0.193è uno dei server DNS di RIPE che sono autorevoli per parte in-addr.arpadell'albero utilizzato per mappare da IP a nome host.

È estremamente improbabile che queste query DNS stiano causando l'arresto anomalo del computer. È molto più probabile che sia il drenaggio delle risorse da qualsiasi traffico in entrata causi indirettamente le ricerche DNS.

Sarebbe molto utile esaminare quali servizi in entrata il tuo server offre al mondo esterno e decidere se è necessario eseguire ricerche DNS in tempo reale per ciascuna di quelle connessioni in entrata.

Ad esempio, se si tratta di un server Web, non archiviare i nomi host nei file di registro, è sufficiente memorizzare gli indirizzi IP remoti. Quindi aggiungere i nomi host in un secondo momento (se mai necessario) offline.

Quale versione di bind? Inoltre, è possibile eseguire tcpdump del server per catturare la query non appena arriva? Sarei sorpreso se Bind stesse uccidendo l'intera macchina, quindi c'è qualcosa di interessante prima della voce sopra menzionata nei registri?