每隔两天左右,我的服务器就会停止响应它的服务。 我可以ping它,但我不能使用SSH,所以我必须进入我的主机的控制面板,并重置它。
当它恢复时,在/ var / log / messages中崩溃之前的最后一个日志条目是以下变体:
名为[3493]:意外的RCODE(SERVFAIL)parsing“3.39.148.159.in-addr.arpa/PTR/IN”:193.0.0.193#53
这可能是DoS攻击的一部分吗? 我没有在这个服务器上configuration绑定,并不认为我需要(但可能是天真的)。
首先问题:它实际上是否需要外界可访问的绑定? 如果没有,只需阻止DNS端口上的进入stream量,并且你已经设置好了。
但是,是的,间接的,这是“攻击”的一部分,因为你的邮件服务器可能试图将“找不到用户”的邮件反弹到虚假服务器上。
你有没有在你的机器上运行spamassassin? 如果你被spamwave命中,并且perl spamassassin试图处理所有的邮件,它可能会把你的系统放在不幸的configuration上。
该系统日志条目很可能是您的机器正在尝试查找刚刚连接到它的主机的IP。 193.0.0.193是RIPE的DNS服务器之一,对于用于从IP映射到主机名的in-addr.arpa树的部分是权威的。
这些DNS查询极有可能导致您的机器崩溃。 从任何入站stream量中间接导致DNS查找的资源消耗的可能性更大。
查看服务器提供给外部世界的入站服务,以及决定是否需要为每个入站连接实时执行DNS查找将是非常有用的。
例如,如果这是一个Web服务器,请不要将主机名存储在日志文件中,只需存储远程IP地址即可。 然后添加主机名(以后需要)离线。
什么版本的绑定? 另外,是否有可能运行服务器的tcpdump来捕获查询? 如果绑定是在杀死整个机器,我会感到惊讶,那么在日志中的上述命名条目之前还有什么有趣的东西?