103 votes

Gregory Schultz avatar

Une nouvelle alerte continue de s'afficher : Le serveur a renvoyé l'erreur NXDOMAIN, atténuant la violation potentielle du DNS DVE-2018-0001

Demandé el 23 de Juillet, 2018
Quand la question a-t-elle été
174444 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens d'installer un nouveau serveur Ubuntu 18.04. J'ai défini mon nom d'hôte hostnamectl set-hostname ****.openbayou.biz et j'ai mis /etc/hosts :

127.0.0.1 localhost
[ip address] ****.openbayou.biz hostname
# The following lines are desirable for IPv6 capable hosts
[ip6 address] *****.openbayou.biz hostname
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

J'ai également installé OSSEC pour surveiller les nouveaux fichiers, les erreurs et les modifications apportées à mon serveur et je reçois maintenant ces alertes :

Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018- 
0001, retrying transaction with reduced feature level UDP.`

Cela se répète maintenant :

systemd-resolved[3195]: message repeated 4 times: [ Server returned error 
NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction 
with reduced feature level UDP.]

J'ai cherché une solution en ligne et personne n'a signalé ce problème.

Demandé el 23 de Juillet, 2018 par Gregory Schultz

Réponses

Trop de publicités?

9voto

jeremy avatar
jeremy Points 388

Après avoir lu les réponses précédentes et d'autres pages web telles que Ubuntu 18.04 systemd-erreur résolue NXDOMAIN est qu'il s'agit plus d'un avertissement que d'une erreur et qu'il n'y a rien que je puisse faire de mon côté à ce sujet.

Par conséquent, je suis d'accord avec ceux qui disent que nous ne devrions pas essayer de faire quelque chose de notre côté pour que ces messages ne soient plus produits. Si nous réussissons, il est probable que nous ayons modifié la manière normale dont le système résout les demandes DNS.

Cependant, comme j'en ai des milliers (je suis également dans un bureau - ce n'est pas un serveur), je ne veux pas les voir dans mon fichier syslog. Par conséquent, en suivant https://www.rsyslog.com/doc/v8-stable/configuration/filters.html y Préfixe de paire de chiffres pour les fichiers de configuration j'ai ajouté un fichier nommé 10-resolv.conf avec une seule ligne :msg, contains, "Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP" ~ dans le répertoire /etc/rsyslog.d .

Le nom 10-resolv.conf n'est pas important, mais il doit précéder tous les autres noms de fichiers du répertoire dans l'ordre alphabétique. La commande :msg, contains, <message-part> ~ dit que tous les messages qui contiennent <message-part> doivent être ignorés : le tilde ~ dans la commande dit de laisser tomber le message.

Note ajoutée : Depuis que j'ai écrit cette réponse, j'ai installé quelques paquets (pour d'autres raisons) et le message d'erreur n'est plus produit comme vérifié avec journalctl -u systemd-resolved -f . Un paquet installé qui pourrait expliquer la disparition de ce message est libnss-resolve.

Répondu el 20 de Mars, 2019 par jeremy (388 Points )

2voto

Guest avatar
Guest Points 29

Résumé :

NXDOMAIN Le message d'erreur signifie qu'un domaine n'existe pas.

Certains fournisseurs d'accès ont lancé le détournement de DNS ou la redirection de DNS pour les messages d'erreur NXDOMAIN. Il s'agit de la pratique consistant à rediriger la résolution des noms du système de noms de domaine (DNS) vers d'autres serveurs DNS ou serveurs web.

Couramment utilisé pour afficher des publicités ou collecter des statistiques.

Cette pratique viole la norme RFC pour les réponses DNS (NXDOMAIN).

Phishing : des attaques de type "Cross-site scripting" peuvent se produire en raison d'un détournement malveillant.

Censure : Les fournisseurs de services DNS bloquent l'accès à certains domaines.

Monté ici : https://www.dnsknowledge.com/whatis/nxdomain-non-existent-domain-2/

Répondu el 5 de Février, 2019 par Guest (29 Points )

2voto

intosomethin avatar
intosomethin Points 189

Apparemment, il n'est plus lié à 127.0.0.53, mais je n'ai eu aucun problème avec lui depuis qu'il est lié à nouveau.

Je pense qu'il y a un rapport de bug sur celui-ci. En tout cas, ça a très bien fonctionné après avoir refait le lien.

Des pas :

# systemctl status systemd-resolved

# unlink /etc/resolv.conf

# ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf

# systemctl restart systemd-resolved

# systemctl status systemd-resolved
Répondu el 10 de Février, 2020 par intosomethin (189 Points )

0voto

rosch avatar
rosch Points 7091

J'ai pu me débarrasser du message et, au passage, j'ai également pu me connecter à mon serveur samba en changeant le nom du serveur en server.domain au lieu de seulement server .

Répondu el 24 de Octobre, 2018 par rosch (7091 Points )

0voto

Szektor avatar
Szektor Points 1

Dans mon cas, Google Cloud n'aime pas les DNS de CloudFlare. Après avoir exécuté la commande suivante à partir de bain au-dessus de

sudo tcpdump -vv port 53 | grep NXDomain

Lorsque j'ouvre mon domaine dans un navigateur, j'obtiens :

dns.google.domain > .... : [somme udp ok] .... NXDomain q : PTR ? ... ns : .... SOA ....cloudflare.com. dns.cloudflare.com. ....

Cela pourrait être le cas avec d'autres fournisseurs de VPS-CDN également.

Déplacer les DNS vers votre fournisseur VPS/Cloud peut aider.

Répondu el 27 de Janvier, 2020 par Szektor (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X