BIND9: “análise de mensagem falhou: FORMERR”

Question

BIND9: “análise de mensagem falhou: FORMERR”

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

meu BIND 9.10.3 está registrando entradas estranhas como:

Jan 12 12:44:49 www named[24776]: client 117.136.25.126#18977: message parsing failed: FORMERR
Jan 12 12:50:47 www named[24776]: client 117.136.25.126#18978: message parsing failed: FORMERR
Jan 12 13:00:08 www named[24776]: client 117.136.95.15#24805: message parsing failed: FORMERR

117.136.95.15 não está na minha rede, e eu não permito recursão para nada além de localhost, portanto, deve ser para uma zona para a qual eu sou autoritário.

Isso só começou recentemente (5 de janeiro). Olhando para o log, parece que apenas as consultas de:

# zfgrep "message parsing failed: FORMERR" daemon.log*  | awk '{print $7}' |awk -F\. '{printf("%s.%s.x.x\n",$1,$2)}'  | sort | uniq -c | sort -n 
  1 101.27.x.x
  1 121.31.x.x
  1 1.84.x.x
  1 61.158.x.x
104 223.104.x.x
150 117.136.x.x

estão causando isso. Olhando para as informações do WHOIS para esses IPs:

inetnum:        117.128.0.0 - 117.191.255.255
netname:        CMNET
descr:          China Mobile Communications Corporation
descr:          Mobile Communications Network Operator in China
descr:          Internet Service Provider in China
country:        CN

inetnum:        223.64.0.0 - 223.117.255.255
netname:        CMNET
descr:          China Mobile Communications Corporation
descr:          Mobile Communications Network Operator in China
descr:          Internet Service Provider in China
country:        CN

bind china

por Ralf Hildebrandt 12.01.2017 / 13:25

2 respostas

Tags bind china

Registra RedHat (rhn_register vs subscribe-manager) Docker Compose não pode obter variáveis de ambiente e informações de relação

score 1 · Answer 1

Parece que as consultas DNS não estão bem formatadas. Talvez você tenha um dispositivo de rede corrompendo o tráfego UDP, ou talvez esses IP sejam de um botnet procurando por alguns servidores DNS exploráveis (é o que eu acho)

score 1 · Answer 2

Então, eu peguei um tcpdump e fui recompensado com alguns pacotes das mesmas duas redes, causando as mesmas mensagens no meu log.

Olhando para os pacotes, nada na carga útil do DNS parece estar correto:

No campo com o nome do domínio é um binário "0". Os rótulos de domínio DNS são codificados por comprimento - e um comprimento "0" indica um "nome vazio" - a zona raiz tem o nome vazio.

Mas como o restante da carga útil do DNS também consiste quase exclusivamente em zeros, provavelmente é coincidência.

Pode ser e atacar, mas é mais provável que haja software quebrado (como um firewall).