Estou usando o BIND9 como um servidor de nomes somente em cache na minha máquina.
O BIND está apenas ouvindo no localhost e somente o localhost tem permissão para consultar o servidor DNS. Eu uso para armazenar pedidos em cache para as listas de RBL, porque a máquina é o servidor de e-mail.
Recebo um monte de avisos do BIND sobre a resolução do servidor defeituoso:
named[1017]: lame server resolving 'www.gadgethive.com' (in 'gadgethive.com'?): 109.73.163.116#53
named[1017]: lame server resolving 'www.gadgethive.com' (in 'gadgethive.com'?): 109.73.163.115#53
named[1017]: lame server resolving 'www.gadgethive.com' (in 'gadgethive.com'?): 109.73.163.116#53
Eu entendo o que isso significa, mas não consigo encontrar o culpado por essa mensagem. É sempre o mesmo domínio nos logs e, ao examinar os logs do servidor de email, não consigo encontrar o email com esse domínio.
Para piorar as coisas, nem mesmo um e-mail foi recebido no momento em que esses registros são registrados no log do sistema.
Existe uma maneira de descobrir qual processo no servidor está emitindo essas solicitações?
O BIND9 não tem noção de o que está pedindo para fazer uma pesquisa. Só sabe que uma conexão foi feita em uma porta ... e pediu alguns registros DNS. Sua melhor aposta é registrar conexões DNS usando o iptables. A partir daí, você pode descobrir exatamente quem conectou & quando, e referência cruzada deles.
Tags bind domain-name-system