[named] RCODE REFUSED

[dorian53]

Bonjour,

Dans les logs "messages" je vois apparaître ce genre de ligne.

Code: Tout sélectionner

error (unexpected RCODE REFUSED) resolving 'xxx.xxx.xxx.80.in-addr.arpa/PTR/IN': xx.xxx.xxx.99#53

Il y a énormément de topics à ce sujet, beaucoup disent que c'est "normal" ou "pas grave" mais je ne trouve aucune explication précise sur ce message.


Quelle est cette erreur ?
D'une résolution DNS erronnée ?

D'où vient-elle ?
Du serveur lui même, d'un client, d'une attaque ?

Surtout, comment reproduire cette erreur ?
Pour tester, la corriger ou bloquer

Merci,
Dorian

[FloBaoti]

L'IP que tu caches est-elle celle de ton serveur DNS ? Dans ce cas, je pense qu'il s'agit de certains clients qui, lorsqu'il font une requête sur ton serveur, essayent en même temps de faire une requête normale et inversée sur le nom/IP du serveur.
Exemple, sous Windows, avec l'utilitaire nslookup, lorsque tu demande à un serveur DNS de résoudre un nom, nslookup va demander en + à ce serveur, de résoudre son adresse IP.
Une solution est donc de créer une zone inversée sur le serveur, permettant de résoudre son nom (cf le fonctionnement de la zone in-addr.arpa).
Ai-je été clair ?

[Julia41]

L'IP que tu as "masqué" (utilement ou non) est-elle à "toi" (ou ton cercle de serveur de connaissance).
Si non, je pense que c'est tout à fait normal.

Cela vient de ton serveur qui tente de QUERY un autre serveur DNS qui est mal configuré, pas à jour.
Typiquement et grossièrement : tu demandes à un serveur DNS une information pour laquelle il ne souhaite pas répondre.
Méthaphore : Tu vas chez MacDo et tu demandes un Quick'N'Toast. (Tu vas chez Quick et tu demandes un Big Mac :p)

Bref, tout à fait normal.

[jcaron]

Pour répondre précisément aux questions:

Quelle est cette erreur ?
Quand ta machine a demandé le nom (PTR) associé à l'IP en question, l'un des NS pour cette zone-là a refusé de répondre.

D'où vient-elle ?
Le NS en question est a priori mal configuré.

Surtout, comment reproduire cette erreur ?
Si l'adresse IP est 1.2.3.4

dig -x 1.2.3.4
ou mieux:
dig NS 3.2.1.in-addr.arpa.
(tu obtiens les NS pour cette zone)
dig -x 1.2.3.4 @adresse-d-un-des-NS-obtenus

Jacques.

[dorian53]

Merci pour vos réponses.
Absent les prochains jours, j'analyserai ça à mon retour.

Non il n'y a pas la présence de l'IP de mon serveur dans ce que j'ai caché.

D'où vient-elle ?
Pourquoi le serveur demande ce genre de résolution ?
Quelle opération ? Quel logiciel ?

[jcaron]

Le plus classique ce sont les serveurs de mail qui aiment bien récupérer le "reverse" de l'IP, mais Apache peut le faire aussi si le configures pour (ce qui est généralement une très mauvaise idée). Il y a probablement d'autres softs qui peuvent être amenés à le faire.

Jacques.

[Julia41]

Le plus classique ce sont les serveurs de mail qui aiment bien récupérer le "reverse" de l'IP, mais Apache peut le faire aussi si le configures pour (ce qui est généralement une très mauvaise idée).

Ou même Webalizer par exemple qui fait pas mal de queries lors d'un update (Pareil dépends des options).

Bref complètement normal