[named] RCODE REFUSED

dorian53 · 5 Novembre 2011

Bonjour,

Dans les logs "messages" je vois apparaître ce genre de ligne.

Code:

error (unexpected RCODE REFUSED) resolving 'xxx.xxx.xxx.80.in-addr.arpa/PTR/IN': xx.xxx.xxx.99#53

Il y a énormément de topics à ce sujet, beaucoup disent que c'est "normal" ou "pas grave" mais je ne trouve aucune explication précise sur ce message.

Quelle est cette erreur ?
D'une résolution DNS erronnée ?

D'où vient-elle ?
Du serveur lui même, d'un client, d'une attaque ?

Surtout, comment reproduire cette erreur ?
Pour tester, la corriger ou bloquer

Merci,
Dorian

FloBaoti · 6 Novembre 2011

L'IP que tu caches est-elle celle de ton serveur DNS ? Dans ce cas, je pense qu'il s'agit de certains clients qui, lorsqu'il font une requête sur ton serveur, essayent en même temps de faire une requête normale et inversée sur le nom/IP du serveur.
Exemple, sous Windows, avec l'utilitaire nslookup, lorsque tu demande à un serveur DNS de résoudre un nom, nslookup va demander en + à ce serveur, de résoudre son adresse IP.
Une solution est donc de créer une zone inversée sur le serveur, permettant de résoudre son nom (cf le fonctionnement de la zone in-addr.arpa).
Ai-je été clair ?

Julia41 · 7 Novembre 2011

L'IP que tu as "masqué" (utilement ou non) est-elle à "toi" (ou ton cercle de serveur de connaissance).
Si non, je pense que c'est tout à fait normal.

Cela vient de ton serveur qui tente de QUERY un autre serveur DNS qui est mal configuré, pas à jour.
Typiquement et grossièrement : tu demandes à un serveur DNS une information pour laquelle il ne souhaite pas répondre.
Méthaphore : Tu vas chez MacDo et tu demandes un Quick'N'Toast. (Tu vas chez Quick et tu demandes un Big Mac

)

Bref, tout à fait normal.

jcaron · 7 Novembre 2011

Pour répondre précisément aux questions:

Quelle est cette erreur ?
Quand ta machine a demandé le nom (PTR) associé à l'IP en question, l'un des NS pour cette zone-là a refusé de répondre.

D'où vient-elle ?
Le NS en question est a priori mal configuré.

Surtout, comment reproduire cette erreur ?
Si l'adresse IP est 1.2.3.4

dig -x 1.2.3.4
ou mieux:
dig NS 3.2.1.in-addr.arpa.
(tu obtiens les NS pour cette zone)
dig -x 1.2.3.4 @adresse-d-un-des-NS-obtenus

Jacques.

dorian53 · 7 Novembre 2011

Merci pour vos réponses.
Absent les prochains jours, j'analyserai ça à mon retour.

Non il n'y a pas la présence de l'IP de mon serveur dans ce que j'ai caché.

D'où vient-elle ?
Pourquoi le serveur demande ce genre de résolution ?
Quelle opération ? Quel logiciel ?

jcaron · 7 Novembre 2011

Le plus classique ce sont les serveurs de mail qui aiment bien récupérer le "reverse" de l'IP, mais Apache peut le faire aussi si le configures pour (ce qui est généralement une très mauvaise idée). Il y a probablement d'autres softs qui peuvent être amenés à le faire.

Jacques.

Julia41 · 8 Novembre 2011

jcaron a dit:
Le plus classique ce sont les serveurs de mail qui aiment bien récupérer le "reverse" de l'IP, mais Apache peut le faire aussi si le configures pour (ce qui est généralement une très mauvaise idée).

Ou même Webalizer par exemple qui fait pas mal de queries lors d'un update (Pareil dépends des options).

Bref complètement normal