522
技術社區[雲棲]
linux DNS解析異常的排查
1,係統可以正常ssh登陸
2,係統內ping域名提示unknown host
3,係統內ping ip可以通,內外網網關沒問題
4,嚐試重啟/關閉nscd測試問題還是沒有得到解決
5,抓包沒有對外請求
ping域名的時候抓包,發現沒有對外53端口的請求,下圖是ping的時候抓包的其他請求
6,上大招,strace ping -c 2 www.baidu.com 
7,懷疑是selinux問題,檢查沒有配置
8,使用nslookup測試發現正常
檢索資料,說ping走的是nss,nslookup不走nss
9,檢查nsswitch.conf 對比正常的機器測試沒有發現異常
10,nss沒問題,看看hosts,發現有ipv6的痕跡
11,ipv6處理掉還是不行,繼續排查,回滾原始的錯誤,重點先看resolv.conf
12,文件有問題,幹掉resolvconf試試
dpkg -l | grep resolv
apt-get remove resolvconf
reboot
vim /etc/resolv.conf
chattr -i /etc/resolv.conf
還是不行,通過雲盾的曆史記錄獲取到一個重要線索,被黑過,植入了後門,
檢查調用庫,發現
libresolv.so被替換,替換回正常的so文件恢複,
注意:已經被黑的情況下,建議備份好數據之後,重做係統,沒有專業安全人員的話,可以考慮購買阿裏雲的安全管家服務
https://www.aliyun.com/product/sos
再來一例
抓包看dns解析已經返回結果了,但是係統不認
前麵各種查,沒有明顯異常,客戶開了iptables,規則如下
沒有output的限製,結合已經返回數據的這一條規則,懷疑是跟udp無狀態的特性導致
● RELATED - The connection is new, but is related to another connection already permitted.
● ESTABLISHED - The connection is already established.
添加後恢複
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
最後更新:2017-06-14 22:35:35