[linux] Server returned error NXDOMAIN

Geert Stappers stappers op stappers.nl
Za Mrt 30 17:24:58 CET 2019 

On Sat, Mar 30, 2019 at 04:47:20PM +0100, Frans van Berckel wrote:
> On Sat, 2019-03-30 at 14:27 +0100, Geert Stappers wrote:
> > On Sat, Mar 30, 2019 at 02:08:26PM +0100, Daniel C. von Asmuth wrote:
> 

En eerder
|| On Sat, Mar 30, 2019 at 01:53:10PM +0100, Geert Stappers wrote:
|| > On Sat, Mar 30, 2019 at 01:40:28PM +0100, Frans van Berckel wrote:
|| > > 
|| > > Nu zie in syslog iedere keer deze melding langs komen. Iemand hier wel
|| > > eens mee te maken gehad? Question: bug or feature?
|| > 
|| > Answer: misconfiguration
|| > 
|| > 
|| > > # tail -f /var/log/syslog
|| > > 
|| > > Mar 30 11:43:39 deblnxsrv251 systemd-resolved[393]: message repeated 168 times: [ Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.]
|| > > Mar 30 11:43:46 deblnxsrv251 systemd-resolved[393]: Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.
|| > > Mar 30 11:55:35 deblnxsrv251 systemd-resolved[393]: message repeated 84 times: [ Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.]
|| > 


> > > > Die melding betekent iets als
> > > >   "Er wordt een DNS query gedaan en DNS antwoordt 'domein bestaat niet'"
> > > > 
> > > > 
> > > > Advies:
> > > > Achterhaal wat er aan DNS gevraagd wordt. Vandaar uit vindt je
> > > > waarschijnlijk ook welk program die vraag aan het stellen is.
> > > 
> > > Dat antwoord is zo gegeven: systemd-resolved
> 
> Voor dat ik mijn e-mail stuurde, ook al even zitten zoeken. En zag ik
> bij vragen en antwoorden ook een aantal keer systemd-resolved. Maar of
> die het is ik weet ik niet?
> 
> > Zou kunnen.
> > Laten we afwachten op bericht van OP wat er aan DNS gevraagd wordt.
> > 
> > Tip: gebruik je favoriete network sniffer om te zien wat er aan DNS
> > gevraagd wordt. Als je ook de vele 'NXDOMAIN's ziet, dan kijk je
> > op de juiste interface.
> 
> Met sniffit krijg ik geen verkeer. Hij heeft ook nauwelijks load.
> 
> # sniffit -i -F enp2s8
> 
> En iftop laat zien dat de server met resolver.xs4all.nl praat. Dat is
> mijn verbindings DNS.
> 
> Maar met welke sniffer zie jij welk programma (of lees daemon) het is?
> En boven al, hoe dan?

Euh, je wilt filteren op DNS verkeer.
Mijn "sniffer of choice" is tcpdump.[0]
Het is dan `tcpdump port domain` wat ik in typ.

Dan kijk ik naar de standaard interface.
In dit geval zou ik ook naar de loopback interface kijken,
dus `tcpdump -i lo port domain`. Op zijn minst zo lang tot
er weer in syslog gemeld wordt dat er de 'NXDOMAIN' voorbij is gekomen.


} Welke netwerksniffer kan zien welk programma c.q. daemon het is?

Geen. Meeluisteren op een network interface is totaal iets anders
dan in een tabel met procesnamen kijken.


Maar inderdaad, "systemd-resolved: message repeated 168 times: Server returned error NXDOMAIN",
moet je niet willen.  Krijg helder wat het Not eXisting DOMAIN is.



Groeten
Geert Stappers

[0] Ooit geleerd van W. Richard Stevens, ik heb nog geen reden gehad om te
switchen naar tshark. Wireshark is een andere categorie.

Meer informatie over de Linux maillijst