• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

validating dlv.isc.org SOA: got insecure response

M

motions

Opensuse 11.3 x64
var/log/messages wird bei mir seit einiger Zeit vollgemüllt mit dem hier:
named[3979]: validating @0x7f9538d539c0: dlv.isc.org SOA: got insecure response; parent indicates it should be secure

Etwas rum-gegoogelt habe ich schon. Das hat wohl mit den signierten DNS Einträgen zu tun.
Nur was ich nicht begriff habe:
-Muss ICH denn jetzt etwas tun (Konfiguration ändern, irgendwelche anderen roots eintragen)?
-Wenn das nur eine informative Meldung ist und ich eh nichts ändern muss/kann/soll, wie kann ich diesen Meldungstyp unterdrücken, damit der mir nicht das Log vollspamt?
 
RME

RME

Hallo,

Nicht dass ich jetzt irgend etwas davon verstehe, aber...

https://www.dns-oarc.net/oarc/services/replysizetest

...got insecure response; parent indicates it should be secure

It means named fellback to making a plain DNS query due to multiple
timeouts, or getting a SERVFAIL response to the EDNS queries, or
something stipped out the RRSIGs or there was a attempt to poison
the cache. The validator then rejected the answer as it knew it
should be getting a secure response. In most cases named will re-do
the query and get a good answer unless there is a configuration failure.

Unfortunately there are nameservers that don't respond to EDNS
queries. There are also firewalls that block DNS/UDP responses
bigger 512 bytes or block EDNS queries/responses 10 years after the
introduction of EDNS. There are also middleware that blocks/drops
DNS/UDP responses that are fragmented. All of these things result
in DNS lookups timing out which is indistinguishable from plain
packet loss.
Zum Vergrößern anklicken....
https://www.dns-oarc.net/oarc/services/replysizetest

There are also firewalls that block DNS/UDP responses bigger 512
bytes or block EDNS queries/responses 10 years after the
introduction of EDNS. There are also middleware that blocks/drops
DNS/UDP responses that are fragmented.
Zum Vergrößern anklicken....
Tool:

https://www.dns-oarc.net/oarc/services/replysizetest

Vielleicht hilfts ;)

Gruss,
Roland
 
OP
M

motions

Vielen Dank für den Tip.
Der ReplySizeTest zeigt bei mir eine "DNS Reply size limit is at least 490".
Also ist eher mein Router das Problem. Ich werde das Problem mal in einem entsprechenden Forum plazieren und schauen, ob ich da eine Lösung kriege.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben