什么是DNS反向解析,为什么要有DNS反向解析
DNS通常用来解析域名对应的主机IP地址,这就是通常我们所了解的正向解析。
而反向解析则是通过ip查找域名,DNS反向解析用来屏蔽非法的IP访问请求;
常见于邮件屏蔽系统,而apache,ssh,mysql等服务器端程序也会默认携带。
例如:邮件头包含域名和邮箱服务器的IP地址,一般邮件系统会检测发送来的域名是否合法(比对黑白名单),
如果合法则接收该邮件,不合法则丢弃;对于自架邮件系统专门发送垃圾邮件的人,为了能逃避目标邮件系统的审核,
此时可以通过将自己的邮件头域名篡改为常用的如Gmail邮件域名来逃脱检查。大量动态IP的非法请求催生了DNS反向解析技术的发展。
DNS 反向解析慢
- 不良网络连接:如果网络连接不稳定或者网络延迟高,DNS反向解析可能会慢。
- DNS服务器故障:如果使用的DNS服务器出现故障或者负载过高,反向解析可能会慢。
- DNS配置错误:配置错误或者不正确的DNS设置可能导致反向解析速度变慢。
- DNS缓存问题:DNS服务器的缓存可能会影响反向解析的速度,如果缓存过期或者不够及时更新,会导致反向解析变慢。
- DNS查询量过大:如果服务器需要处理大量的DNS查询请求,可能会导致反向解析速度变慢。
出现解析慢的实际处理办法
- 关闭应用的反向解析,例如SSH Mysql等都是支持关闭反向解析的,可以通过关闭解决问题
- 修正错误的DNS配置
- 如果确定系统中不需要使用反向解析,可以关闭系统中DNS反向解析
SSH中的DNS反向解析
- 取消sshd服务的dns反向解析
vi /etc/ssh/sshd_config
- 找到选项UseDNS ,取消注释,改为
UseDNS no
- 重启sshd服务
/etc/init.d/sshd restart
修正错误的DNS配置
检查配置文件中的dns服务器配置是否正确,如果不正确,调整成有效的地址,保证解析工作能正常进行
/etc/resolv.conf
在 CentOS 中关闭反向解析的步骤
- 打开 named.conf 文件并修改配置
在 CentOS 中,named.conf 文件中包含了 DNS 服务器的配置信息。我们可以通过修改该文件来关闭反向解析。使用以下命令打开 named.conf 文件:
sudo vi /etc/named.conf
# 在该文件中添加以下配置:
options {
check-names ignore;
recursion no;
additional-from-auth no;
additional-from-cache no;
allow-query { any; };
};
# 其中,check-names ignore 表示忽略域名的检查;recursion no 表示关闭递归查询;additional-from-auth no 和 additional-from-cache no 表示不使用缓存;allow-query {any;} 表示允许任意主机查询。
- 重启 named 服务
修改完成 named.conf 文件之后,我们需要重启 named 服务,使其重新读取配置。使用以下命令重启 named 服务:
sudo systemctl reload named
- 测试反向解析是否关闭
重启 named 服务之后,我们可以使用 dig 命令测试反向解析是否关闭。在终端中输入以下命令:
dig -x 8.8.4.4
