名詞解釋:僞DNS解析,指與互聯網正規域名解析不相符的DNS解析,如在自己的私有DNS服務器上添加私有的DNS記錄,在主機本地解析查詢文件 hosts 中添加的IP地址域名映射等等。
也許有人會問爲什麼要這麼做,直接在域名服務商處添加合法的A記錄不就可以了嗎?所謂萬事皆有因果可循,存在即爲合理。僞DNS解析的存在是有它的道理的。
1、內部應用的便捷高效訪問
這把戲被很多網管使用,比如我們有一臺服務器A,內部IP地址爲192.168.0.100,通過路由器B對其進行了發佈,發佈外部地址爲 211.211.211.211,對應域名爲 www.novosupport.com ,如果我們內部人員訪問這個服務器照常理是應該是用www.novosupport.com的外部地址 211.211.211.211來訪問,勢必會經過路由器B;而我們在內部的DNS服務器上增加僞DNS解析,將 www.novosupport.com 解析到 192.168.0.100 就可以不經過路由器B了,一方面提高了訪問速度,縮短了訪問路徑,另一方面減輕了B的負擔。
2、非公開互聯網應用的發佈
當我們只想授權某些公網用戶能訪問我們的某些特殊Web應用而不必通過***等複雜手段的時候,我的通常做法是建立基於域名的虛擬主機,邦定非法域名,進行映射發佈,同時將域名、地址對應關係告知相應訪問人,讓其在hosts中添加僞解析。這個僞域名可以和你的企業沒有任何關係,甚至有時候會特意的使用一些知名的域名,比如baidu.com,我們發佈一個web應用使用 zhidao.baidu.com 來訪問,只有添加了僞記錄的人才能正確訪問到我們的應用,而其他人只能打開baidu自己的網站了。
3、簡易上網控制、內部偵查自動登記
其實這個工作防火牆會解決的更好,但在沒有能力購買專業防火牆的時候可以考慮這樣來釣魚。比如我們在內部的DNS服務器上添加了一個 *.kaixin123.com 的泛域名僞記錄,而將其指定到我們自己的服務器上,並且製作了和原網站一模一樣的頁面,這時候當員工訪問這個網站並且按照常理輸入用戶名密碼之後,還要擔心抓不到這個人嗎?(這麼做好像不怎麼道德……)其實很多時候是充當了一種簡易的防火牆,當我們不希望員工訪問baidu.com時,我們可以添加泛域名解析*.baidu.com到我們自己的DNS服務器中,而對應的IP是一個簡易的拒絕訪問提示的頁面,這樣就簡單的實現了上網控制和通知的功能。如果我們在提示頁面程序上加上一些用於登記的應用,就可以做審計登記了。
……
其實用處很多,寫本文的最直接原因是對一些下載軟件的流氓行爲。通常我下載大文件都是通過自己外部託管的服務器做中轉,然後使用其WEB服務發佈這些下載內容,再下載到客戶端中。前一陣檢查Web服務日誌時,發現每天都有不同的IP連接那些已經被移除的下載資源。沒有找到任何搜索引擎的訪問記錄,那問題肯定出在迅雷這個下載工具上,當我們下載時,迅雷會把我們的下載地址和文件名收錄,並開放給其它人……
對這種事情的防治可以採取上面的第二種應用,這次中轉下載文件使用了support.lenovo.com的僞域名對我的網站進行了發佈,同時自己的hosts中增添了對應的記錄,讓迅雷收錄去吧,打死它也不會找到真正的資源,除非它把所有安裝了迅雷的主機hosts都改了……
僞DNS解析從名字上講雖然不是很正統,但如果能巧妙靈活的加以應用,會爲我們的工作提供很多便利。