SSHDサービスDNS逆解析SSH接続をキャンセル
DNS逆解析(Reverse DNS)
順方向解析:ドメイン名でipを検索する;
逆解析:ipでドメイン名を検索します.
DNS逆解析は、不正なIPアクセス要求をブロックするために使用される.メールシールドシステムによく見られますが、apache、ssh、mysqlなどのサーバー側プログラムもデフォルトで携帯されます.
例えば、メールヘッダにはドメイン名とメールサーバーのIPアドレスが含まれており、一般的なメールシステムは送信されたドメイン名が合法かどうかを検出し(白黒リストより)、合法であれば受信し、法則に合わない場合は廃棄する.自架メールシステムがスパムを専門に送信する人は、ターゲットメールシステムの審査を避けるために、自分のメールヘッダドメイン名をGmailメールドメイン名のようなよく使われるドメイン名に改ざんすることでチェックを逃れることができます.
大量の動的IPの不正要求はDNS逆解析技術の発展を促した.
本例では、メールシステムは、メールヘッダのIPによりDNSサーバに対応するクエリードメイン名がメールヘッダのドメイン名と一致するか否かを判断する審査機能を追加する.
現在、DNSの逆解析は、従来のセキュリティ手段として多くのアプリケーションで使用されている.
Windows CMDではnslookupコマンドを使用して、順方向解析と逆方向解析を観察できます.
例では、まずg.cnを介してGoogleの対外IPアドレス群をクエリし、そのうちの1つのIPアドレスを介してGoogleに属するかどうかを逆クエリする.
SSHサービスにおけるDNS逆解析の除去
SSHサービスにおける逆解析も同様に,要求されたIPとそのIPがDNSサーバ上に格納されているドメイン名が対応しているか否かを審査することでセキュリティを向上させるためである.
しかし,逆解析が存在するため,各IP要求はその正当性を審査するのに一定の時間を費やす.ローカルエリアネットワーク内のサーバ群、外部ネットワークに直接接続されていないサーバ、または既知のアクセスIPが正当なアドレスである場合など、その審査が余計で長時間のクエリはSSH接続速度に大きく影響する.
この問題は、SSH逆解析サービスをオフにし、hostsファイルに信頼できるアクセスアドレスを構成することによって解決される.
A.SSH逆解析サービスをオフにする
B.hostsファイルにおける信頼できるアクセスアドレスの構成
リファレンスファイル
Wiki逆解析
SSH接続の遅さと逆解析
DNSにおける順方向解析と逆方向解析
What is the point of sshd “UseDNS” option?
逆解析によるアクセスの遅い問題
Disabling reverse dns lookups in ssh
[元]sshdサービスDNS逆解析のキャンセルおよびタイムアウト時間の変更
転載は作者とテキストリンクを明記してください
ifuteng#gmail.com 2014/9/24
順方向解析:ドメイン名でipを検索する;
逆解析:ipでドメイン名を検索します.
DNS逆解析は、不正なIPアクセス要求をブロックするために使用される.メールシールドシステムによく見られますが、apache、ssh、mysqlなどのサーバー側プログラムもデフォルトで携帯されます.
例えば、メールヘッダにはドメイン名とメールサーバーのIPアドレスが含まれており、一般的なメールシステムは送信されたドメイン名が合法かどうかを検出し(白黒リストより)、合法であれば受信し、法則に合わない場合は廃棄する.自架メールシステムがスパムを専門に送信する人は、ターゲットメールシステムの審査を避けるために、自分のメールヘッダドメイン名をGmailメールドメイン名のようなよく使われるドメイン名に改ざんすることでチェックを逃れることができます.
大量の動的IPの不正要求はDNS逆解析技術の発展を促した.
本例では、メールシステムは、メールヘッダのIPによりDNSサーバに対応するクエリードメイン名がメールヘッダのドメイン名と一致するか否かを判断する審査機能を追加する.
現在、DNSの逆解析は、従来のセキュリティ手段として多くのアプリケーションで使用されている.
Windows CMDではnslookupコマンドを使用して、順方向解析と逆方向解析を観察できます.
C:\Users\teng>nslookup g.cn
: google-public-dns-a.google.com
Address: 8.8.8.8
:
: g.cn
Addresses: 2404:6800:4008:c04::a0
203.208.48.147
203.208.48.146
203.208.48.145
203.208.48.144
203.208.48.148
C:\Users\teng>nslookup -qt=ptr 203.208.48.148
: google-public-dns-a.google.com
Address: 8.8.8.8
*** google-public-dns-a.google.com 148.48.208.203.in-addr.arpa.: Non-existent domain
例では、まずg.cnを介してGoogleの対外IPアドレス群をクエリし、そのうちの1つのIPアドレスを介してGoogleに属するかどうかを逆クエリする.
SSHサービスにおけるDNS逆解析の除去
SSHサービスにおける逆解析も同様に,要求されたIPとそのIPがDNSサーバ上に格納されているドメイン名が対応しているか否かを審査することでセキュリティを向上させるためである.
しかし,逆解析が存在するため,各IP要求はその正当性を審査するのに一定の時間を費やす.ローカルエリアネットワーク内のサーバ群、外部ネットワークに直接接続されていないサーバ、または既知のアクセスIPが正当なアドレスである場合など、その審査が余計で長時間のクエリはSSH接続速度に大きく影響する.
この問題は、SSH逆解析サービスをオフにし、hostsファイルに信頼できるアクセスアドレスを構成することによって解決される.
A.SSH逆解析サービスをオフにする
# 1. sshd
cp /etc/ssh/sshd_config
/etc/ssh/sshd_config
.bak.20150323.UseDNSYes2No
# 2. , sshd dns
vim /etc/ssh/sshd_config
# 3. UseDNS , ,
UseDNS no
# 4. sshd
/etc/init.d/sshd restart
B.hostsファイルにおける信頼できるアクセスアドレスの構成
# 1. hosts
cp /etc/hosts /etc/hosts.bak.20150323.addTrustedIPandName
# 2. hosts
vim /etc/hosts
# 3. IP , IP 10.60.9.7, CRXJ-COLL
10.60.9.7 CRXJ-COLL
リファレンスファイル
Wiki逆解析
SSH接続の遅さと逆解析
DNSにおける順方向解析と逆方向解析
What is the point of sshd “UseDNS” option?
逆解析によるアクセスの遅い問題
Disabling reverse dns lookups in ssh
[元]sshdサービスDNS逆解析のキャンセルおよびタイムアウト時間の変更
転載は作者とテキストリンクを明記してください
ifuteng#gmail.com 2014/9/24