# 關于DNS和Apache 本文檔的涵義用一句話總結就是：不要讓Apache在分析配置文件的時候使用到DNS解析。如果Apache在分析配置文件時用到了DNS解析，您的服務器就會發生可靠性的問題(也可能根本無法啟動)，或者遭致拒絕(偷竊)服務攻擊(包括用戶可以從其他用戶那里偷竊點擊)。 ## 一個簡單示例 ``` <VirtualHost www.abc.dom> ServerAdmin webgirl@abc.dom DocumentRoot /www/abc </VirtualHost> ``` 為了讓Apache功能正常，一個虛擬主機絕對需要以下兩部分的信息：`ServerName`和與該服務器綁定的至少一個IP地址。上述示例沒有包括IP地址，于是Apache必須要使用DNS解析來查詢`www.abc.dom`的地址。如果在某些不可預料的情況下，當您的服務器解析配置文件時沒有得到DNS的支持，那么這個虛擬主機將**不會被配置**。它將不會對任何請求作出反應。(在Apache1.2之前的版本，服務器甚至無法啟動)。 假設`www.abc.dom`的IP地址是10.0.0.1，那么考慮以下這個配置片斷： ``` <VirtualHost 10.0.0.1> ServerAdmin webgirl@abc.dom DocumentRoot /www/abc </VirtualHost> ``` 現在Apache需要DNS對這個虛擬主機進行反向域名解析來確定其`ServerName`。如果反向解析失敗，那么將導致這個虛擬主機功能喪失(在Apache的1.2版本之前，服務器將不能啟動)。如果虛擬主機是基于域名的，它將完全不能使用，但如果它是基于IP的，那么它將很有可能工作。然而，如果Apache不得不為一個已經包含了服務器域名的服務器產生一個完整的URL，那么它將可能產生一個無效的URL。 以下是一個可以避免上述兩個問題的配置片斷： ``` <VirtualHost 10.0.0.1> ServerName www.abc.dom ServerAdmin webgirl@abc.dom DocumentRoot /www/abc </VirtualHost> ``` ## 拒絕服務 拒絕服務主要由(至少)兩種形式導致。如果您在運行Apache1.2以前的版本，在上述兩種情況下，如果您的任何一個虛擬主機的DNS解析失敗，您都會無法啟動服務。在一些情況下，DNS解析甚至不在您的控制范圍之內。比如說，如果`abc.dom`是您的一個客戶，而且他們自己控制著DNS。那么僅僅是因為他們刪除了`www.abc.dom`這個記錄，都會導致您1.2版本以前的Apache無法啟動。 另外一種形式就更隱蔽了。比如說下面這個配置片斷： ``` <VirtualHost www.abc.dom> ??ServerAdmin webgirl@abc.dom ??DocumentRoot /www/abc </VirtualHost> <VirtualHost www.def.dom> ??ServerAdmin webguy@def.dom ??DocumentRoot /www/def </VirtualHost> ``` 假設您已經為`www.abc.dom`設定了10.0.0.1、為`www.def.dom`設定了10.0.0.2。更進一步，假設`def.dom`自己控制DNS。在這種配置下，`def.dom`可以將所有指向`abc.dom`的流量據為己。為了達到這個目的，他們只需把`www.def.dom`的地址解析設置成10.0.0.1就可以了。因為他們控制著自己的DNS服務，所以您無法阻止他們把`www.def.dom`這個記錄指向任何一個IP地址。 然后，所有向10.0.0.1發出的請求(包括用戶所有類似`http://www.abc.dom/whatever`的URL)都將會被`def.dom`這個虛擬主機所接收。為了更好的理解這一切是怎樣發生的，您需要一個關于Apache是怎樣將進入的請求分配給它的虛擬主機的深入說明。您可以在這里找到[一個完整的文檔](#calibre_link-35)。 ## "主服務器"地址 在Apache1.1中，[基于域名的虛擬主機支持](#calibre_link-75)需要Apache知道運行`httpd`的主機的IP地址。可以用全局變量`ServerName`(如果存在)或者調用C函數`gethostname`(與在命令行模式下鍵入"hostname"得到的返回值一樣)。接著它就會利用DNS來查找這個地址。目前還沒有辦法避免這樣的查找。 如果您擔心這樣的查找會因為您的DNS服務器沒有啟動而遭到失敗的結果，您就可以在`/etc/hosts`中插入一條記錄來確定主機名(此文件中應該已經存在這條記錄了，否則您的機器可能無法正常啟動)。然后，要確認您的機器已經配置為當DNS解析失敗的情況下會使用`/etc/hosts` ，根據所使用的操作系統不同，您可能需要在`/etc/resolv.conf`或`/etc/nsswitch.conf`兩個文件中選擇一個進行編輯。 如果您的服務器不必因為其他理由而使用DNS，您也許不必在把`HOSTRESORDER`環境變量設為"local"的情況下運行Apache。這取決于您所使用的操作系統和解析庫。如果您沒有使用`mod_env`來控制環境變量，它還將影響到CGI。強烈建議您查看操作系統附帶的man幫助或FAQ。 ## 避免這些問題的小技巧 * 在`VirtualHost`中使用IP地址 * 在`Listen`中使用IP地址 * 確保所有的虛擬主機擁有顯式的`ServerName`定義 * 創建一個不包含任何頁面的`<VirtualHost _default_:*>`服務器 ## 附錄：進一步的提示 涉及到DNS的情況都很讓人很不舒服。在Apache1.2中，我們努力想讓服務器在DNS解析失敗的情況下至少保持能夠啟動，但我們沒能做到。在當今重編號成了必須的Internet上面，在配置文件中顯式的寫明IP地址已經成為不合時宜的行為了。 上述盜竊攻擊的解決辦法是在一個正向DNS查詢后再進行一個逆向DNS解析并將兩個結果進行比較。如果不同，就禁用相應的虛擬主機。這個方法需要一個正確配置了的逆向域名解析服務器(因為FTP服務器和TCP封裝進行的"雙重逆向"DNS處理的普遍應用，這已為大部分管理員所熟知了)。 在某些情況下，如果沒有使用IP地址而DNS解析又失敗了，那么正常啟動一個基于域名的虛擬主機看來是不可能的。一些諸如禁用部分配置文件這樣的權宜之計會帶來比根本不能啟動更遭的不可預測的結果。 隨著HTTP/1.1的部署以及瀏覽器和代理服務器開始支持`Host`頭，我們完全避免使用基于IP的虛擬主機也逐漸成為可能。這種狀況下，web服務器也不必在配置時進行DNS的查詢。但在1997年3月，這些特性的采用還沒有廣泛到可以在重要的web服務器應用的地步。