开工第一天，收到电信客户经理发函，提示公司网络涉嫌违规。
XXXXXXXX（上海）有限公司：
接有关部门信息，贵司涉嫌违规开展互联网域名递归解析服务，线索如附件所示。根据《中华人民共和国电信条例》第七条、六十九条规定及《工信部电信业务经营许可管理办法（工信部令第42号）》第四十六条规定，请于 2月21日17点 前按以下要求进行整改（如需咨询，请联系上海电信咨询电话 xxxxxxxx）：
一、接入服务主体确需对外提供解析服务的，接入服务主体需到属地管局申请经营许可。
二、接入服务主体设置的解析服务仅内部使用，须做好安全防护，做到除本公司以外，互联网其他用户无法访问，可用关闭互联网访问入口或使用白名单等方式限制互联网解析
三、不再提供解析服务，自行关闭相应服务，或者在防火墙、服务器上直接
四、 因53端口为域名解析默认端口，故如时限内未完成处置，电信侧将对该线路IN方向53端口实施关闭，请贵公司知晓。如需重新开启，需办理许可证，并提供证明材料至上海电信。

附：中华人民共和国电信条例
第七条第三款
未取得电信业务经营许可证，任何组织或者个人不得从事电信业务经营活动。

第六十九条 违反本条例规定，有下列行为之一的，由国务院信息产业主管部门或者省、自治区、直辖 市电信管理机构依据职权责令改正，没收违法所得，处违法所得3倍以上5倍以下罚款；没有违法所得或 者违法所得不足5万元的，处10万元以上100万元以下罚款；情节严重的，责令停业整顿： （一）违反本条例第七条第三款的规定或者有本条例第五十八条第（一）项所列行为，擅自经营电信业务的，或者超范围经营电信业务的；…

电信业务经营许可管理办法（工信部令第42号）
第四十六条 …擅自经营电信业务或者超范围经营电信业务的，依照《中华人民共和国电信条例》第六十九条规定予以处罚，其中情节严重，给予责令停业整顿处罚的，直接列入电信业务经营失信名单。

中国电信股份有限公司上海分公司服务合同
第八大点第十四条 甲方不得利用乙方提供的互联网接入业务经营甲方不具备资质的替他电信业务。
第九大点第十三条 乙方发现甲方违反国家法律、法规的规定及本合同的约定使用互联网专线，将互联网专线用于电信业务的经营性活动（无论是否盈利），或者未经乙方书面同意将互联网专线以任何方式提供给第三方使用，或用于本合同约定以外的其他用途的，乙方有权立即暂停服务（停机），并要求甲方在限期内改正，由此引起的一切后果和责任由甲方负责。停机期间，乙方将继续按月出帐，收取月使用费。如在限期内未改正的，乙方有权立即终止提供所有服务，并不承担任何责任。
信息安全承诺书第二点 本公司/单位承诺具备所从事业务的全部合法必要的资质条件。

电信方面给出了四个解决方案，我们公司这个网络下面什么服务都没启，第一时间想到问题应该在防火墙上面。企业域控服务器，邮件服务器，域名服务器(Microsoft DNS Server软件、LINUX 的BIND软件)，某些软件服务套装等和互联网域名相关的软件，以及一些路由器、网关等都可能有域名递归解析功能。

排除思路：
先查询DNS解析

DNS递归检测方法和关闭方法v4

BIND软件，是设置 recursion no 关闭递归。
参考网址 https://blog.csdn.net/zhu_tianwei/article/details/45062639

如不能通过域名服务器软件设置关闭递归，但内部要用DNS功能，可试下软硬件防火墙屏蔽53端口的对外通讯。

####################################################################
方法1
windows或Linux的nslookup命令查询是否有递归，能解析出IP说明有递归
以下命令是windows用101.231.241.138做为DNS服务器查询www.baidu.com是否成功解析
如果可以解析，说明DNS服务起作用。

C:\>nslookup

默认服务器:  UnKnown
Address:  fe80::1

> server 101.231.241.138
默认服务器:  [101.231.241.138]
Address:  101.231.241.138

> www.baidu.com
服务器:  [101.231.241.138]
Address:  101.231.241.138

名称:    www.baidu.com
Addresses:  b465:32bc:b::30:214
          180.101.50.188

####################################################################
方法2
windows下dig域名解析工具安装及使用
参考网址 https://www.php1.cn/detail/windows_Xia_dig__497232d2.html

---

以下Linux的DIG命令，方法同windows
（IP为举例，请改为自己要查询的IP）

dig www.baidu.com @101.231.241.138 

#这行命令是说使用101.231.241.138为DNS服务器查询www.baidu.com，如果无递归，那www.baidu.com是解析不出IP的
(注意命令可能要反复查询几次，有时会卡)

DIG命令反馈说明
;; SERVER: 101.231.241.138#53(101.231.241.138) #这行，说明53端口活动有DNS服务

;; ANSWER SECTION:
www.baidu.com.          3600    IN      A       180.101.50.242    #这行是关键，说明有递归解析，成功获取IP

如果有;; QUESTION SECTION: 但无;; ANSWER SECTION:  说明解析不成功，DNS虽然活动，但递归已关闭。

---

下例是有递归的查询结果，101.231.241.138 是要查询的IP

$ dig www.baidu.com @101.231.241.138
; <<>> DiG 9.8.4-P2 <<>> www.baidu.com @101.231.241.138
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46682
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.baidu.com.                 IN      A

;; ANSWER SECTION:
www.baidu.com.          3600    IN      A       180.101.50.242

;; Query time: 294 msec
;; SERVER: 101.231.241.138#53(101.231.241.138)
;; WHEN: Thu Aug  3 09:20:12 2023
;; MSG SIZE  rcvd: 47

$

---

下例是另外一个已经解决递归问题的查询例子，这例子是DNS服务器关闭或防火墙屏蔽了53端口

$ dig www.baidu.com @61.152.219.221

; <<>> DiG 9.8.4-P2 <<>> www.baidu.com @61.152.219.221
;; global options: +cmd
;; connection timed out; no servers could be reached
$

####################################################################

方法3
使用Zenmap软件探测外网是否开启53端口
（仅作快速探测端口用，不作为是否存在解析服务确定依据）

在命令框输入 （IP为举例，x.x.x.x请改为自己要查询的IP）

nmap -sT -sU -p 53  x.x.x.x

---

如Nmap输出结果：

Starting Nmap 6.40 ( http://nmap.org ) at 2024-02-18 16:21 中国标准时间

Nmap scan report for x.x.x.x

Host is up (0.0054s latency).

PORT   STATE SERVICE

53/tcp open  domain

53/udp open  domain

Nmap done: 1 IP address (1 host up) scanned in 2.01 seconds

---

单出现filtered是说明有防火墙过滤规则。close是端口关闭。open是端口全开放。

出现open字样，说明53端口是对外开放的，不符合要求。
53/tcp open domain

出现close字样说明符合要求
53/tcp close domain

或单出现filtered字样说明可能符合要求。（需设置为限度特定IP可访问，一般指的是内网）
53/tcp filtered domain

如果ip禁PING影响探测可以加-Pn 参数忽略Ping测试，但只对确定存活的IP有正确显示 ( 加-Pn 扫任何IP都可能显示UP状态并有回显端口状态，但其实IP没有UP ）
nmap -sT -sU -p 53 x.x.x.x

批量检查方法如下

nmap -sT -sU -p 53  x.x.x.x x.x.x.x x.x.x.x

或
nmap -sT -sU -p 53 
x.x.x.x
x.x.x.x
x.x.x.x
x.x.x.x

##################################
非递归问题

题外话 这是DIG反向域名解析查询

dig -x  ip地址

$ dig -x 202.96.209.5

; <<>> DiG 9.8.4-P2 <<>> -x 202.96.209.5
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32194
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;5.209.96.202.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
5.209.96.202.in-addr.arpa. 62812 IN     PTR     ns-px.online.sh.cn.

;; Query time: 2 msec
;; SERVER: 202.96.209.133#53(202.96.209.133)
;; WHEN: Sat Aug  5 00:45:17 2023
;; MSG SIZE  rcvd: 75

---

这是windows或Linux的 nslookup命令反向域名解析查询

C:\>nslookup

默认服务器: UnKnown
Address: fe80::1

> server 202.96.209.133
DNS request timed out.
    timeout was 2 seconds.
默认服务器:  [202.96.209.133]
Address:  202.96.209.133

> set type=ptr
> 202.96.209.5
服务器:  [202.96.209.133]
Address:  202.96.209.133

非权威应答:
5.209.96.202.in-addr.arpa       name = ns-px.online.sh.cn
>

解析后的确是指向了公司的静态IP，名称: xx.xx.xx.xx.xxxx.xw.sh.dynamic.163data.com.cn

C:\Users\Administrator>nslookup
默认服务器:  linedns.bta.net.cn
Address:  202.106.196.115

> xx.xx.xx.xx
服务器:  linedns.bta.net.cn
Address:  202.106.196.115

名称:    xx.xx.xx.xx.xxxx.xw.sh.dynamic.163data.com.cn
Address:  xx.xx.xx.xx

所以xxx.163data.com.cn形式的IP地址，其实 是每个中国电信上网用户的IP反向解析地址，中国电信之所以要把IP地址进行动态反向解析，主要是为了防止垃圾邮件，减少黑客攻击等等。

通过telnet端口的方式查看访问也的确存在应答

telnet xx.xx.xx.xx:53

登录防火墙查看配置（这里以H3C为例）

display curr

dns proxy enable开启了，进入配置模式关闭dns proxy功能

<export_1>sys
System View: return to User View with Ctrl+Z.
[export_1]undo dns proxy enable
//关闭DNS proxy功能。
<export_1>quit
<export_1>save f
Validating file. Please wait...
Configuration is saved to device successfully.
<export_1>

再次通过telnet端口的方式查看是否存在响应

telnet xx.xx.xx.xx:53

这时已经提示“无法连接到“xx.xx.xx.xx”（端口 53）：连接失败。”

拨打电信咨询电话进行确认，对方明确回复操作现已完成，问题已经解决。