關於skip_name_resolve參數的總結

作為MySQL調優的一部分，很多人都推薦開啟skip_name_resolve。這個參數是禁止功能變數名稱解析的（當然，也包括主機名）。很多童鞋會好奇，這背後的原理是什麼，什麼情況下開啟這個參數比較合適。

基於以下原因，MySQL服務端會在記憶體中維護著一份host信息， 包括三部分：IP，主機名和錯誤信息。主要用於非本地TCP連接。

1. 通過在第一次建立連接時緩存IP和host name的映射關係，同一主機的後續連接將直接查看host cache，而不用再次進行DNS解析。

2. host cache中同樣會包含IP登錄失敗的錯誤信息。可根據這些信息，對這些IP進行相應的限制。後面將會具體提到。

host cache的信息可通過performance_schema中host_cache表查看。

那麼，IP和host name的映射關係是如何建立的呢？

1. 當有一個新的客戶端連接進來時，MySQL Server會為這個IP在host cache中建立一個新的記錄，包括IP，主機名和client lookup validation flag，分別對應host_cache表中的IP，HOST和HOST_VALIDATED這三列。第一次建立連接因為只有IP，沒有主機名，所以HOST將設置為NULL，HOST_VALIDATED將設置為FALSE。

2. MySQL Server檢測HOST_VALIDATED的值，如果為FALSE，它會試圖進行DNS解析，如果解析成功，它將更新HOST的值為主機名，並將HOST_VALIDATED值設為TRUE。如果沒有解析成功，判斷失敗的原因是永久的還是臨時的，如果是永久的，則HOST的值依舊為NULL，且將HOST_VALIDATED的值設置為TRUE，後續連接不再進行解析，如果該原因是臨時的，則HOST_VALIDATED依舊為FALSE，後續連接會再次進行DNS解析。

另，解析成功的標誌並不只是通過IP，獲取到主機名即可，這隻是其中一步，還有一步是通過解析後的主機名來反向解析為IP，判斷該IP是否與原IP相同，如果相同，才判斷為解析成功，才能更新host cache中的信息。

基於上面的總結，下麵談談 host cache的優缺點：

缺點：當有一個新的客戶端連接進來時，MySQL Server都要建立一個新的記錄，如果DNS解析很慢，無疑會影響性能。如果被允許訪問的主機很多，也會影響性能，這個與host_cache_size有關，這個參數是5.6.5引入的。5.6.8之前預設是128,5.6.8之後預設是-1,基於max_connections的值動態調整。所以如果被允許訪問的主機很多，基於LRU演算法，先前建立的連接可能會被擠掉，這些主機重新進來時，會再次進行DNS查詢。

優點：通常情況下，主機名是不變的，而IP是多變的。如果一個客戶端的IP經常變化，那基於IP的授權將是一個繁瑣的過程。因為你很難確定IP什麼時候變化。而基於主機名，只需一次授權。而且，基於host cache中的失敗信息，可在一定程度上阻止外界的暴力破解攻擊。

關於阻止外界的暴力破解攻擊，涉及到max_connect_errors參數，預設為100，官方的解釋如下：

If more than this many successive connection requests from a host are interrupted without a successful connection, the server blocks that host from further connections.

如果某個客戶端的連接達到了max_connect_errors的限制，將被禁止訪問，並提示以下錯誤：

Host 'host_name' is blocked because of many connection errors.
Unblock with 'mysqladmin flush-hosts'

下麵來模擬一下

首先，設置max_connect_errors的值

mysql> show variables like 'max_connect_errors';
+--------------------+-------+
| Variable_name      | Value |
+--------------------+-------+
| max_connect_errors | 100   |
+--------------------+-------+
1 row in set (0.00 sec)

mysql> set global max_connect_errors=2;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like 'max_connect_errors';
+--------------------+-------+
| Variable_name      | Value |
+--------------------+-------+
| max_connect_errors | 2     |
+--------------------+-------+
1 row in set (0.00 sec)

通過telnet模擬interrupted without a successful connection。

[root@mysql-slave1 ~]# telnet 192.168.244.145 3306
Trying 192.168.244.145...
Connected to 192.168.244.145.
Escape character is '^]'.
N
5.6.26-log
          K]qA1nYT!w|+ZhxF1c#|kmysql_native_password
^]
!
#08S01Got packets out of orderConnection closed by foreign host.
[root@mysql-slave1 ~]# telnet 192.168.244.145 3306
Trying 192.168.244.145...
Connected to 192.168.244.145.
Escape character is '^]'.
N
Y#>PVB(>!Bl}NKnjIj]sMmysql_native_password
^]
!
#08S01Got packets out of orderConnection closed by foreign host.
[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123456
Warning: Using a password on the command line interface can be insecure.
ERROR 1129 (HY000): Host '192.168.244.144' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts'

即便後來使用了正確的賬號和密碼登錄，依舊會被阻止。

再來看看host_cache表中的信息，sum_connect_errors為2了。

mysql> select ip,host,host_validated,sum_connect_errors,count_authentication_errors from performance_schema.host_cache;
+-----------------+------+----------------+--------------------+-----------------------------+
| ip              | host | host_validated | sum_connect_errors | count_authentication_errors |
+-----------------+------+----------------+--------------------+-----------------------------+
| 192.168.244.144 | NULL | YES            |                  2 |                           0 |
+-----------------+------+----------------+--------------------+-----------------------------+
1 row in set (0.00 sec)

該阻止會一直生效，直到採取以下操作：

1. mysql> flush hosts;

2. # mysqladmin flush-hosts

3. truncate table performance_schema.host_cache;

4. 或者等待該記錄從host cache中被擠掉。

如果要禁止DNS解析，可設置skip_name_resolve參數，這樣，mysql.user表中基於主機名的授權將無法使用，且錯誤日誌中會提示：

[Warning] 'user' entry 'root@mysql-slave1' ignored in --skip-name-resolve mode.

這裡，通過mysql-slave1訪問，將會拒絕訪問

[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123
Warning: Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'root'@'192.168.244.144' (using password: YES)

host cache是預設開啟的，如果要禁掉，可將host_cache_size設置為0，該參數是個動態參數，可線上修改。

如果要完全禁掉TCP/IP連接,可在MySQL啟動時，設置skip-networking參數。

總結：

1. 從原理上看，DNS解析一般只針對客戶端的第一次連接，客戶端數據量比較小的情況下，開銷其實不大，完全不必啟動skip_name_resolve參數，帶來的好處就是，為客戶端和多變的IP直接解耦，只需對主機名進行一次授權。

2. 在沒開啟skip_name_resolve情況下，無論是通過# mysql -p123456 走socket連接還是# mysql -p123456 -h127.0.0.1走TCP連接，顯示的用戶都是root@localhost。如果要顯示[email protected]，必須開啟skip_name_resolve參數。

另，可通過\s查看當前連接使用的是socket還是TCP。

參考：

1. http://www.tuicool.com/articles/7R7BRb

2. http://dev.mysql.com/doc/refman/5.7/en/host-cache.html

3. http://dev.mysql.com/doc/refman/5.7/en/blocked-host.html