DNS总结

简介

DNS（Domain Name System，域名系统）的主要功能是将域名（如 www.example.com）转换为机器可识别的IP地址（如 93.184.216.34），从而实现网络资源的定位与访问。

一、DNS工作原理与查询流程

DNS采用分层分布式架构，从根域名服务器（Root Servers）到顶级域名服务器（TLD，如 .com、.org），再到权威域名服务器（Authoritative Name Server），形成树状结构。当用户在浏览器输入一个URL时，DNS解析过程通常包含以下步骤：

1. 本地缓存查询：操作系统或浏览器首先检查本地DNS缓存是否存在该域名的解析记录。若有且未过期，则直接返回结果，跳过后续步骤。
2. 递归查询：若本地无缓存，请求将发送至本地DNS服务器（通常由ISP或公共DNS如8.8.8.8提供）。该服务器作为递归解析器，负责代表客户端完成整个查询过程。
3. 迭代查询：递归服务器从根服务器开始，依次向TLD服务器、权威服务器发起查询。例如，解析 www.example.com 时，先查 .com 的TLD服务器，再查 example.com 的权威服务器。
4. 返回结果：权威服务器返回对应的IP地址，递归服务器将其缓存并返回给客户端。

• 整个过程涉及递归（客户端与递归服务器之间）和迭代（递归服务器与其他服务器之间）两种查询模式。
• TTL（Time to Live）值决定了记录在缓存中的有效时间，影响解析的实时性与性能。

二、常见DNS记录类型

DNS通过多种资源记录（Resource Record, RR）实现不同功能。

• A记录：将域名映射到IPv4地址，是最基础的记录类型。
• AAAA记录：对应IPv6地址。
• CNAME记录（Canonical Name）：将别名指向另一个域名，实现域名重定向。例如，www.example.com 指向 example.com。
• MX记录（Mail Exchange）：指定接收邮件的服务器地址及优先级，用于邮件系统。
• NS记录（Name Server）：标识负责该域名的权威DNS服务器。
• TXT记录：存储文本信息，常用于域名所有权验证（如SPF、DKIM）或安全策略声明。
• PTR记录（Pointer）：用于反向DNS查询，将IP地址映射回域名，多用于日志分析与反垃圾邮件。
• SRV记录（Service）：定义特定服务的主机和端口，如VoIP或即时通讯。

合理配置这些记录是域名管理与服务部署的基础。

三、DNS安全威胁与防护机制

DNS设计之初未充分考虑安全性，导致其面临多种攻击。

• DNS劫持：攻击者篡改DNS响应，将用户导向恶意网站。常见于公共Wi-Fi或被入侵的本地DNS服务器。
• DNS缓存投毒（Cache Poisoning）：向递归服务器注入伪造记录，污染缓存，影响所有后续查询。
• DDoS攻击：利用DNS放大攻击（如开放的DNS解析器）向目标发起海量流量，造成服务瘫痪。

安全机制

• DNSSEC（DNS Security Extensions）：通过数字签名验证DNS数据的完整性和真实性，防止篡改。它为每一级记录生成签名（RRSIG），并建立信任链，从根区开始逐级验证。(部署复杂且增加解析延迟)
• DNS over HTTPS（DoH）与 DNS over TLS（DoT）：加密DNS查询流量，防止窃听与中间人攻击。DoH将DNS封装在HTTPS中（端口443），而DoT使用TLS加密（端口853）。
• RPZ（Response Policy Zones）：允许递归服务器根据策略拦截恶意域名查询，常用于企业安全防护。

四、DNS优化

提升DNS性能与可靠性是保障网络服务的关键。

• 选择优质DNS服务商：公共DNS如Google Public DNS（8.8.8.8）、Cloudflare DNS（1.1.1.1）通常具备全球负载均衡、高可用性和安全过滤功能，可替代ISP默认DNS以提升速度与安全性。
• 合理设置TTL：高频变更的服务可设置较短TTL（如300秒），确保快速生效；静态资源可设置较长TTL（如86400秒）以减少查询压力。
• 权威服务器冗余：配置至少两个位于不同网络的权威DNS服务器，避免单点故障。
• CDN与Anycast结合：大型网站常将DNS与CDN联动，通过Anycast技术将用户导向最近的节点，实现低延迟访问。