全部产品
阿里云办公

DNS 术语

更新时间:2018-09-10 15:42:53

Local DNS

Local DNS 也称为递归 DNS、缓存 DNS,核心功能是缓存、递归查询。收到域名查询请求后,Local DNS 首先查看本地缓存中是否有记录。如果没有则逐级查询根域、顶级域、二级域等,直到获取到结果然后返回给用户。一般来说,运营商(例如联通、移动、电信)分配的 DNS 就是 Local DNS,主要功能是帮助运营商的网络用户去相应的权威 DNS 服务查询域名解析结果,其查询结果直接影响某一运营商的所有网络用户。

权威 DNS

权威 DNS 是域名注册商处的 DNS 服务器,用于管理特定域名(比如增加、删除、修改等)。权威 DNS 服务器一般由域名解析服务商建设,供购买自己域名服务的用户使用,方便管理域名记录。由于权威 DNS 服务器需要接受 Local DNS 服务器的查询,其结果直接影响某一域名解析服务商的所有用户,间接影响所有网民。中小型公司一般会选择一家知名的权威 DNS 服务商提供的托管服务,比如阿里云云解析 DNS。

Local DNS 可用性

在模拟真实用户的上网请求时,不间断地向 Local DNS 服务器发起主动查询推送请求,根据 Local DNS 的响应结果判断是否可用,判断依据有:

  • Local DNS 是否能响应并返回主机地址
  • Local DNS 返回的主机地址是否与解析设置一致

Local DNS 响应时间

在模拟真实用户的上网请求时,不间断地向 Local DNS 服务器发起主动查询推送请求,Local DNS 响应时间指从发起连接到收到响应的第一个字节所花费的时间。

DNS 劫持

DNS 劫持指通过某些手段取得某个域名的解析记录控制权,进而修改该域名的解析结果。在用户访问该域名时,会转入到修改后的 IP,导致无法访问特定网址或者访问到假网址,劫持人就能达到窃取资料或者破坏原有正常服务的目的。

DNS 污染

DNS污染是一种 DNS 缓存投毒攻击(DNS cache poisoning),会让用户得到虚假的目标主机 IP 而无法通信。

DNS 污染发生在用户请求的第一步,直接在协议层级干扰用户的 DNS 查询。一般的 DNS 查询没有任何认证机制,而且依赖的 UDP 是无连接不可靠的协议,因此篡改 DNS 查询非常容易。检测 UDP 端口 53 收到的 DNS 查询,一旦发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server),给查询者返回虚假结果。

目前禁止访问网站很多就是通过 DNS 污染来实现的,例如 YouTube、Facebook 等。

DNS 解析过程

授权时,先从根域授权给顶级域的权威 DNS,再从顶级域的权威 DNS 授权给主域名的权威 DNS;查询时,客户端先查询 Local DNS,再从 Local DNS 依次向根域、顶级域、主域名的权威 DNS 查询。如果解析值是 CNAME 或 NS,则再次查询对应的值,直到获取到 IP 或超时。下图是 DNS 解析的过程:

dns-procedure