五分鐘技術(shù)趣談 | 一文看懂DNS及其工作原理

作者：王琦，單位：中國(guó)移動(dòng)智慧家庭運(yùn)營(yíng)中心

想象一下你的智能手機(jī)聯(lián)系人名單，就像是整個(gè)地球上的人的名字和聯(lián)系方式列表。每當(dāng)你想要給某人打電話或發(fā)短信時(shí)，你只需要在聯(lián)系人名單中找到他們的名字，而不必記住他們的電話號(hào)碼或電子郵件地址。這就像是一個(gè)巨大的電話簿，讓你能夠輕松找到并與世界上的任何人進(jìn)行交流。

類似地，互聯(lián)網(wǎng)上的每個(gè)設(shè)備都有一個(gè)獨(dú)特的標(biāo)識(shí)號(hào)碼，稱為IP地址。當(dāng)你在瀏覽器中鍵入網(wǎng)址訪問網(wǎng)站時(shí)，計(jì)算機(jī)需要知道該網(wǎng)址對(duì)應(yīng)的IP地址，就像你需要知道某人的電話號(hào)碼才能聯(lián)系他一樣。DNS就像是互聯(lián)網(wǎng)上的巨大聯(lián)系人名單，它把易于記憶的域名（比如www.example.com）與對(duì)應(yīng)的IP地址進(jìn)行匹配，從而使你能夠輕松地訪問網(wǎng)站，發(fā)送電子郵件等。所以，盡管你可能不了解DNS的技術(shù)細(xì)節(jié)，但每天在互聯(lián)網(wǎng)上的各種活動(dòng)中，你都在使用它來使得不同設(shè)備能夠互相溝通。

Part 01●??DNS簡(jiǎn)史?●

- ARPANET時(shí)代（1960s-1980s）：早期的互聯(lián)網(wǎng)并沒有一個(gè)全球的域名系統(tǒng)，而是使用主機(jī)名（hostname）來識(shí)別網(wǎng)絡(luò)上的計(jì)算機(jī)。這些主機(jī)名存儲(chǔ)在一個(gè)稱為"hosts.txt"的文本文件中，該文件由網(wǎng)絡(luò)管理員手動(dòng)維護(hù)。

- DNS的創(chuàng)建（1983）：隨著互聯(lián)網(wǎng)的增長(zhǎng)，需要一種更有效的方法來管理和查找主機(jī)名與IP地址之間的映射關(guān)系。1983年，Paul Mockapetris和Jon Postel開始開發(fā)DNS。他們發(fā)布了RFC882和RFC883，其中詳細(xì)說明了DNS的設(shè)計(jì)。

- DNS的層次結(jié)構(gòu)（1980s-1990s）：DNS被設(shè)計(jì)成一個(gè)層次結(jié)構(gòu)系統(tǒng)，由多個(gè)域名服務(wù)器組成，每個(gè)服務(wù)器負(fù)責(zé)管理特定區(qū)域內(nèi)的域名和IP地址映射。根域名服務(wù)器位于頂層，下面是頂級(jí)域名服務(wù)器（TLD），然后是權(quán)威域名服務(wù)器和緩存域名服務(wù)器。

- 商業(yè)化和增長(zhǎng)（1990s-2000s）：隨著互聯(lián)網(wǎng)的商業(yè)化，域名的注冊(cè)數(shù)量急劇增加，導(dǎo)致DNS系統(tǒng)面臨壓力。為了滿足需求，域名注冊(cè)機(jī)構(gòu)和托管服務(wù)商開始提供域名注冊(cè)和管理服務(wù)。

- DNSSEC的引入（2000s）：為了提高DNS安全性，DNSSEC（Domain Name System Security Extensions）被引入。它通過數(shù)字簽名機(jī)制確保域名解析的完整性和真實(shí)性，防止DNS劫持和緩存投毒等攻擊。

- 新頂級(jí)域名的推出（2010s）：ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）開始批準(zhǔn)新的頂級(jí)域名，如".app"、".blog" 等，豐富了互聯(lián)網(wǎng)域名的多樣性。

- IPv6和DNS64/NAT64（2010s）：隨著IPv6的推出，DNS也需要適應(yīng)新的IP地址格式。DNS64/NAT64技術(shù)允許IPv6和IPv4之間的通信，使得IPv6網(wǎng)絡(luò)可以訪問IPv4網(wǎng)絡(luò)上的資源。

- 持續(xù)的發(fā)展（至今）：DNS仍在不斷演進(jìn)，以適應(yīng)新的互聯(lián)網(wǎng)需求和安全挑戰(zhàn)。隨著云計(jì)算、物聯(lián)網(wǎng)等新興技術(shù)的發(fā)展，DNS在網(wǎng)絡(luò)生態(tài)中的作用變得越來越重要。

Part 02●??DNS是如何工作的?●

DNS使用分層、分布式的結(jié)構(gòu)來管理域名與IP地址的映射關(guān)系。它通過遞歸和迭代查詢過程，使得在互聯(lián)網(wǎng)上輕松地使用人類可讀的域名來訪問各種網(wǎng)絡(luò)資源。這個(gè)系統(tǒng)的設(shè)計(jì)使得整個(gè)互聯(lián)網(wǎng)能夠更高效地工作，同時(shí)也帶來了更好的靈活性和可擴(kuò)展性，它的工作原理涉及多個(gè)層次的域名服務(wù)器以及查詢和響應(yīng)的過程。

（一）域名服務(wù)器的分類

域名服務(wù)器可以根據(jù)其角色和層級(jí)劃分為以下四種不同類型：

(1)根域名服務(wù)器（Root Name Servers）

根域名服務(wù)器位于DNS層次結(jié)構(gòu)的最高層，共有13個(gè)不同IP地址的根域名服務(wù)器分布在全球各地。它們保存了頂級(jí)域名服務(wù)器的信息，負(fù)責(zé)管理頂級(jí)域名（如.com、.org、.net等）的域名服務(wù)器的IP地址。當(dāng)本地域名服務(wù)器收到查詢請(qǐng)求時(shí)，如果需要查詢頂級(jí)域名服務(wù)器的IP地址，它會(huì)向根域名服務(wù)器發(fā)起查詢，獲取相應(yīng)的頂級(jí)域名服務(wù)器地址。

(2)頂級(jí)域名服務(wù)器（Top-Level Domain Servers）

頂級(jí)域名服務(wù)器負(fù)責(zé)管理特定頂級(jí)域（如.com、.org、.net等）下的域名和其子域的映射。例如，.com頂級(jí)域名服務(wù)器會(huì)存儲(chǔ)所有使用.com域名結(jié)尾的域名映射信息。當(dāng)本地域名服務(wù)器向根域名服務(wù)器查詢后，如果需要查詢特定頂級(jí)域的IP地址，它會(huì)請(qǐng)求相應(yīng)的頂級(jí)域名服務(wù)器，以獲取下一步的指引。

(3)權(quán)限域名服務(wù)器（Authoritative Name Servers）?

權(quán)威域名服務(wù)器是每個(gè)特定域名的“官方”域名服務(wù)器，它們存儲(chǔ)著該域名與IP地址的映射信息。當(dāng)本地域名服務(wù)器需要解析特定域名時(shí)，它會(huì)向該域名的權(quán)威域名服務(wù)器發(fā)送查詢請(qǐng)求。這些服務(wù)器能夠提供確切的映射信息，或者指示更低級(jí)別的域名服務(wù)器進(jìn)行進(jìn)一步的查詢。

(4)本地域名服務(wù)器（Local Name Servers）

本地域名服務(wù)器位于用戶的本地網(wǎng)絡(luò)中，通常由互聯(lián)網(wǎng)服務(wù)提供商（ISP）提供。當(dāng)用戶發(fā)起域名查詢請(qǐng)求時(shí)，本地域名服務(wù)器首先被聯(lián)系。如果本地域名服務(wù)器已經(jīng)緩存了相應(yīng)的映射信息，它會(huì)直接返回結(jié)果。否則，它會(huì)根據(jù)查詢的域名層級(jí)結(jié)構(gòu)，通過遞歸查詢或迭代查詢的方式，向根域名服務(wù)器、頂級(jí)域名服務(wù)器和權(quán)限域名服務(wù)器發(fā)起查詢，以獲取所需的映射信息。

（二）DNS域名解析過程

域名解析包含兩種查詢方式，分別是遞歸查詢和迭代查詢。

(1)遞歸查詢

客戶端將查詢請(qǐng)求發(fā)送給遞歸DNS服務(wù)器，服務(wù)器必須返回結(jié)果，不能簡(jiǎn)單把請(qǐng)求轉(zhuǎn)發(fā)給其他服務(wù)器。如果遞歸服務(wù)器不能解析，它會(huì)向其他DNS服務(wù)器迭代查詢，直到獲取結(jié)果，然后再返回給客戶端。整個(gè)過程對(duì)客戶端透明，本地服務(wù)器負(fù)載重，但查詢快。

(2)迭代查詢

整個(gè)迭代查詢過程中，本地域名服務(wù)器逐級(jí)向上查詢，然后逐級(jí)向下查詢，直到獲得所需的IP地址。這種查詢模式確保了每一步查詢都是逐級(jí)完成的，保持了數(shù)據(jù)的一致性和正確性。同時(shí)，每個(gè)查詢環(huán)節(jié)都可以被緩存，以提高查詢效率，并減輕DNS服務(wù)器的負(fù)擔(dān)。

①本地域名服務(wù)器啟動(dòng)查詢：當(dāng)用戶在瀏覽器中輸入一個(gè)域名，本地域名服務(wù)器（通常由互聯(lián)網(wǎng)服務(wù)提供商提供）被觸發(fā)進(jìn)行域名解析。

②本地域名服務(wù)器向根域名服務(wù)器發(fā)起查詢：本地域名服務(wù)器向一個(gè)根域名服務(wù)器發(fā)起查詢請(qǐng)求，該請(qǐng)求包含了所需解析的域名。

③根域名服務(wù)器的響應(yīng)：根域名服務(wù)器不會(huì)直接提供所需的IP地址，而是回復(fù)給本地域名服務(wù)器一個(gè)指向頂級(jí)域名服務(wù)器的IP地址。這個(gè)頂級(jí)域名服務(wù)器與所查詢域名的頂級(jí)域相關(guān)聯(lián)，例如".com"、".org"等。

④本地域名服務(wù)器向頂級(jí)域名服務(wù)器發(fā)起查詢：本地域名服務(wù)器向得到的頂級(jí)域名服務(wù)器發(fā)起新的查詢請(qǐng)求，繼續(xù)請(qǐng)求所需的域名映射。

⑤頂級(jí)域名服務(wù)器的響應(yīng)：頂級(jí)域名服務(wù)器回復(fù)給本地域名服務(wù)器一個(gè)指向權(quán)限域名服務(wù)器的IP地址。這個(gè)權(quán)限域名服務(wù)器是負(fù)責(zé)管理特定域名的官方服務(wù)器，可以提供確切的映射信息。

⑥本地域名服務(wù)器向權(quán)限域名服務(wù)器發(fā)起查詢：本地域名服務(wù)器向得到的權(quán)限域名服務(wù)器發(fā)起新的查詢請(qǐng)求，請(qǐng)求所需域名的IP地址。

⑦權(quán)限域名服務(wù)器的響應(yīng)：權(quán)威域名服務(wù)器回復(fù)給本地域名服務(wù)器查詢所需域名的IP地址。

⑧本地域名服務(wù)器返回結(jié)果：本地域名服務(wù)器將獲取到的IP地址返回給用戶的計(jì)算機(jī)，使其可以建立與目標(biāo)服務(wù)器的連接，從而實(shí)現(xiàn)對(duì)網(wǎng)站或資源的訪問。

Part 03●? DNS安全?●

DNS作為互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施，其安全性直接影響著整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。然而DNS系統(tǒng)也面臨著各種威脅，主要包括：

DDoS攻擊：通過流量水平拒絕服務(wù)攻擊耗盡DNS服務(wù)器資源

域名劫持：惡意綁定域名至攻擊者控制的IP地址

DNS投毒/緩存污染：通過植入錯(cuò)誤的DNS記錄進(jìn)行網(wǎng)絡(luò)釣魚、傳播惡意軟件等

為增強(qiáng)DNS的安全性，業(yè)界采取了各種技術(shù)手段進(jìn)行防護(hù)

DNSSEC提供數(shù)字簽名，防止解析記錄被篡改

Anycast和多域名服務(wù)器避免單點(diǎn)故障

遞歸DNS服務(wù)器過濾惡意查詢保護(hù)用戶

DNS over HTTPS加密傳輸保障查詢隱私和安全性等

針對(duì)DNS面臨的安全威脅，我們?yōu)橛脩籼峁┝巳轿坏陌踩雷o(hù)：

支持DNS over HTTPS傳輸加密，防竊聽

任播技術(shù)和多節(jié)點(diǎn)部署，保證服務(wù)高可用性

基于大數(shù)據(jù)分析的威脅情報(bào)，檢測(cè)和防御攻擊

智能解析和過濾機(jī)制，攔截惡意網(wǎng)站保護(hù)用戶

通過綜合應(yīng)用各技術(shù)手段，中國(guó)移動(dòng)安全DNS服務(wù)可有效抵御常見威脅，保障用戶的查詢安全和體驗(yàn)。

Part 04●? 總結(jié)展望?●

DNS作為互聯(lián)網(wǎng)的數(shù)字電話簿，其發(fā)展歷史反映了互聯(lián)網(wǎng)技術(shù)和治理模式的演變，而它獨(dú)特的層次樹狀結(jié)構(gòu)也使DNS成為一個(gè)高效可靠的核心服務(wù)。面向未來，DNS將面臨來自新興網(wǎng)絡(luò)的挑戰(zhàn)，其安全性和性能仍有改進(jìn)空間。新技術(shù)如區(qū)塊鏈、人工智能等也可以應(yīng)用到未來的DNS系統(tǒng)中，以增強(qiáng)其功能。隨著5G時(shí)代的到來，DNS將扮演更重要的角色，支撐超大規(guī)模的網(wǎng)絡(luò)連接。在多利益相關(guān)方的共同努力下，DNS必將不斷進(jìn)化，繼續(xù)推動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展。

參考文獻(xiàn)

[1]?20 年前的網(wǎng)絡(luò)安全：大規(guī)模 DDoS 攻擊擊中互聯(lián)網(wǎng)的根源，2022年07月21日，https://www.wangan.com/p/7fy7f89367420767【訪問日期：2023年9月6日】.

[2]?關(guān)于DNS系統(tǒng)面臨危重安全漏洞風(fēng)險(xiǎn)緊急公告，2008年07月24日，https://www.datarecovery.com.tw/news/times/2010-10-31/277.html【訪問日期：2023年9月6日】.

[3]?盤點(diǎn)2021年全球十大系統(tǒng)崩潰事件，2022年01月13日，https://dbaplus.cn/news-152-4243-1.html【訪問日期：2023年9月6日】.

[4]?智安網(wǎng)絡(luò)｜勒索病毒來勢(shì)洶洶，提前掌握“殺毒”自救方法，2023年05月17日，https://baijiahao.baidu.com/s?id=1766131804485461279【訪問日期：2023年9月6日】.