终于把DNS解析说明白了

尘嫣慕曦

于 2024-10-10 07:58:44 发布

阅读量1.1k

点赞数 28

分类专栏： Linux 操作系统管理文章标签： linux 运维服务器云计算网络

本文链接：https://blog.csdn.net/mohuanfenghuang/article/details/142806146

版权

今天给伙伴们分享一下DNS解析，希望看了有所收获。

我是公众号「想吃西红柿」「云原生运维实战派」作者，对云原生运维感兴趣，也保持时刻学习，后续会分享工作中用到的运维技术，在运维的路上得到支持和共同进步！

如果伙伴们看了文档觉得有用，欢迎大家关注我的公众号，获取相关文档。爱运维，爱生活。

一、DNS 基本概念

DNS 是域名系统 (Domain Name System) 的缩写，是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。

二、域名的分层结构

由于因特网的用户数量较多，所以因特网在命名时采用的是层次树状结构的命名方法。任何一个连接在因特网上的主机或路由器，都有一个唯一的层次结构的名字，即域名(domain name)。这里，“域”(domain)是名字空间中一个可被管理的划分。从语法上讲，每一个域名都是有标号(label)序列组成，而各标号之间用点(小数点)隔开。域名可以划分为各个子域，子域还可以继续划分为子域的子域，这样就形成了顶级域、主域名、子域名等。关于域名层次结构如下图：

域名分层结构NEW

三、域名分层举例

“.com”是顶级域名；
“aliyun.com”是主域名（也可称托管一级域名），主要指企页名；
“example.aliyun.com”是子域名（也可称为托管二级域名）；
“www.example.aliyun.com”是子域名的子域（也可称为托管三级域名）。

四、DNS的分层结构

域名是分层结构，域名DNS服务器也是对应的层级结构。有了域名结构，还需要有域名DNS服务器去解析域名，且是需要由遍及全世界的域名DNS服务器去解析，域名DNS服务器实际上就是装有域名系统的主机。域名解析过程涉及4个DNS服务器，分别如下：

分类	作用
根DNS服务器	英文：Root nameserver。本地域名服务器在本地查询不到解析结果时，则第一步会向它进行查询，并获取顶级域名服务器的IP地址。
顶级域名服务器	英文：Tld nameserver。负责管理在该顶级域名服务器下注册的二级域名，例如“www.example.com”，.com则是顶级域名服务器，在向它查询时，可以返回二级域名“example.com”所在的权威域名服务器地址
权威域名服务器	英文：authoritative nameserver。在特定区域内具有唯一性，负责维护该区域内的域名与IP地址之间的对应关系，例如云解析DNS。
本地域名服务器	英文：DNS resolver或Local DNS。本地域名服务器是响应来自客户端的递归请求，并最终跟踪直到获取到解析结果的DNS服务器。例如用户本机自动分配的DNS、运营商ISP分配的DNS、谷歌/114公共DNS等

每个层的域名上都有自己的域名服务器，最顶层的是根域名服务器
每一级域名服务器都知道下级域名服务器的IP地址，以便于一级一级向下查询

五、DNS术语

1、递归查询

是指DNS服务器在收到用户发起的请求时，必须向用户返回一个准确的查询结果。如果DNS服务器本地没有存储与之对应的信息，则该服务器需要询问其他服务器，并将返回的查询结构提交给用户。

2、迭代查询

是指DNS服务器在收到用户发起的请求时，并不直接回复查询结果，而是告诉另一台DNS服务器的地址，用户再向这台DNS服务器提交请求，这样依次反复，直到返回查询结果。

3、DNS缓存

DNS缓存是将解析数据存储在靠近发起请求的客户端的位置，也可以说DNS数据是可以缓存在任意位置，最终目的是以此减少递归查询过程，可以更快的让用户获得请求结果。
www.baidu.com 1.1.1.1

4、TTL

英文全称Time To Live ，这个值是告诉本地域名服务器，域名解析结果可缓存的最长时间，缓存时间到期后本地域名服务器则会删除该解析记录的数据，删除之后，如有用户请求域名，则会重新进行递归查询/迭代查询的过程。

5、IPV4、IPV6双栈技术

双栈英文Dual IP Stack，就是在一个系统中可同时使用IPv6/ IPv4这两个可以并行工作的协议栈

6、TLD Server

英文全称Top-level domains Server，指顶级域名服务器。

7、DNS Resolver

指本地域名服务器，它是DNS查找中的第一站，是负责处理发出初始请求的DNS服务器。运营商ISP分配的DNS、谷歌8.8.8.8等都属于DNS Resolver。

8、Root Server

指根域名服务器，当本地域名服务器在本地查询不到解析结果时，则第一步会向它进行查询，并获取顶级域名服务器的IP地址。

9、DNS Query Flood Attack

指域名查询攻击，攻击方法是通过操纵大量傀儡机器，发送海量的域名查询请求，当每秒域名查询请求次数超过DNS服务器可承载的能力时，则会造成解析域名超时从而直接影响业务的可用性。

10、URL转发

英文 Url Forwarding，也可称地址转向，它是通过服务器的特殊设置，将一个域名指向到另外一个已存在的站点

11、edns-client-subnet

google提交了一份DNS扩展协议，允许DNS resolver传递用户的ip地址给authoritative（权威） DNS server.

12、DNSSEC

域名系统安全扩展（DNS Security Extensions），简称DNSSEC。它是通过数字签名来保证DNS应答报文的真实性和完整性，可有效防止DNS欺骗和缓存污染等攻击，能够保护用户不被重定向到非预期地址，从而提高用户对互联网的信任。

六、DNS 解析过程

DNS查询的结果通常会在本地域名服务器中进行缓存，如果本地域名服务器中有缓存的情况下，则会跳过如下DNS查询步骤，很快返回解析结果。下面的示例则概述了本地域名服务器没有缓存的情况下，DNS查询所需的8个步骤：

用户在Web浏览器中输入“example.com”，则由本地域名服务器开始进行递归查询。
本地域名服务器采用迭代查询的方法，向根域名服务器进行查询。
根域名服务器告诉本地域名服务器，下一步应该查询的顶级域名服务器.com TLD的IP地址
本地域名服务器向顶级域名服务器.com TLD进行查询
.com TLD服务器告诉本地域名服务器，下一步查询example.com权威域名服务器的IP地址
本地域名服务器向example.com权威域名服务器发送查询
example.com权威域名服务器告诉本地域名服务器所查询的主机IP地址
本地域名服务器最后把查询的IP地址响应给web浏览器

一旦DNS查询的8个步骤返回了example.com的IP地址，浏览器就能够发出对网页的请求：

浏览器向IP地址发出HTTP请求
该IP处的web服务器返回要在浏览器中呈现的网页

解析过程NEW

（1）当用户在浏览器中输入www.qq.com域名访问该网站时，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个IP地址映射，完成域名解析。

（2）如果hosts里没有这个域名的映射，则查找本地DNS解析器缓存，是否有这个网址映射关系，如果有，直接返回，完成域名解析。

（3）如果hosts与本地DNS解析器缓存都没有相应的网址映射关系，首先会找TCP/ip参数中设置的首选DNS服务器，在此我们叫它本地DNS服务器，此服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返回解析结果给客户机，完成域名解析，此解析具有权威性。

（4）如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已缓存了此网址映射关系，则调用这个IP地址映射，完成域名解析，此解析不具有权威性。

（5）如果本地DNS服务器本地区域文件与缓存解析都失效，则根据本地DNS服务器的设置（是否设置转发器）进行查询，如果未用转发模式，本地DNS就把请求发至13台根DNS，根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理，并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后，将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后，如果自己无法解析，它就会找一个管理.com域的下一级DNS服务器地址(qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找qq.com域服务器，重复上面的动作，进行查询，直至找到www.qq.com主机。

（6）如果用的是转发模式，此DNS服务器就会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把转请求转至上上级，以此循环。不管是本地DNS服务器用是是转发，还是根提示，最后都是把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。
提示：从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间的交互查询就是迭代查询。