跳至主要內容

DNS工作原理

Gaaming Zhang2025/12/21大约 19 分钟网络网络AI生成

DNS工作原理

核心概念

DNS(Domain Name System) 是互联网的域名系统,将人类可读的域名(如 google.com)转换为机器可识别的 IP 地址(如 142.251.41.14)。DNS 使用分布式数据库和递归查询的方式,高效地完成这个转换过程。

关键特点

  • 分层结构:根域名、顶级域、权威域名服务器
  • 递归查询:本地解析器代替用户进行完整查询
  • 缓存机制:减少查询次数,加快解析速度
  • UDP 协议:大多数查询用 UDP(端口 53),部分用 TCP

DNS 查询流程(完整示例)

假设用户在浏览器输入 www.google.com,DNS 解析过程如下:

第一步:本地查询(客户端)

用户浏览器

查看本地缓存(浏览器 DNS 缓存)
  ├─ 如果命中 → 直接返回 IP,流程结束
  └─ 如果未命中 → 继续下一步

查询本地 DNS 缓存(操作系统缓存)
  ├─ Windows: ipconfig /displaydns
  ├─ Linux/Mac: 无系统级缓存(由应用管理)
  └─ 如果未命中 → 继续下一步

查询 /etc/hosts 文件(本地映射)
  ├─ 如果命中 → 直接返回,流程结束
  └─ 如果未命中 → 继续下一步

第二步:递归查询(本地 DNS 解析器)

用户配置的本地 DNS 服务器(通常由 ISP 提供)进行递归查询:

本地 DNS 解析器(Recursive Resolver)
  例:8.8.8.8(Google DNS),1.1.1.1(CloudFlare)

查询根域名服务器(Root Nameserver)
  位置:全球 13 个根服务器(a-m.root-servers.net)
  查询内容:"www.google.com 的权威服务器在哪里?"
  回复:"问顶级域名服务器(.com 服务器)去"

查询顶级域名服务器(TLD Nameserver)
  位置:.com, .org, .net 等的服务器
  查询内容:"google.com 的权威服务器在哪里?"
  回复:"问 google.com 的权威服务器去"

查询权威域名服务器(Authoritative Nameserver)
  位置:google.com 的 DNS 服务器
  查询内容:"www.google.com 的 IP 是多少?"
  回复:"142.251.41.14"

本地 DNS 缓存该结果
  并返回给用户的 DNS 客户端

用户操作系统缓存结果
用户浏览器缓存结果

浏览器获得 IP 地址,发起 HTTP/HTTPS 连接

DNS 记录类型

常见的 DNS 记录类型

记录类型作用示例
A域名指向 IPv4 地址google.com → 142.251.41.14
AAAA域名指向 IPv6 地址google.com → 2607:f8b0:4004:...
CNAME别名,指向另一个域名www.google.comgoogle.com
MX邮件交换记录gmail.com 的邮件服务器
NS名称服务器google.com 的权威 DNS 服务器
SOA授权开始记录域的 DNS 主服务器等信息
TXT文本记录SPF、DKIM 验证,Google 验证等
PTR反向解析,IP 指向域名142.251.41.14 → google.com

查询 DNS 记录

# 查询 A 记录(默认)
nslookup google.com
dig google.com

# 查询特定类型
dig google.com MX          # 邮件服务器
dig google.com NS          # 权威 DNS 服务器
dig google.com TXT         # 文本记录

# 查询 CNAME
dig www.google.com CNAME

# 反向查询(IP 到域名)
dig -x 142.251.41.14       # 反向 DNS
nslookup 142.251.41.14

DNS 解析模式

1. 递归查询(Recursive Query)

客户端
  ↓ 全权委托给本地 DNS 服务器
本地 DNS 服务器
  ↓ 代替客户端,逐级查询
根 → TLD → 权威
  ↓ 返回完整答案给客户端
客户端获得最终 IP

特点:客户端只发送一次请求,由本地 DNS 服务器完成所有查询工作。

2. 迭代查询(Iterative Query)

本地 DNS → 根服务器:"google.com 在哪里?"
根服务器:"去问 TLD 服务器"(返回 TLD 地址)

本地 DNS → TLD 服务器:"google.com 在哪里?"
TLD 服务器:"去问权威服务器"(返回权威服务器地址)

本地 DNS → 权威服务器:"www.google.com 的 IP?"
权威服务器:"142.251.41.14"

本地 DNS 返回给客户端

特点:每一步返回一个指针,由 DNS 服务器主动逐级查询。

DNS 缓存和 TTL

缓存层级

浏览器缓存(几分钟)
  ↓(如果未命中)
操作系统缓存
  ↓(如果未命中)
本地 DNS 服务器缓存(根据 TTL)
  ↓(如果未命中)
递归查询(根 → TLD → 权威)

TTL(Time To Live)

# TTL 是 DNS 记录的有效期,单位为秒

# 查看 TTL
dig google.com
# 输出示例:
# google.com.     300   IN  A  142.251.41.14
#                 ↑
#              TTL 300 秒

# TTL 值的含义:
# TTL = 300   : DNS 记录在缓存中保留 5 分钟
# TTL = 3600  : DNS 记录在缓存中保留 1 小时(常见)
# TTL = 86400 : DNS 记录在缓存中保留 1 天

# 更改 DNS 记录的生效时间:
# 修改 DNS 前,先降低 TTL(如改为 60 秒)
# 等待原 TTL 过期,再修改 DNS
# 修改完成后,可恢复 TTL 为较大值

DNS 查询工具使用

1. nslookup(基础查询)

# 查询 A 记录
nslookup google.com

# 查询特定 DNS 服务器
nslookup google.com 8.8.8.8

# 查询特定记录类型
nslookup -type=MX google.com

# 交互模式
nslookup
> google.com
> set type=NS
> google.com

2. dig(详细查询)

# 标准查询
dig google.com

# 简洁输出
dig google.com +short

# 查询所有记录
dig google.com ANY

# 追踪完整递归过程
dig google.com +trace

# 指定 DNS 服务器
dig @8.8.8.8 google.com

# 反向查询
dig -x 142.251.41.14

3. host(简化工具)

# 查询 A 记录
host google.com

# 查询 MX 记录
host -t MX google.com

# 查询 TXT 记录
host -t TXT google.com

DNS 性能优化

1. 本地 DNS 缓存

# 启用 systemd-resolved(Linux)
sudo systemctl start systemd-resolved
sudo systemctl enable systemd-resolved

# 查看缓存统计
systemd-resolve --statistics

# 刷新缓存
systemd-resolve --flush-caches

# dnsmasq(轻量级 DNS 缓存)
sudo apt install dnsmasq
sudo systemctl start dnsmasq

2. 使用高速 DNS 服务

# 常见的公共 DNS:
# Google:    8.8.8.8, 8.8.4.4
# CloudFlare: 1.1.1.1, 1.0.0.1
# OpenDNS:   208.67.222.222, 208.67.220.220
# 阿里:     223.5.5.5, 223.6.6.6

# 修改 DNS(Ubuntu)
sudo vim /etc/resolv.conf
# 或
sudo netplan edit 01-netcfg.yaml

3. DNS 预解析(浏览器)

<!-- HTML 中添加 DNS 预解析 -->
<link rel="dns-prefetch" href="//cdn.example.com">
<link rel="dns-prefetch" href="//api.example.com">

<!-- 预连接(包括 DNS、TCP、TLS) -->
<link rel="preconnect" href="//cdn.example.com">

DNS 常见问题诊断

问题 1:DNS 解析变慢

# 诊断:
time dig google.com  # 测量解析时间

# 可能原因:
# 1. DNS 服务器响应慢
#    尝试更换 DNS 服务器
dig @8.8.8.8 google.com

# 2. 本地 DNS 缓存满了
#    清除缓存
systemd-resolve --flush-caches
sudo systemctl restart nscd

# 3. 网络连接不稳定
#    检查网络:ping 8.8.8.8

问题 2:DNS 无法解析

# 诊断:
nslookup example.com     # 解析失败
ping 8.8.8.8            # 检查网络连接

# 可能原因:
# 1. DNS 服务器不可达
#    检查 /etc/resolv.conf
cat /etc/resolv.conf

# 2. 网络连接断开
#    检查网络配置

# 3. DNS 服务器故障
#    尝试更换 DNS 服务器
nslookup example.com 8.8.8.8

问题 3:DNS 污染/劫持

# 症状:访问正常网站跳转到其他地方

# 诊断:
dig example.com @8.8.8.8      # 用不同 DNS 查询
nslookup example.com 1.1.1.1  # 比较结果

# 解决:
# 1. 使用可信 DNS(如 8.8.8.8)
# 2. 使用 DNSSEC(DNS Security Extension)验证
dig +dnssec example.com

DNS 与网络性能关系

DNS 解析时间(通常 10-100ms)

TCP 建立(3 次握手,30-100ms)

TLS 握手(HTTPS,30-100ms)

HTTP 请求/响应

内容渲染
  
总页面加载时间

DNS 解析占比:5-10%(对于重复访问可减少为 0%)
优化 DNS 可显著加快首次访问速度

相关高频面试题

Q1: DNS 递归查询和迭代查询有什么区别?

答案

# 递归查询(Recursive Query)
# - 客户端向本地 DNS 服务器发送查询
# - 本地 DNS 服务器**完全负责**返回最终答案
# - 本地 DNS 代替客户端,逐级向根、TLD、权威服务器查询
# - 特点:查询次数多,但对客户端透明

# 迭代查询(Iterative Query)
# - 本地 DNS 向根/TLD/权威服务器发送查询
# - 每个服务器返回"下一步该问谁"的指引
# - 本地 DNS 自己逐级查询,每次得到一个指针
# - 特点:更高效,避免重复解析

# 实际过程:
# 1. 客户端 → 本地 DNS:递归查询 www.google.com
# 2. 本地 DNS → 根服务器:迭代查询(代替客户端)
# 3. 根服务器 → 本地 DNS:返回 .com TLD 服务器地址(迭代响应)
# 4. 本地 DNS → TLD 服务器:迭代查询 google.com 的权威服务器
# 5. TLD 服务器 → 本地 DNS:返回 google.com 的权威服务器地址
# 6. 本地 DNS → 权威服务器:迭代查询 www.google.com 的 IP
# 7. 权威服务器 → 本地 DNS:返回最终的 IP 地址
# 8. 客户端 ← 本地 DNS:返回最终 IP(递归响应)

技术要点

  • 递归查询是"一站式服务",客户端只与本地DNS服务器交互
  • 迭代查询是"指路式服务",本地DNS服务器需要自行完成多步查询
  • 递归查询通常用于客户端到本地DNS服务器之间
  • 迭代查询通常用于DNS服务器之间的通信
  • 递归查询可能导致 DNS 服务器负载较高,需要适当配置递归查询权限

Q2: DNS 缓存的 TTL 值是什么含义?如何影响 DNS 变更生效时间?

答案

# TTL(Time To Live):DNS 记录的有效期(秒)

# TTL 工作原理:
# - DNS 记录被缓存后,TTL 秒内无需再次查询
# - TTL 过期后,下次访问会重新查询权威服务器
# - 浏览器、OS、本地 DNS 都会根据 TTL 缓存

# 典型的 TTL 值:
# - TTL = 300(5 分钟):适合经常变化的记录
# - TTL = 3600(1 小时):常见默认值
# - TTL = 86400(1 天):稳定的记录,加快查询
# - TTL = 0:不缓存,每次都查询权威服务器

DNS 变更生效时间分析

  • 最坏情况:最长延迟 = 所有缓存点的 TTL 之和
    浏览器缓存(几分钟)+ 操作系统缓存 + 本地 DNS 缓存(TTL)+ 各级 DNS 服务器缓存
    可能需要 1-24 小时才能完全生效

  • 加快生效的方法

    1. 修改前,先降低 TTL 为 60 秒,等待原 TTL 过期让所有缓存更新
    2. 修改 DNS 记录
    3. 等待 1 分钟,TTL 过期后立即生效
    4. 修改完成后,可恢复 TTL 为较大值

实践建议

  • 对于关键业务,建议在 DNS 变更前 24 小时降低 TTL
  • 变更后监控 DNS 解析状态,确保所有区域都已更新
  • 使用 dig +short @权威DNS 域名 验证权威服务器的记录是否已更新

Q3: 如何通过 dig 命令追踪完整的 DNS 查询过程?

答案

# 使用 dig +trace 命令追踪完整的查询链
dig google.com +trace

# 输出包括三个主要阶段:
# 1. 根服务器回复(提供 TLD 服务器地址)
# 2. TLD 服务器回复(提供权威服务器地址)
# 3. 权威服务器回复(提供最终的 IP 地址和其他记录)

输出解析

; <<>> DiG 9.16.1-Ubuntu <<>> google.com +trace
;; global options: +cmd
;
;; Received 228 bytes from 192.168.1.1#53(192.168.1.1) in 1 ms

.                     518400  IN  NS  a.root-servers.net.  # 根服务器信息
.                     518400  IN  NS  b.root-servers.net.
...

com.                  172800  IN  NS  a.gtld-servers.net.  # .com TLD 服务器
com.                  172800  IN  NS  b.gtld-servers.net.
...

google.com.           172800  IN  NS  ns1.google.com.     # google.com 权威服务器
google.com.           172800  IN  NS  ns2.google.com.
...

www.google.com.       300     IN  A   142.251.41.14       # 最终 A 记录

进阶用法

# 逐步手动追踪查询过程
dig @a.root-servers.net google.com  # 查询根服务器
dig @a.gtld-servers.net google.com  # 查询 TLD 服务器
dig @ns1.google.com www.google.com  # 查询权威服务器

Q4: DNS 污染和 DNS 劫持是什么?如何防护?

答案

# DNS 污染(DNS Poisoning)
# - ISP 或网络运营商在网络层面篡改 DNS 响应
# - 返回虚假 IP 地址,将用户重定向到钓鱼网站或广告页面
# - 通常针对 UDP 53 端口的 DNS 查询进行中间人攻击
# - 污染可能发生在网络路由的任何节点

# DNS 劫持(DNS Hijacking)
# - 恶意程序或攻击者修改本地 DNS 设置或路由器配置
# - 将 DNS 请求重定向到恶意 DNS 服务器
# - 可以通过修改 hosts 文件、路由器 DNS 配置或恶意软件实现
# - 劫持发生在本地计算机或局域网设备

诊断方法

# 使用不同的 DNS 服务器查询同一域名,比较结果
dig @8.8.8.8 example.com       # Google DNS
dig @1.1.1.1 example.com       # CloudFlare DNS
dig example.com                # 本地 DNS

# 结果不一致 → 存在 DNS 污染/劫持

防护措施

  1. 使用可信 DNS 服务

    • Google DNS: 8.8.8.8, 8.8.4.4
    • CloudFlare DNS: 1.1.1.1, 1.0.0.1
    • Quad9 DNS: 9.9.9.9(带安全过滤)

  2. 启用安全 DNS 协议

    • DNS over HTTPS (DoH): 使用 HTTPS 加密 DNS 查询
    • DNS over TLS (DoT): 使用 TLS 加密 DNS 查询
    • DNSSEC: 验证 DNS 响应的真实性和完整性

  3. 本地防护

    • 定期检查 hosts 文件:cat /etc/hosts
    • 检查路由器 DNS 配置
    • 安装可靠的杀毒软件和防火墙

  4. 企业级防护

    • 部署 DNS 安全网关
    • 实施 DNS 查询监控和异常检测
    • 配置 DNS 过滤策略

Q5: CNAME 和 A 记录有什么区别?什么时候使用 CNAME?

答案

# A 记录:直接将域名映射到 IPv4 地址
# 示例:
example.com  A  192.0.2.1

# AAAA 记录:将域名映射到 IPv6 地址
# 示例:
example.com  AAAA  2001:db8::1

# CNAME 记录:域名别名,将一个域名指向另一个域名
# 示例:
www.example.com  CNAME  example.com
cdn.example.com  CNAME  cdn-provider.example.net

A 记录与 CNAME 记录详细对比

属性A 记录CNAME 记录
指向目标IP 地址(IPv4/IPv6)域名
解析次数1 次(直接获取 IP)2+ 次(先解析 CNAME 到域名,再解析域名到 IP)
根域名支持支持(example.com 可使用 A 记录)不支持(根域名不能指向另一个域名)
灵活性低(修改 IP 需更新所有 A 记录)高(修改 IP 时只需更新目标域名的 A 记录)
查询性能更高略低(额外的查询开销)
MX 记录兼容性与 MX 记录共存不能与 MX 记录共存于同一域名

使用场景

查询 CNAME 记录

dig www.example.com CNAME +short

Q6: 企业级 DNS 应该如何设计?考虑哪些因素?

答案

企业级 DNS 设计需要综合考虑可用性、性能、安全性和可管理性等多个方面:

# 1. 高可用性设计
#    - 至少部署 3 个权威 DNS 服务器(防止单点故障)
#    - 服务器分布在不同地域、不同运营商网络
#    - 使用 Anycast 路由技术(多个服务器共享同一 IP 地址)
#    - 实现自动故障转移和健康检查

# 2. 性能优化设计
#    - 部署 GeoDNS:根据用户地理位置返回最近的服务器 IP
#    - 全球 CDN 加速:在多个节点缓存 DNS 记录
#    - 优化 TTL 设置:根据业务需求调整缓存时间
#    - 实现 DNS 预解析和本地缓存

# 3. 安全设计
#    - 启用 DNSSEC:防止 DNS 劫持和篡改
#    - 部署 DNS 防火墙:过滤恶意查询和 DDoS 攻击
#    - 实现访问控制:限制递归查询权限
#    - 启用查询日志:监控异常活动
#    - 隐藏 DNS 服务器版本信息

# 4. 可管理性设计
#    - 集中式 DNS 记录管理系统
#    - 变更审批流程和版本控制
#    - 完整的监控和告警体系
#    - 定期备份和灾难恢复计划
#    - 详细的文档和操作手册

# 5. 扩展性设计
#    - 支持动态 DNS 更新
#    - 与云平台集成
#    - 支持大规模记录管理(百万级)

企业级 DNS 架构示例

用户 → 本地 DNS → [Anycast] → 权威 DNS 集群(多地)

                          DNS 管理系统 → 数据库

                          监控告警系统

最佳实践

  • 使用专业的 DNS 服务提供商(如 Cloudflare、AWS Route 53、Dyn)
  • 定期进行 DNS 性能测试和安全审计
  • 实施 DNS 灾备方案
  • 培训运维人员掌握 DNS 故障排查技能

Q7: DNS 使用 UDP 还是 TCP?为什么?什么情况下会使用 TCP?

答案

DNS 主要使用 UDP 协议,但在特定情况下会使用 TCP 协议:

# 默认使用 UDP 的原因:
# 1. 高效性:UDP 是无连接协议,减少了三次握手的开销
# 2. 速度快:DNS 查询通常很小(< 512 字节),适合 UDP 传输
# 3. 低资源消耗:UDP 不需要维护连接状态

# 使用 TCP 的情况:
# 1. DNS 响应超过 512 字节(UDP 包大小限制)
# 2. DNS 区域传输(AXFR/IXFR):主从 DNS 服务器之间同步数据
# 3. DNSSEC 验证:较大的签名数据可能超过 UDP 限制
# 4. 递归查询的某些场景

技术细节

  • UDP 端口 53 和 TCP 端口 53 都用于 DNS 服务
  • 当 DNS 响应超过 512 字节时,服务器会返回 UDP 截断响应(TC=1 标志),客户端会自动切换到 TCP 重新查询
  • DNSSEC 签名会显著增加响应大小,因此现代 DNSSEC 通常使用 TCP

Q8: 什么是 DNS 负载均衡?它的原理是什么?

答案

DNS 负载均衡是通过 DNS 系统实现的一种负载均衡技术:

# 工作原理:
# 1. 为同一域名配置多个 A 记录,指向不同的服务器 IP
# 2. DNS 服务器接收到查询时,返回其中一个 IP 地址
# 3. 不同的查询可能得到不同的 IP 地址,实现流量分发

实现方式

  1. 轮询(Round Robin):依次返回不同的 IP 地址
  2. 权重轮询:根据服务器性能设置不同权重
  3. GeoDNS:根据用户地理位置返回最近的服务器 IP
  4. 智能 DNS:结合服务器负载、网络状况等动态调整返回结果

优缺点

优点缺点
实现简单,无需额外硬件/软件DNS 缓存可能导致负载不均
全球范围内有效无法实时感知服务器状态
成本低故障切换依赖 TTL 过期时间
对客户端透明不支持会话保持

实践应用

  • 大型网站的流量分发(如 Google、Facebook)
  • CDN 节点选择
  • 多地域服务器负载均衡

Q9: 什么是 DNSSEC?它如何保护 DNS 查询的安全性?

答案

DNSSEC(DNS Security Extensions)是 DNS 的安全扩展,用于防止 DNS 劫持和数据篡改:

# DNSSEC 工作原理:
# 1. 为 DNS 记录添加数字签名
# 2. 通过公钥加密验证 DNS 响应的真实性和完整性
# 3. 建立信任链:从根域名服务器到权威服务器

主要安全机制

  1. 数字签名:权威 DNS 服务器为 DNS 记录生成数字签名
  2. 公钥分发:通过 DNSKEY 记录分发公钥
  3. 信任锚:从根域名服务器开始的信任链
  4. 验证链:客户端验证整个 DNS 响应的签名链

DNSSEC 相关记录类型

  • DNSKEY:存储公钥
  • RRSIG:记录的数字签名
  • DS:委派签名者记录(建立信任链)
  • NSEC/NSEC3:防止域名不存在攻击

验证 DNSSEC

dig example.com +dnssec

优点

  • 防止 DNS 劫持和数据篡改
  • 验证 DNS 响应的真实性
  • 保护用户免受钓鱼攻击

挑战

  • 增加 DNS 响应大小(通常需要使用 TCP)
  • 配置复杂
  • 可能影响 DNS 解析性能

Q10: 什么是 Split Horizon DNS?它的应用场景是什么?

答案

Split Horizon DNS(分割视图 DNS)是一种根据客户端来源返回不同 DNS 解析结果的技术:

# 工作原理:
# 1. DNS 服务器根据客户端 IP 地址判断其来源
# 2. 为不同来源的客户端返回不同的 IP 地址
# 3. 通常用于区分内部网络和外部网络用户

应用场景

  1. 企业内部网络

    • 外部用户查询 example.com 得到公网 IP
    • 内部用户查询 example.com 得到内网 IP
    • 提高内部访问速度,减少公网流量

  2. 多环境部署

  3. 内容过滤

    • 某些地区用户无法访问特定内容
    • DNS 服务器返回不同的解析结果

实现方式

  • 在 DNS 服务器上配置访问控制列表(ACL)
  • 根据客户端 IP 地址匹配不同的视图
  • 每个视图有独立的 DNS 记录

Q11: 如何调试 DNS 解析问题?有哪些常用工具?

答案

调试 DNS 解析问题需要系统地检查各个环节,常用工具和方法如下:

# 1. 基本解析测试
nslookup example.com      # 简单 DNS 解析测试
dig example.com +short    # 简洁输出 DNS 解析结果
host example.com         # 简化的 DNS 查询工具

# 2. 指定 DNS 服务器测试
dig @8.8.8.8 example.com  # 使用 Google DNS 测试
dig @114.114.114.114 example.com  # 使用 114 DNS 测试

# 3. 追踪完整解析过程
dig example.com +trace    # 追踪 DNS 查询的完整路径

# 4. 检查特定记录类型
dig example.com A         # 查询 A 记录
dig example.com MX        # 查询 MX 记录
dig example.com TXT       # 查询 TXT 记录
dig example.com NS        # 查询 NS 记录

# 5. 检查 DNS 缓存
systemd-resolve --statistics  # Linux 系统 DNS 缓存统计
ipconfig /displaydns        # Windows 系统 DNS 缓存

# 6. 清除 DNS 缓存
sudo systemd-resolve --flush-caches  # Linux
iosctl flushcache             # macOS
ipconfig /flushdns            # Windows

# 7. 检查网络连接
ping 8.8.8.8               # 测试网络连通性
traceroute 8.8.8.8         # 追踪网络路由

# 8. 检查 hosts 文件
cat /etc/hosts             # Linux/macOS
notepad C:\Windows\System32\drivers\etc\hosts  # Windows

常见 DNS 问题诊断流程

  1. 测试网络连通性(ping 8.8.8.8)
  2. 使用公共 DNS 测试解析(dig @8.8.8.8 域名)
  3. 检查本地 DNS 设置(cat /etc/resolv.conf)
  4. 追踪解析过程(dig +trace 域名)
  5. 检查 hosts 文件
  6. 清除本地 DNS 缓存

Q12: DNS 的分层结构是怎样的?包括哪些类型的服务器?

答案

DNS 采用分布式的分层树状结构,从上到下分为根域、顶级域、二级域等:

# DNS 分层结构:
# 根域(.)
# ├── 顶级域(.com, .org, .net, .cn 等)
# │   ├── 二级域(example.com, google.com 等)
# │   │   ├── 子域(www.example.com, mail.example.com 等)
# │   │   └── 主机(server1.example.com)
# │   └── ...
# └── ...

DNS 服务器类型

  1. 根域名服务器(Root Name Server)

    • 全球共 13 个根服务器(a-m.root-servers.net
    • 负责管理顶级域名服务器
    • 不直接解析具体域名,只提供 TLD 服务器地址

  2. 顶级域名服务器(TLD Name Server)

    • 负责管理特定顶级域(如 .com, .org)
    • 提供二级域的权威服务器地址
    • 例如:.com TLD 服务器管理所有 .com 域名

  3. 权威域名服务器(Authoritative Name Server)

    • 负责特定域名的 DNS 记录
    • 直接提供域名到 IP 的映射
    • 是域名解析的最终来源

  4. 递归解析器(Recursive Resolver)

    • 也称为本地 DNS 服务器
    • 代表客户端进行完整的 DNS 查询
    • 由 ISP 或公共 DNS 服务提供商(如 Google DNS、CloudFlare DNS)运营
    • 缓存 DNS 查询结果以提高性能

解析流程

客户端 → 递归解析器 → 根服务器 → TLD 服务器 → 权威服务器
默认页脚
Copyright © 2025 Gaaming Zhang