DNS是什么,为什么需要它
当你在浏览器输入 www.baidu.com,并不是浏览器直接连接到百度的服务器——它首先需要知道百度服务器的IP地址。DNS(Domain Name System,域名系统)就是这个”电话本”:将人类易记的域名翻译成计算机可识别的IP地址。
没有DNS,你必须记住每个网站的IP地址才能访问,互联网将无法正常运转。DNS是互联网最关键的基础设施之一,全球每天处理数万亿次查询。
DNS的层级结构
DNS是一个分布式的层级系统,从右到左阅读域名可以理解其层级:
www.example.com.
│ │ │ └─ 根域(.):隐含的最顶层,由根服务器管理
│ │ └─ 顶级域(TLD):.com .cn .org 等
│ └─ 二级域:example(由注册人控制)
└─ 三级域/主机名:www(由站长配置)DNS服务器的四种类型
| 类型 | 角色 | 典型示例 |
|---|---|---|
| 根服务器 | 知道所有TLD服务器地址 | 全球13组(A-M),约1000台实体机 |
| TLD服务器 | 知道特定TLD下所有域名的NS记录 | .com由Verisign管理 |
| 权威DNS服务器 | 存储域名的实际DNS记录 | 阿里云DNS、Cloudflare DNS |
| 递归解析器 | 代替客户端完成整个查询过程 | 运营商DNS、8.8.8.8 |
DNS解析完整流程
以查询 www.example.com 为例,完整的解析过程:
- 浏览器检查本地缓存:是否最近查询过?有缓存直接返回,整个过程结束
- 操作系统检查缓存:查询OS的DNS缓存(Windows: ipconfig /displaydns)
- 检查hosts文件:/etc/hosts(Linux/Mac)或 C:WindowsSystem32driversetchosts(Windows)中是否有静态记录
- 向递归解析器发起查询:向本地DNS服务器(如8.8.8.8)发送请求
- 递归解析器向根服务器查询:根服务器返回 .com TLD服务器的地址
- 向TLD服务器查询:.com服务器返回 example.com 权威DNS服务器的地址
- 向权威DNS服务器查询:权威服务器返回 www.example.com 的A记录(IP地址)
- 结果逐层返回并缓存:IP地址被缓存在各层,有效期由TTL决定
- 浏览器连接目标IP:建立TCP/TLS连接,发送HTTP请求
这整个过程通常在 20-120毫秒内完成,用户几乎感觉不到。
常见DNS记录类型详解
| 记录类型 | 作用 | 示例 |
|---|---|---|
| A记录 | 域名 → IPv4地址 | example.com → 93.184.216.34 |
| AAAA记录 | 域名 → IPv6地址 | example.com → 2606:2800:220:1:248:1893:25c8:1946 |
| CNAME记录 | 域名 → 另一个域名(别名) | www → example.com |
| MX记录 | 邮件服务器地址 | mail.example.com(优先级10) |
| TXT记录 | 文本信息(SPF/DKIM/验证) | v=spf1 include:_spf.google.com ~all |
| NS记录 | 指定域名的权威DNS服务器 | ns1.aliyun.com |
| SOA记录 | DNS区域的权威信息 | 包含主DNS、管理员邮箱、序列号等 |
TTL(生存时间)的重要性
TTL(Time to Live)决定DNS记录被缓存多久。它直接影响:
- 换IP的生效速度:TTL=3600(1小时)意味着修改DNS最长需等1小时全球生效
- DNS查询频率:TTL越小,缓存越短,全球解析服务器查询权威服务器越频繁
- 最佳实践:平时TTL设为3600,计划迁移服务器前48小时降低到300,迁移完成后再调回
DNS缓存与刷新
清除本地DNS缓存
- Windows:
ipconfig /flushdns - macOS:
sudo dscacheutil -flushcache - Linux:
sudo systemd-resolve --flush-caches - Chrome浏览器:地址栏输入
chrome://net-internals/#dns→ Clear host cache
DNS安全进阶
DNS原始设计没有考虑安全性(1983年设计时互联网几乎没有安全威胁),现代扩展解决了这个问题:
- DNSSEC:通过数字签名验证DNS记录真实性,防止缓存投毒攻击
- DNS over HTTPS(DoH):加密DNS查询,防止ISP/中间人窃听
- DNS over TLS(DoT):同样加密DNS查询,采用独立端口853
站长必知的DNS实用技巧
- 修改DNS后耐心等待:DNS传播(DNS Propagation)需要时间,用 dnschecker.org 查看全球各地的解析状态
- 避免使用裸域CNAME:根域名(example.com不带www)不能使用CNAME,否则可能导致MX记录失效;改用A记录或支持CNAME Flattening的DNS服务商
- 备用DNS提高可用性:至少配置两个NS记录(主/从),防止单点故障
- 监控DNS解析正确性:使用监控工具定期检查DNS记录,及时发现被篡改
总结
DNS是互联网”看不见的地基”。理解DNS的工作原理,不仅能帮你快速排查网站访问问题,还能在服务器迁移、域名管理、安全防护时做出更明智的决策。下次网站出现访问问题,记得先检查DNS——这是排查的第一站。