本文為您介紹雲解析 DNS 的基礎概念,協助您瞭解相關知識,以便更好地理解和使用產品功能。
DNS
DNS(Domain Name System,網域名稱系統)即“網域名稱系統”。DNS是整個互連網服務的基礎系統之一,同時也是企業內網服務的重要基礎服務系統之一,負責將人們訪問的互連網網域名稱和企業內網網域名稱轉換為IP地址,這一轉換的過程叫做“網域名稱解析”, 所以DNS又稱“網域名稱解析系統”,相當於網路訪問的指路牌。DNS作為網域名稱和IP地址相互映射的一個分散式資料庫,能夠使使用者更方便的訪問網路資源和網路服務,而不用去記住能夠被機器直接讀取的IP數串。DNS協議運行在UDP協議之上,使用連接埠號碼53。DNS從服務的網路環境來區分,分為公網DNS和內網DNS。DNS從解析鏈路扮演的功能角色來區分,分為權威DNS和遞迴 DNS。
網域名稱的分層結構
網域名稱採用層次樹狀結構命名,每個串連在互連網上的主機或路由器,都有唯一的階層名字。網域名稱由標號(label)序列組成,各標號之間用點(小數點)隔開。關於網域名稱階層如下圖:
舉例說明
.com是頂級網域名稱;aliyun.com是主網域名稱,也叫次層網域;example.aliyun.com、www.aliyun.com是子網域名稱,也叫第三層網域名;test.example.aliyun.com是子網域名稱的子域,也叫四級網域名稱。
DNS伺服器層級
DNS解析過程涉及4個層級的DNS伺服器,分別如下:
伺服器類型 | 作用 |
根網域名稱伺服器 | 英文全稱:Root Name Server,簡稱Root Server。本地區名伺服器在本地查詢不到解析結果時,則第一步會向它進行查詢,並擷取頂級網域名稱伺服器的IP地址。 |
頂級網域名稱伺服器 | 英文全稱:Top-Level Domain Name Server,簡稱:TLD Server。負責管理在該頂級網域名稱伺服器下註冊的主網域名稱,例如“example.com”,.com則是頂級網域名稱伺服器,在向它查詢時,可以返回主網域名稱“example.com”所在的權威網域名稱伺服器地址。 |
權威網域名稱伺服器 | 英文全稱:Authoritative Name Server,簡稱NS。在特定地區內具有唯一性,負責維護該地區內的網域名稱與IP地址之間的對應關係。例如Alibaba Cloud DNS的公網權威解析,您可在此添加解析記錄,最終它會將配置的ip記錄返回給使用者。 |
本地區名伺服器 | 英文全稱:Local DNS Server,簡稱Local DNS。本地區名伺服器是響應來自用戶端的遞迴請求,並最終跟蹤直到擷取到解析結果的DNS伺服器。例如使用者本機自動分配的DNS、電訊廠商ISP分配的DNS、Google/223.5.5.5公用DNS等。 |
每個層級的網域名稱都有其專屬的網域名稱伺服器,最頂層是根網域名稱伺服器。每一層的網域名稱伺服器都儲存著下級網域名稱伺服器的IP地址,從而能夠逐級進行查詢。
DNS解析過程
通過網域名稱example.com訪問網站的網域名稱解析過程如下。
使用者在Web瀏覽器中輸入
example.com, 向本地區名伺服器發起查詢請求。若本地區名伺服器存在緩衝的解析資料,則直接將網域名稱example.com對應的IP地址返回給Web瀏覽器,跳至步驟9。若本地區名伺服器沒有查到緩衝的解析資料,則繼續步驟2。本地區名伺服器向根網域名稱伺服器進行查詢。
根網域名稱伺服器將
.com頂級網域名稱伺服器的地址,返回給本地區名伺服器。本地區名伺服器向
.com頂級網域名稱伺服器發起example.com的查詢請求。.com頂級網域名稱伺服器將為
example.com提供權威解析的權威網域名稱伺服器地址,返回給本地區名伺服器。本地區名伺服器向權威網域名稱伺服器發起查詢請求。
權威網域名稱伺服器將網域名稱
example.com對應的IP地址,返回給本地區名伺服器。本地區名伺服器最後把查詢的IP地址響應給Web瀏覽器。
Web瀏覽器通過IP地址訪問網站伺服器。
網站伺服器返回網頁資訊。
遞迴解析(Recursive Query)
DNS伺服器幫你把整個查詢流程走到底,中間任何一步都由這台伺服器去處理,最後直接把最終結果返回給你。如:
用戶端將“請幫我查出www.example.com的IP”遞交給本地DNS(遞迴伺服器)。
遞迴伺服器自己如果不知道答案,會去根DNS、TLD、權威DNS不斷髮問,並跟進每一步;直到獲得最終答案。
使用者只需要等遞迴伺服器給出最後的解析結果即可。
特點
使用者只需問一次、等一次。
遞迴伺服器壓力較大,需要走完整查詢流程。
這是用戶端和本地DNS之間最常見的方式。
常見應用
普通使用者/PC/瀏覽器 :只有遞迴查詢,不處理迭代查詢。
本地DNS伺服器(如你的寬頻電訊廠商、公網8.8.8.8、公司內網DNS):通常承擔遞迴解析的角色,對外(向根、TLD、權威DNS)發起迭代查詢。
公用DNS伺服器:對使用者遞迴,對更上級DNS迭代。
迭代解析(Iterative Query)
DNS伺服器只幫你查“它知道的下一步線索”,如果自己沒有答案就告訴你下一步去哪問,使用者必須自己去完成整個查詢流程。如:
用戶端問本地DNS:“www.example.com的IP是多少?”
本地DNS不知道,查問根DNS。根DNS不直接回答IP,而是答:“你去問TLD伺服器”,這裡的根DNS則在進行迭代解析。
本地DNS問TLD伺服器,TLD告訴你“去找這個權威DNS”,這裡的TLD伺服器則在做迭代解析。
直到找到權威伺服器,擷取最終結果。
特點
每一步都需要用戶端自己去問。
伺服器壓力較小,但用戶端負擔大(通常不這樣用)。
常見應用
根DNS伺服器、TLD伺服器、權威DNS伺服器。
企業、學校等自建的DNS伺服器。
公用DNS伺服器:對使用者遞迴,對更上級DNS迭代。
DNS緩衝
DNS緩衝是將解析資料存放區在靠近發起請求的用戶端的位置,也可以說DNS資料是可以緩衝在任意位置,最終目的是以此減少遞迴查詢過程,可以更快的讓使用者獲得請求結果。
TTL
英文全稱Time To Live ,這個值是告訴本地區名伺服器,網域名稱解析結果可快取的最長時間,緩衝時間到期後本地區名伺服器則會刪除該解析記錄的資料,刪除之後,如有使用者請求網域名稱,則會重新進行遞迴查詢/迭代查詢的過程。關於如何修改解析記錄的 TTL 值,請參見如何修改 TTL 時間。
解析記錄
解析記錄用於定義網域名稱如何被解析。在雲解析 DNS 中添加網域名稱後,需要配置解析記錄來指定該網域名稱指向的目標地址,例如 IPv4 地址、IPv6 地址、另一個網域名稱或郵件伺服器地址等。訪問網域名稱時,DNS 系統根據對應的解析記錄返回目標地址,完成網域名稱到目標地址的映射。
每條解析記錄由以下核心欄位組成,共同決定網域名稱的解析行為。
欄位名稱 | 說明 |
主机记录 | 網域名稱首碼部分。例如,對於網域名稱 |
记录类型 | 定義解析記錄的功能,決定記錄值的格式和用途。常見類型包括 A、AAAA、CNAME、MX、TXT 等,不同類型的記錄值格式各不相同。 |
解析请求来源(線路) | 定義哪些訪問來源使用本條解析記錄。支援系統預設線路(如預設、聯通、電信、移動等)和自訂線路。當記錄類型為 URL 轉寄(顯性 URL 或隱性 URL)時,線路鎖定為「預設」,不可修改。 |
TTL | 解析記錄在本地 DNS 伺服器中的緩衝時間,單位為秒。TTL 值越小,記錄修改後生效越快,但 DNS 查詢頻率也越高。權威版支援自訂輸入 TTL 秒數,推薦值為 60 秒(企業進階版/旗艦版)或 600 秒(其他版本);內網版需從固定選項中選擇。 |
记录值负载策略 | 當同一主機記錄和記錄類型配置了多條記錄值時,決定如何分配訪問流量。支援「輪詢」和「權重」兩種模式。權重模式僅在快速區且記錄類型為 A、AAAA、CNAME 或 ALIAS 時可用。當記錄類型為 CNAME 或 ALIAS 時,強制開啟權重模式。 |
权重 | 權重模式下的流量分配比例,取值範圍 0~100。數值越大,分得的訪問流量越多。 |
优先级 | MX 和 SRV 記錄顯示,取值範圍 1~50。數值越小優先順序越高。SRV 記錄的優先順序範圍為 0~65535。 |
启用状态 | 控制該解析記錄是否生效,支援「啟用」和「暫停」兩種狀態。暫停後,該記錄不再參與網域名稱解析。 |
备注 | 用於標識和區分不同解析記錄的備忘資訊,方便管理。 |
雲解析 DNS 支援以下解析記錄類型。
記錄類型 | 用途說明 |
A | 將網域名稱指向一個 IPv4 地址。例如,將 |
AAAA | 將網域名稱指向一個 IPv6 地址。 |
CNAME | 將網域名稱指向另外一個網域名稱。當目標網域名稱 IP 位址變化時,只需修改目標網域名稱的解析記錄,無需修改當前網域名稱的配置。 |
ALIAS | 將網域名稱指向另外一個網域名稱,是根網域名稱 CNAME 的替代方案。與 CNAME 不同,ALIAS 記錄可以與同網域名稱的其他記錄類型共存。該類型受版本控制,企業進階版和旗艦版可用。 |
NS | 將子網域名稱指定給其他 DNS 伺服器解析,常用於網域名稱託管或子網域名稱委派。 |
MX | 將網域名稱指向郵件伺服器地址,用於電子郵件系統的郵件交換。 |
TXT | 文本記錄,最大長度 512 字元。通常用於 SPF 記錄(反垃圾郵件校正)、網域名稱所有權驗證等情境。 |
SRV | 標識提供特定服務(如 VoIP、即時通訊)的伺服器,包含優先順序、權重、連接埠和目標地址四個子欄位。 |
CAA | CA 憑證頒發機構授權記錄,用於指定允許為該網域名稱頒發認證的憑證授權單位(CA),包含 flag、tag 和 value 三個子欄位。 |
SVCB | 服務綁定記錄,用於聲明訪問服務時使用的端點和參數。支援別名模式和服務模式。 |
HTTPS | 約定 HTTPS 服務的安全建連資訊,與 SVCB 記錄類似,專用於 HTTPS 服務。 |
顯性 URL(REDIRECT_URL) | 將網域名稱重新導向到另外一個地址,瀏覽器地址欄會顯示重新導向後的目標地址。記錄值格式為 |
隱性 URL(FORWARD_URL) | 與顯性 URL 類似,但瀏覽器地址欄仍顯示原網域名稱,隱藏真實目標地址。 |
PTR | 將 IP 位址指向一個網域名稱,即反向解析。僅在反向解析地區( |
PTR 記錄僅在反向解析地區(以 in-addr.arpa 結尾的網域名稱)中顯示。ALIAS 記錄類型受版本控制,旗艦版和企業進階版可用,免費版中該選項被禁用。內網 DNS 解析(Private DNS)支援的記錄類型包括:A、AAAA、CNAME、MX、TXT、SRV、PTR。
IPV4、IPV6雙棧技術
雙棧英文Dual IP Stack,就是在一個系統中可同時使用IPv6/ IPv4這兩個可以並行工作的協議棧。
DNS Query Flood Attack
指網域名稱查詢攻擊,攻擊方法是通過操縱大量傀儡機器,發送海量的網域名稱查詢請求,當每秒網域名稱查詢請求次數超過DNS伺服器可承載的能力時,則會造成解析網域名稱逾時從而直接影響業務的可用性。
URL轉寄
英文 Url Forwarding,也可稱地址轉向,它是通過伺服器的特殊設定,將一個網域名稱指向到另外一個已存在的網站。
edns-client-subnet
google提交了一份DNS擴充協議,允許DNS resolver傳遞使用者的IP地址給authoritative DNS server。
DNSSEC
網域名稱系統安全擴充(DNS Security Extensions),簡稱DNSSEC。它是通過數位簽章來保證DNS應答報文的真實性和完整性,可有效防止DNS欺騙和緩衝汙染等攻擊,能夠保護使用者不被重新導向到非預期地址,從而提高使用者對互連網的信任。
移動解析HTTPDNS相關概念
應用終端
指專門用於網路接入的終端裝置和應用服務,包括並不限於移動終端、物聯網終端、APP應用等。
DoH(DNS-over-Https)
用來加密的DNS請求流量,阿里雲公用DNS通過RFC 8484指定的經過TLS加密的HTTP串連提供DNS解析。
DoT(DNS-over-TLS)
用來加密的DNS請求流量,阿里雲公用DNS通過RFC 7858指定的經過TLS加密的TCP串連提供DNS解析。