1前言
在當(dāng)下互聯(lián)網(wǎng)時(shí)代�����,我們?nèi)粘I詈凸ぷ骰径茧x開不域名和 DNS ��,如通過一個(gè)網(wǎng)址打開一個(gè)網(wǎng)站進(jìn)行購物�����、使用百度/谷歌搜索信息及通過 APP 看游戲直播����。隨著移動(dòng)互聯(lián)網(wǎng)爆發(fā),為提升用戶使用網(wǎng)站或 APP 的體驗(yàn)����,大多數(shù)企業(yè)都采購了 CDN 服務(wù)進(jìn)行內(nèi)容加速,而 CDN 服務(wù)的核心調(diào)度也離不開 DNS��?����?梢哉f DNS 和我們的生活工作息息相關(guān)����,如果 DNS 發(fā)生故障,將會導(dǎo)致互聯(lián)網(wǎng)服務(wù)大面積癱瘓��,會給大部分互聯(lián)網(wǎng)企業(yè)帶來巨額損失����。
那么我們的計(jì)算機(jī)是如何打開一個(gè)網(wǎng)站的呢?這與 DNS 有什么關(guān)系呢�?為什么大多數(shù)應(yīng)用服務(wù)都需要 DNS 來支撐呢?為什么人們需要 DNS 和域名��?DNS 又是如何將域名解析成 IP 地址的呢?如果您對這些問題較感興趣����,那么我們一起來探討下 DNS 的前世今生。
2DNS 和域名的產(chǎn)生由來
(上圖左為保羅·莫卡派喬斯 Paul Mockapetris)
通?;ヂ?lián)網(wǎng)計(jì)算機(jī)都是通過 IP 地址進(jìn)行標(biāo)識和通信的,如 IP 地址 112.45.23.56 �����,這樣的 IP 地址����,人們不容易記憶,因此產(chǎn)生了域名這樣的字符型標(biāo)識����。通過域名,我們可以更加方便的記憶一個(gè)計(jì)算機(jī)的地址�,如通過 www.fastcp.cn 來記 42.62.101.185 這個(gè) IP 地址。 這有點(diǎn)像我們的身份證和姓名的關(guān)系��,身份證號代表我們唯一的身份標(biāo)識��,但由于比較長難以記憶���,固用姓名來代替身份證號碼�,但在現(xiàn)實(shí)生活中,身份證號才是我們辦事的有效標(biāo)識����。而通常我們打開的一個(gè)網(wǎng)址��,都是由協(xié)議�����、域名�、網(wǎng)站路徑、文件名組成�。因此當(dāng)計(jì)算機(jī)瀏覽器需要打開一個(gè)網(wǎng)址的時(shí)候,必須先將網(wǎng)址中的域名解析成 IP 地址��,再向這個(gè) IP 地址請求網(wǎng)站內(nèi)容�����,而解析 IP 地址的過程中���,就必須用到 DNS 這個(gè)分布式數(shù)據(jù)庫�。
在 DNS 產(chǎn)生之前,人們是通過 HOSTS.TXT 文件進(jìn)行域名和 IP 地址之間的映射����,但隨著網(wǎng)絡(luò)上主機(jī)爆炸性的增長,出現(xiàn)了域名沖突���、一致性差�、流量和負(fù)載過大等問題����,無法及時(shí)的解析出需要的 IP 地址,1983 年由保羅·莫卡派喬斯(Paul Mockapetris)發(fā)明了 DNS 協(xié)議�,于 1987 年正式發(fā)布至 RFC 1034 和 RFC 1035 ,有興趣的同學(xué)可以去下載 RFC 英文版閱讀����。
DNS(Domain Name System)域名解析系統(tǒng),是互聯(lián)網(wǎng)基礎(chǔ)資源的核心服務(wù)�,主要用于承載 IP 地址和互聯(lián)網(wǎng)域名之間的轉(zhuǎn)換,通過 DNS 能夠使人們更方便快捷的訪問互聯(lián)網(wǎng)��。DNS 是一個(gè)域名分布式的數(shù)據(jù)庫���,同時(shí)數(shù)據(jù)庫的各個(gè)部分可以進(jìn)行本地控制和訪問�,如 CN 域名由 CNNIC (中國互聯(lián)網(wǎng)絡(luò)信息中心)在進(jìn)行管理和控制。DNS的產(chǎn)生解決了流量負(fù)載大�����、域名沖突及一致性差等問題�,直到當(dāng)下,DNS 系統(tǒng)依然在各個(gè)行業(yè)�����、各種業(yè)務(wù)中發(fā)揮著巨大的作用�。
“ If I can control your DNS, I control your world! ”
3DNS 系統(tǒng)的組成
DNS 系統(tǒng)是為解析域名為 IP 地址而存在的���,它是由 域名空間���、資源記錄、名稱服務(wù)器���、解析器組成�。
域名空間是包含一個(gè)樹狀結(jié)構(gòu)����,用于存儲資源記錄的空間�����。
資源記錄是與域名相關(guān)的數(shù)據(jù)�����,如 IP 和域名的對應(yīng)關(guān)系等�����。
名稱服務(wù)器是用于存儲 DNS 區(qū)(zone)域名空間數(shù)據(jù)����,并處理由解析器發(fā)送過來的請求�。
解析器是用來發(fā)送域名解析請求并將結(jié)果返回給用戶的程序。
當(dāng)計(jì)算機(jī)需要解析域名時(shí)��,計(jì)算機(jī)通過調(diào)用本地解析器進(jìn)行 DNS 查詢��。解析器將 DNS 查詢請求發(fā)送至名稱服務(wù)器��,名稱服務(wù)器查詢區(qū)中域名空間中數(shù)據(jù)���,獲得需要查詢域名的資源記錄���,并返回給解析器����,解析器將返回的結(jié)果反饋給計(jì)算機(jī)或?yàn)g覽器��。
4DNS 之域名空間
DNS 是以域名為索引的��,域名是是由一串用“點(diǎn)”分隔的字符組成的Internet上某一臺計(jì)算機(jī)或計(jì)算機(jī)組的名稱��,如下圖所示��,域名的結(jié)構(gòu)為一顆倒立的樹�,每個(gè)域名就是圖中的一個(gè)分支���,這顆逆向樹就稱為域名空間���。
(1)如逆向樹所示,樹中的每一個(gè)分支���,都稱為域�����,一個(gè)域名可以屬于多個(gè)域����,如域名 www.fastcp.cn 屬于fastcp.cn 域的一部分,同時(shí)也是 cn 域的一部分�����。
(2)“.” 是最樹狀結(jié)構(gòu)中最頂層的域名�����,統(tǒng)稱為“根”����,即每個(gè)域名都是由根開始索引的,所有域名都屬于根�。
(3)由根分支出的域名叫頂域域名(一般簡稱為 TLD ),一般分為國家地區(qū)頂級域名和通用頂級域名����。
國家頂級域名如我們了解的 cn、jp等����。
通用頂級域名如我們了解的 com�、org�、net、edu等�,其中表示工商企業(yè)的是 .com;表示網(wǎng)絡(luò)提供商的 .net�,表示非盈利組織的 .org ;表示教育的 .edu ��。
通常我們只能注冊二級域名��,如果需要注冊頂級域名�,比如注冊類似 .com 這樣的域名,在國內(nèi)需要聯(lián)系 CNNIC �,由他們進(jìn)行代理注冊,通常價(jià)格不菲����。大多數(shù)情況下����,二級域名已經(jīng)可以完全滿足當(dāng)下的業(yè)務(wù)需求。
(4)頂級域名下面的分支是二級域名��,即我們平時(shí)通過萬網(wǎng)或新網(wǎng)注冊的域名�����,如 baidu.com 、fastcp.cn �、dianrong.com 等。
(5)二級域名下面的分支為三級域名��,有時(shí)也可稱為服務(wù)器名稱�����,如 baidu下面 www 代表了百度的網(wǎng)站服務(wù)名稱���,music 代表了百度的音樂網(wǎng)站服務(wù)器名稱����。
(6)域名體系是通過倒著來敘述一個(gè)域名�,如 www.fastcp.cn 是先寫最下面的 www,在寫中間的 fastcp �����,接著寫上面的 cn ���,最后寫 “.”
(7)由此我們看出��,一個(gè)最完整的域名應(yīng)該是 “ www.fastcp.cn. ” �����,即在每個(gè)域名后面會有一個(gè) “.” 來表示根�����,我們統(tǒng)稱這種域名叫絕對域名“ Fully Qualified Domain Name ”(FQDN)�,相當(dāng)于 Unix 系統(tǒng)中的文件絕對路徑?����?梢酝ㄟ^在計(jì)算機(jī)中輸入 “ www.baidu.com. ” 或 “ www.dianrong.com. ” 來確認(rèn)是否可以打開網(wǎng)站��。(通常我們不需要輸入這個(gè)“.” ����,因?yàn)橛?jì)算機(jī)和瀏覽器默認(rèn)已幫我們輸入了這個(gè)點(diǎn))
當(dāng)然三級域名下還可以在分支四級域名出來,DNS 類似于 Unix 文件系統(tǒng)的結(jié)構(gòu)���,由根節(jié)點(diǎn)在上的反轉(zhuǎn)樹表示。最多分分支 127 層,每一層可以由最多 63 個(gè)字符組成���,每層中間都以 “.” 進(jìn)行分隔�����,類似 Unix 文件中以 “/” 分隔每一個(gè)目錄����。域名的總長度不可超過255個(gè)字符���,僅可使用字符�、數(shù)字和連字符�,不區(qū)分大小寫。
5DNS 之名稱服務(wù)器
DNS 名稱服務(wù)器用于存儲域名空間數(shù)據(jù)��,并處理并處理由解析器發(fā)送過來的請求���。域名空間數(shù)據(jù)一般以 zone 進(jìn)行劃分�����,不同的 zone 分布式存儲于不同的名稱服務(wù)器中��。如 baidu.com 的域名相關(guān)數(shù)據(jù)存儲在 baidu.com 的服務(wù)器中�,dianrong.com 的域名相關(guān)數(shù)據(jù)存儲在 dianrong.com 的服務(wù)器中。zone 是域名空間逆向樹中的每一個(gè)點(diǎn)�,也可以將一個(gè)域授權(quán)給其它組織進(jìn)行管理,比如將 music.baidu.com 授權(quán)給其它組織進(jìn)行存儲和管理�。
通常 DNS 名稱服務(wù)器都是一個(gè)整體服務(wù),即提供區(qū)數(shù)據(jù)管理��,又提供解析處理����。隨著越來越多的互聯(lián)網(wǎng)應(yīng)用需要 DNS 解析,為解決互聯(lián)網(wǎng)域名解析高并發(fā)和性能問題�,一般將 DNS 服務(wù)器從功能上劃分為三類:授權(quán)服務(wù)器、遞歸服務(wù)器�����、緩存服務(wù)器�����,分別承擔(dān)不同的解析功能�。
(1)授權(quán)服務(wù)器
DNS 授權(quán)也稱 DNS 權(quán)威,即一個(gè)區(qū)域的 DNS 數(shù)據(jù)的維護(hù)者�,如 www.baidu.com 的資源記錄是由 baidu.com 的權(quán)威服務(wù)器 “ ns2.baidu.com ” 來進(jìn)行輸入和維護(hù)的����,只有 “ns2.baidu.com ” 服務(wù)器的管理者才可進(jìn)行 www.baidu.com 域名記錄的配置����。一個(gè)授權(quán)服務(wù)器可管理多個(gè)區(qū)域 ����,即管理多個(gè) zone ,前提是將當(dāng)前區(qū)已授權(quán)給當(dāng)前授權(quán)服務(wù)器進(jìn)行管理����。
一般授權(quán)服務(wù)器又分為主名字服務(wù)器和輔名字服務(wù)器,主名稱服務(wù)器主要進(jìn)行對區(qū)文件管理�����,輔名字服務(wù)器是主名字服務(wù)器的備份�,同時(shí)承載一部分解析負(fù)載。輔助服務(wù)器中的 zone 文件一般為只讀�����,zone 文件通過特殊協(xié)議進(jìn)行主輔同步���。一般管理員只需要修改主名字服務(wù)器的 DNS 記錄�,即可全網(wǎng)生效。
我們大多數(shù)情況下聽到的智能 DNS 平臺�����,基本都屬于 DNS 授權(quán)服務(wù)器的種類�����,如 DNSPOD���、CLOUDXNS��,或是萬網(wǎng)(阿里云)的 DNS 解析平臺���、新網(wǎng)的 DNS 解析平臺。也有很多大學(xué)或政府機(jī)構(gòu)�����,通過搭建屬于自己的 DNS 授權(quán)服務(wù)器進(jìn)行區(qū)和域的管理����。
(2)遞歸服務(wù)器
遞歸服務(wù)器主要是用于接收并應(yīng)答從 DNS 客戶端或解析器發(fā)來的初始 DNS 查詢�����,若本地沒有查詢的數(shù)據(jù)�����,則代替 DNS 客戶端從根逐級發(fā)起迭代查詢,直到請求到結(jié)果��,并將結(jié)果返回給 DNS 客戶端�����;同時(shí)對從其它權(quán)威服務(wù)器獲取的域名 IP 地址信息進(jìn)行緩存�。一般遞歸服務(wù)器主要用于運(yùn)營商或 Global DNS,大多數(shù)企業(yè)不需要搭建屬于自己的遞歸服務(wù)器����。
遞歸服務(wù)器一般稱為 Local DNS ,如北京聯(lián)通的 202.106.0.20 ��,或者你拉帶寬時(shí)��,運(yùn)營商的網(wǎng)絡(luò)自動(dòng)為您分配的 DNS 地址�。Global DNS 一般指全求性的 Local DNS��,如谷歌的 8.8.8.8 ���、CNNIC 的 1.2.4.8 及 114.114.114.114 等。
(3)緩存服務(wù)器
緩存服務(wù)器是遞歸服務(wù)器的前置緩存部分�,專門用來存儲并緩存已請求過的請求數(shù)據(jù),當(dāng)用戶查詢相同的域名信息時(shí)����,則使用緩存服務(wù)器中的數(shù)據(jù)直接應(yīng)答,加快用戶查詢 DNS 請求的應(yīng)答速度����,提升用戶打開網(wǎng)頁的速度。
上文說的 8.8.8.8 一般為緩存服務(wù)器地址��,真正的遞歸服務(wù)器地址���,一般都會隱藏在緩存服務(wù)器后面����,通常DNS 服務(wù)器都是通過 AnyCast 的架構(gòu)搭建集群��,提升負(fù)載能力的同時(shí)��,可分擔(dān) DDOS 攻擊的流量等。緩存服務(wù)器的性能將隨著緩存服務(wù)器的數(shù)量改變而改變����。
6DNS 之資源記錄
資源記錄是每個(gè)域用來存放與域名相關(guān)的數(shù)據(jù),每個(gè)域名通過 DNS 解析得到的結(jié)果都是由資源記錄提供的���。當(dāng)一個(gè)解析器向 DNS 查詢一個(gè)域名時(shí)�����,它得到的其實(shí)是和這個(gè)域名相關(guān)的資源記錄,因此資源記錄是域名解析的最根本數(shù)據(jù)�����。每條資源記錄都包括一個(gè)五元組�,分別是域名、TTL����、信息類型、資源記錄類型����、值五項(xiàng)�,如下圖所示:
(1)域名
域名是查詢的主關(guān)鍵字����,即每一個(gè)絕對域名的值,一般是管理員需要增加的域名�,如為 fastcp.cn 增加一條 www 的 A 記錄,則域名為 “ www.fastcp.cn. ”�����。代表當(dāng)用戶查詢 “ www.fastcp.cn. ” 時(shí)�,則通過該當(dāng)資源記錄提供應(yīng)答。
(2)TTL
TTL 即生存期��,表示當(dāng)前資源記錄的生存周期為多長時(shí)間�,一般指遞歸服務(wù)器從授權(quán)服務(wù)器拿到該條資源記錄時(shí)的默認(rèn)生存周期,如 TTL 為 600 �,則代表當(dāng)前資源記錄被緩存的時(shí)間為 600 秒,600 秒過后����,緩存到期,必須重新到授權(quán)服務(wù)器進(jìn)行請求���。(一般運(yùn)營商為了提高帶寬用戶體驗(yàn)�,都會將這個(gè) TTL 值修改為較大的數(shù)值,以提升遞歸服務(wù)器和緩存服務(wù)器的性能)
一般情況下比較穩(wěn)定的資源記錄��,建議將 TTL 值設(shè)為較大的數(shù)值����,而對于經(jīng)常需要更改值的資源記錄,建議可以設(shè)置較小的值�,如 60 秒。
(3)信息類型
對于 Internet 信息���,該項(xiàng)值總為IN ���,其它類型信息很少見����。
(4)資源類型
常用資源類型包括 SOA、A���、AAAA����、CNAME、MX�����、NS�、PTR、TXT等���。
(5)值
值可以是一個(gè) IP ��、域名���、ASCII 串,值的定義與資源記錄類型強(qiáng)關(guān)聯(lián)�����。
(6)資源記錄例子(僅作為參考)
7DNS 之解析器
DNS 解析器一般指 DNS 客戶端����,用于發(fā)送 DNS 請求,并將結(jié)果返回給用戶��。通常情況下指電腦���、手機(jī)�����、終端設(shè)備�、解析軟件工具(如 dig 、nslookup 等)
8DNS 工作原理
了解了 DNS 系統(tǒng)的組成部分����,接下來看一下 DNS 是如何工作的,即 DNS 是如何將一個(gè)域名解析成一個(gè) IP 地址的流程���。如下圖所示�,是 DNS 一次完整的解析流程:
如上圖所示�����,DNS 一次完整的域名解析流程如下:(DNS 解析器所在的計(jì)算機(jī)或?yàn)g覽器自己有緩存的情況下��,會先查詢自己計(jì)算機(jī)和瀏覽器本地緩存�����,當(dāng)本地沒有緩存且 HOST 文件中沒有域名記錄的情況下����,才會觸發(fā)上圖的流程。)
(1)解析器向本地 Local DNS 發(fā)起 www.fastcp.cn 的域名遞歸解析請求�����;
(2)Local DNS 會先查詢自己的本地緩存是否有該域名的 A 記錄���,如果有則直接返回結(jié)果給解析器�;如果本地緩存中無該域名的 A 記錄��,則 Local DNS 會向根服務(wù)器發(fā)起查詢該域名 IP 地址的迭代請求����;
(3)根域名服務(wù)器向 Local DNS 返回 CN 域的授權(quán)服務(wù)器地址;
(4)Local DNS 向 CN 域的授權(quán)服務(wù)器請求該域名的 IP 地址的迭代請求��;
(5)cn 域服務(wù)器向 Local DNS 返回 fastcp.cn 的授權(quán)服務(wù)器地址�����;
(6)Local DNS 向 fastcp.cn 域的授權(quán)服務(wù)器請求該域名的 IP 地址的迭代請求��;
(7)fastcp.cn 域服務(wù)器向 Local DNS 返回 www.fastcp.cn 的 A 記錄��,告訴 Local DNS 該域名的 IP 地址是 192.168.1.2 。
(8)Local DNS 拿到該域名的 A 記錄�����,緩存在自己的服務(wù)器中�,并將結(jié)果返回給解析器。解析器返回給計(jì)算機(jī)或?yàn)g覽器���,則計(jì)算機(jī)通過 HTTP 協(xié)議拿到該域名的 IP 地址網(wǎng)址內(nèi)容����,并通過瀏覽器打開����。
為看到實(shí)際效果,我在我本地完整請求一次 www.fastcp.cn �����,來看看是否按照這個(gè)流程來給出結(jié)果�����,如下圖中使用 dig 工具的域名請求:
上圖中的請求��,我們可以看出����,解析器先去請求 “.” 根服務(wù)器,然后再去的 cn 服務(wù)器�����,接下來解析器去請求了 fastcp.cn 的服務(wù)器���,最終通過 lv3ns2.ffdns.net. 拿到了 42.62.101.185 這個(gè) IP 地址���。(有關(guān) Dig 工具的使用方法可自行搜索)
9DNS 緩存機(jī)制
通過上個(gè)章節(jié)講的 DNS 請求過程,域名在解析的過程中�,DNS 名稱服務(wù)器,會將請求來的域名空間數(shù)據(jù)保存至緩存中��。通過 DNS 緩存���,可以加快 DNS 的解析速度���,有點(diǎn)類似 CPU 和內(nèi)存的關(guān)系。在每一次請求中����,DNS 服務(wù)器都將先查詢自己的緩存是否有需要查詢的內(nèi)容�����,若有則自動(dòng)返回緩存中的內(nèi)容����,若沒有則進(jìn)行 DNS 遞歸或迭代查詢����。
DNS 的緩存無法永久存儲,否則 DNS 的記錄發(fā)生變化時(shí)����,有可能無法及時(shí)更新,導(dǎo)致用戶無法打開相應(yīng)的域名地址�����。通常情況下 DNS 緩存是有生命周期的��,簡稱 TTL 值���,該 TTL 值是由每個(gè)域名的授權(quán)服務(wù)器管理員配置決定的�,即我們前面章節(jié)講到的資源記錄的 TTL 值。默認(rèn)情況下 Local DNS 服務(wù)器拿到的資源記錄 TTL 值為授權(quán)服務(wù)器配置的�����。但各大運(yùn)營商為了減輕遞歸服務(wù)器的壓力���,都會通過手段將大多數(shù)域名的 TTL 值改為較大的數(shù)值,以給用戶帶來更好的體驗(yàn)�����。
10DNS 查詢
DNS 域名解析的過程中�,由 DNS 解析器和 DNS 服務(wù)器完成的整個(gè)解析過程。在所有的解析過程中��,大概會發(fā)生遞歸查詢�、迭代查詢、正向查詢���、反向查詢等���。
(1)遞歸查詢是指 DNS 客戶端或解析器向本地 Local DNS 發(fā)起的查詢。
(2)迭代查詢是指由本地 Local DNS 向授權(quán)服務(wù)器逐級發(fā)起的查詢����,即 Local DNS 向根�����、cn�、com���、baidu.com 等發(fā)起的查詢���。
(3)正向查詢是指通過域名查詢 IP 地址,即查詢 A 或 AAAA 記錄等���。
(4)反向查詢是指通過 IP 地址查詢主機(jī)名�����。反向查詢只由查詢的名字服務(wù)器進(jìn)行處理�,即當(dāng)收到請求后�����,查詢本地?cái)?shù)據(jù)庫或緩存中有記錄,則返回�����,若無記錄����,則直接放棄查詢�,不在進(jìn)行迭代請求。
11我該如何查詢自己現(xiàn)在用的 Local DNS 地址呢����?
(1)如果您是 Windows 用戶,你可以打開命令提示符�,輸入 nslookup 或 ipconfig /all 命令,即可查看自己的 DNS 地址���;
(2)如果您是 MAC/linux 用戶�,你可以通過終端�����,輸入 cat /etc/resolv.conf 或 ifconfig �,即可查看自己的 DNS地址;
(3)如果您是手機(jī)用戶,您可通過你已連接的 Wi-Fi信息中的 IP 地址查看自己的 DNS 地址��。
(4)當(dāng)然您也可以對 DNS 進(jìn)行修改��,通??梢孕薷臑?Global DNS 地址,如 114.114.114.114 �。
DNS 一個(gè)隱藏在互聯(lián)網(wǎng)身后的賢內(nèi)助,幾乎所有的互聯(lián)網(wǎng)應(yīng)用基本都需要 DNS 支撐或幫助���,才可以達(dá)到最佳的通信效果�。本篇是對 DNS 的基礎(chǔ)探討��,接下來會基于 DNS 協(xié)議�、DNS 架構(gòu)、安全�����、搭建�����、運(yùn)維����、DNS 工具���、智能 DNS、全球根節(jié)點(diǎn)��、頂級域名及 CDN 相關(guān)周邊話題進(jìn)行探討����。
