DNS概念

DNS 是域名系統 (Domain Name System) 的縮寫，是因特網的一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。

域名的分層結構

由于因特網的用戶數量較多，所以因特網在命名時采用的是層次樹狀結構的命名方法。任何一個連接在因特網上的主機或路由器，都有一個唯一的層次結構的名字，即域名（domain name）。這里，“域”（domain）是名字空間中一個可被管理的劃分。從語法上講，每一個域名都是有標號（label）序列組成，而各標號之間用點（小數點）隔開。域名可以劃分為各個子域，子域還可以繼續劃分為子域的子域，這樣就形成了頂級域、主域名、子域名等。關于域名層次結構如下圖：

舉例：

DNS的分層結構

域名是分層結構，域名DNS服務器也是對應的層級結構。有了域名結構，還需要有域名DNS服務器去解析域名，且是需要由遍及全世界的域名DNS服務器去解析，域名DNS服務器實際上就是裝有域名系統的主機。域名解析過程涉及4個DNS服務器，分別如下：

注釋：

DNS解析過程

通過域名example.com訪問網站的域名解析過程如下。

1、用戶在Web瀏覽器中輸入“example.com”， 向本地域名服務器發起查詢請求。若本地域名服務器存在緩存的解析數據，則直接將域名example.com對應的IP地址返回給Web瀏覽器，跳至步驟9。若本地域名服務器沒有查到緩存的解析數據，則繼續步驟2。

2、本地域名服務器向根域名服務器進行查詢。

3、根域名服務器將.com頂級域名服務器的地址，返回給本地域名服務器。

4、本地域名服務器向.com頂級域名服務器發起example.com的查詢請求。

5、.com頂級域名服務器將為example.com提供權威解析的權威域名服務器地址，返回給本地域名服務器。

6、本地域名服務器向權威域名服務器發起查詢請求。

7、權威域名服務器將域名example.com對應的IP地址，返回給本地域名服務器。

8、本地域名服務器最后把查詢的IP地址響應給Web瀏覽器。

9、Web瀏覽器通過IP地址訪問網站服務器。

10、網站服務器返回網頁信息。

DNS術語

遞歸查詢

是指DNS服務器在收到用戶發起的請求時，必須向用戶返回一個準確的查詢結果。如果DNS服務器本地沒有存儲與之對應的信息，則該服務器需要詢問其他服務器，并將返回的查詢結果提交給用戶。

迭代查詢

是指DNS服務器在收到用戶發起的請求時，并不直接回復查詢結果，而是告訴另一臺DNS服務器的地址，用戶再向這臺DNS服務器提交請求，這樣依次反復，直到返回查詢結果。

DNS緩存

DNS緩存是將解析數據存儲在靠近發起請求的客戶端的位置，也可以說DNS數據是可以緩存在任意位置，最終目的是以此減少遞歸查詢過程，可以更快的讓用戶獲得請求結果。

TTL

英文全稱Time To Live ，這個值是告訴本地域名服務器，域名解析結果可緩存的最長時間，緩存時間到期后本地域名服務器則會刪除該解析記錄的數據，刪除之后，如有用戶請求域名，則會重新進行遞歸查詢/迭代查詢的過程。

IPV4、IPV6雙棧技術

雙棧英文Dual IP Stack，就是在一個系統中可同時使用IPv6/ IPv4這兩個可以并行工作的協議棧。

DNS Query Flood Attack

指域名查詢攻擊，攻擊方法是通過操縱大量傀儡機器，發送海量的域名查詢請求，當每秒域名查詢請求次數超過DNS服務器可承載的能力時，則會造成解析域名超時從而直接影響業務的可用性。

URL轉發

英文 Url Forwarding，也可稱地址轉向，它是通過服務器的特殊設置，將一個域名指向到另外一個已存在的站點。

edns-client-subnet

google提交了一份DNS擴展協議，允許DNS resolver傳遞用戶的IP地址給authoritative DNS server。

DNSSEC

域名系統安全擴展（DNS Security Extensions），簡稱DNSSEC。它是通過數字簽名來保證DNS應答報文的真實性和完整性，可有效防止DNS欺騙和緩存污染等攻擊，能夠保護用戶不被重定向到非預期地址，從而提高用戶對互聯網的信任。