1.定义

• DNS（Domain Name System，域名系统）是互联网的一项核心服务，它作为将域名和 IP 地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。

2.域名解析过程

• 当用户在浏览器中输入一个域名，浏览器首先会检查自己的缓存中是否有该域名对应的 IP 地址。
• 本地 DNS 服务器收到查询请求后，首先会检查自己的缓存中是否有该域名对应的 IP 地址。
• 根域名服务器收到查询请求后，会返回顶级域名服务器的地址给本地 DNS 服务器。
• 本地 DNS 服务器根据根域名服务器返回的地址，向顶级域名服务器发送查询请求。
• 顶级域名服务器收到查询请求后，会返回权威域名服务器的地址给本地 DNS 服务器。
• 本地 DNS 服务器根据顶级域名服务器返回的地址，向权威域名服务器发送查询请求。
• 权威域名服务器收到查询请求后，会返回该域名对应的 IP 地址给本地 DNS 服务器。
• 本地 DNS 服务器将查询到的 IP 地址返回给客户端，客户端使用该 IP 地址访问目标服务器。

3.缓存机制

• 为了提高域名解析的效率，DNS 系统采用了缓存机制。客户端、本地 DNS 服务器、各级域名服务器都会缓存已经查询过的域名和 IP 地址的映射关系。当再次查询相同的域名时，可以直接从缓存中获取 IP 地址，而无需再次进行完整的域名解析过程。

4.DNS 记录类型

• A 记录：将域名映射到 IPv4 地址。
• AAAA 记录：将域名映射到 IPv6 地址。
• CNAME 记录：将一个域名别名映射到另一个域名。
• MX 记录：指定接收电子邮件的邮件服务器。
• NS 记录：指定该域名由哪个 DNS 服务器进行解析。

5.DNS 安全问题

• DNS 劫持
          DNS 劫持是指攻击者通过篡改 DNS 服务器的解析结果，将用户的请求重定向到恶意网站。这种攻击方式可能会导致用户的个人信息泄露、财产损失等问题。
          为了防止 DNS 劫持，可以使用加密的 DNS 服务（如 DoH、DoT），或者使用可靠的公共 DNS 服务器（如 Google Public DNS、OpenDNS 等）。

• DNS 欺骗
          DNS 欺骗是指攻击者通过伪造 DNS 响应包，将虚假的 IP 地址返回给客户端。这种攻击方式可能会导致用户访问到恶意网站，或者被引导到钓鱼网站。
          为了防止 DNS 欺骗，可以使用数字签名技术对 DNS 响应包进行验证，或者使用加密的 DNS 服务。

 

6.应用场景

• 网站访问
          用户通过输入域名访问网站时，DNS 协议将域名解析为 IP 地址，使得浏览器能够与目标服务器建立连接。

• 电子邮件发送和接收
          电子邮件系统使用 DNS 协议来查找接收邮件的邮件服务器的地址。当用户发送电子邮件时，邮件客户端会查询目标域名的 MX 记录，以确定将邮件发送到哪个邮件服务器。

• 网络管理
          DNS 协议可以用于网络管理，例如通过配置 DNS 记录来实现负载均衡、故障转移等功能。