DNS 解析完整流程：从域名到 IP

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1585 字

5 分钟

DNS 解析完整流程：从域名到 IP

2023-05-24

原理

网络

/

协议

前言#

当你输入 www.example.com 按下回车，浏览器在发起 TCP 连接之前，必须先将域名解析为 IP 地址。这个过程看似简单，实际上涉及浏览器缓存、操作系统缓存、本地 DNS 服务器、根域名服务器、顶级域名服务器、权威域名服务器的多级协作。本文完整追踪一个 DNS 查询从诞生到返回的全链路。

DNS 解析全链路概览#

flowchart TB A[用户输入 www.example.com] --> B{浏览器 DNS 缓存?} B -->|命中| Z[返回 IP] B -->|未命中| C{OS DNS 缓存?} C -->|命中| Z C -->|未命中| D{hosts 文件?} D -->|命中| Z D -->|未命中| E[向本地 DNS 服务器查询] E --> F{本地 DNS 缓存?} F -->|命中| Z F -->|未命中| G[递归/迭代查询] G --> H[查询根域名服务器] H --> I[查询顶级域名服务器 .com] I --> J[查询权威域名服务器 example.com] J --> K[返回 IP 地址 93.184.216.34] K --> E E --> D D --> C C --> B B --> Z

一、DNS 报文结构#

1.1 DNS 报文整体格式#

1
 0                   1                   2                   3
2
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
4
|                          Header (12 字节)                     |
5
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
6
|                        Question Section                       |
7
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
8
|                         Answer Section                        |
9
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
10
|                       Authority Section                       |
11
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12
|                      Additional Section                       |
13
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

1.2 Header 部分详解#

1
                                1  1  1  1  1  1
2
  0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
3
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
4
|                      ID                         |
5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
6
|QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE    |
7
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
8
|                    QDCOUNT                      |
9
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
10
|                    ANCOUNT                      |
11
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
12
|                    NSCOUNT                      |
13
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
14
|                    ARCOUNT                      |
15
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

各字段说明：

字段	长度	说明
ID	16 bit	事务 ID，匹配请求和响应
QR	1 bit	0=查询，1=响应
Opcode	4 bit	0=标准查询，1=反向查询，4=通知
AA	1 bit	权威应答标志
TC	1 bit	截断标志（UDP 超过 512 字节时置 1）
RD	1 bit	期望递归查询
RA	1 bit	支持递归查询
Z	3 bit	保留
RCODE	4 bit	响应码（0=无错误，3=域名不存在）
QDCOUNT	16 bit	Question 条目数
ANCOUNT	16 bit	Answer 条目数
NSCOUNT	16 bit	Authority 条目数
ARCOUNT	16 bit	Additional 条目数

1.3 Resource Record 格式#

1
                                1  1  1  1  1  1
2
  0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
3
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
4
|                                               |
5
/                     NAME                      /
6
/                                               /
7
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
8
|                     TYPE                      |
9
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
10
|                     CLASS                     |
11
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
12
|                      TTL                      |
13
|                                               |
14
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
15
|                   RDLENGTH                    |
16
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--|
17
/                     RDATA                     /
18
/                                               /
19
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

1.4 DNS 名称编码#

1
// DNS 名称使用长度前缀编码，而非 null 终止
2
// "www.example.com" 编码如下：
3

4
const dnsName = Buffer.from([
5
  0x03, 0x77, 0x77, 0x77, // \x03www
6
  0x07, 0x65, 0x78, 0x61, // \x07exa
7
  0x6d, 0x70, 0x6c, 0x65, // mple
8
  0x03, 0x63, 0x6f, 0x6d, // \x03com
9
  0x00, // 结束标记
10
]);
11

12
// 消息压缩：后续出现相同域名可用指针
13
// 指针格式: 11 + 14-bit 偏移量
14
// 例如 0xC00C 指向偏移 12 处的名称

二、记录类型详解#

2.1 常用记录类型#

类型	值	说明	示例
A	1	IPv4 地址	`93.184.216.34`
AAAA	28	IPv6 地址	`2606:2800:220:1:...`
CNAME	5	规范名称（别名）	`www.example.com → example.com`
MX	15	邮件交换	`10 mail.example.com`
NS	2	域名服务器	`ns1.example.com`
TXT	16	文本记录	SPF, DKIM, DMARC
SRV	33	服务定位	`_http._tcp.example.com`
SOA	6	起始授权	主 DNS 管理信息
PTR	12	反向解析（IP→域名）	`34.216.184.93.in-addr.arpa`
CAA	257	证书颁发机构授权	`0 issue "letsencrypt.org"`

2.2 A 记录与 AAAA 记录#

1
; A 记录：域名 → IPv4
2
www.example.com.   300  IN  A   93.184.216.34
3

4
; AAAA 记录：域名 → IPv6
5
www.example.com.   300  IN  AAAA   2606:2800:220:1:248:1893:25c8:1946
6

7
; 一个域名可以有多条 A 记录（DNS 负载均衡）
8
www.example.com.   300  IN  A   93.184.216.34
9
www.example.com.   300  IN  A   93.184.216.35

2.3 CNAME 记录#

1
; CNAME 不能与其他记录共存
2
; 错误示例：
3
blog.example.com.   300  IN  CNAME   example.github.io
4
blog.example.com.   300  IN  A       1.2.3.4  ; 冲突！
5

6
; 正确：用 CNAME 指向另一个域名
7
blog.example.com.   300  IN  CNAME   example.github.io

2.4 MX 记录#

1
; MX 记录带优先级（数值越小优先级越高）
2
example.com.     300  IN  MX  10  mail1.example.com.
3
example.com.     300  IN  MX  20  mail2.example.com.
4
example.com.     300  IN  MX  30  mail3.example.com.
5

6
; 发送邮件时优先尝试 mail1
7
; mail1 不可用时尝试 mail2，以此类推

2.5 SOA 记录#

1
; SOA（Start of Authority）记录
2
example.com.  IN  SOA  ns1.example.com. admin.example.com. (
3
    2026032201  ; Serial（序列号，区域传输时递增）
4
    3600        ; Refresh（从服务器检查主服务器的间隔）
5
    900         ; Retry（检查失败后重试间隔）
6
    604800      ; Expire（从服务器数据过期时间）
7
    86400       ; Minimum TTL（否定缓存的 TTL）
8
)

三、DNS 解析全链路#

3.1 浏览器缓存#

1
// Chrome 浏览器 DNS 缓存
2
// 访问 chrome://net-internals/#dns 查看
3

4
// 浏览器 DNS 缓存特点：
5
// 1. 默认缓存约 1000 条记录
6
// 2. 缓存时间遵循 DNS 记录的 TTL
7
// 3. 浏览器重启后缓存清除
8

9
// 手动清除 Chrome DNS 缓存
10
// chrome://net-internals/#dns → Clear host cache

3.2 操作系统缓存#

1
# Linux systemd-resolved
2
resolvectl status            # 查看缓存统计
3
resolvectl flush-caches      # 清除缓存
4
resolvectl query example.com # 手动查询
5

6
# Linux nscd (Name Service Cache Daemon)
7
nscd -g                      # 查看缓存统计
8
nscd -i hosts                # 清除 hosts 缓存
9

10
# macOS
11
dscacheutil -flushcache      # 清除 DNS 缓存
12
sudo killall -HUP mDNSResponder
13

14
# Windows
15
ipconfig /displaydns         # 显示 DNS 缓存
16
ipconfig /flushdns           # 清除 DNS 缓存

3.3 hosts 文件#

1
# /etc/hosts 文件优先级高于 DNS 查询
2
# 格式: IP  主机名
3

4
127.0.0.1       localhost
5
::1             localhost
6
192.168.1.100   myserver.local
7
10.0.0.1        api.internal.example.com
8

9
# 解析顺序由 /etc/nsswitch.conf 控制
10
# hosts: files dns  → 先查 hosts 文件，再查 DNS

3.4 完整解析时序图#

sequenceDiagram participant Browser as 浏览器 participant OS as 操作系统 participant Local as 本地 DNS participant Root as 根 DNS participant TLD as .com TLD DNS participant Auth as 权威 DNS Browser->>OS: 查询 www.example.com OS->>OS: 检查本地缓存 OS->>Local: 发送递归查询 Local->>Local: 检查缓存 Local->>Root: 发送查询 www.example.com Root->>Local: 返回 .com TLD NS 地址 Note over Local: 缓存 .com NS 记录 Local->>TLD: 发送查询 www.example.com TLD->>Local: 返回 example.com 权威 NS 地址 Note over Local: 缓存权威 NS 记录 Local->>Auth: 发送查询 www.example.com Auth->>Local: 返回 A 记录 93.184.216.34 Note over Local: 缓存 A 记录（按 TTL） Local->>OS: 返回 93.184.216.34 OS->>OS: 缓存结果 OS->>Browser: 返回 93.184.216.34 Browser->>Browser: 缓存结果

四、递归查询与迭代查询#

4.1 递归查询#

sequenceDiagram participant C as 客户端 participant R as 本地 DNS（递归解析器） C->>R: 查询 www.example.com（递归） Note over R: 客户端只问一次 Note over R: 解析器负责全部工作 R->>R: 查缓存 R->>R: 查根服务器 R->>R: 查 TLD 服务器 R->>R: 查权威服务器 R->>C: 返回 93.184.216.34 Note over C: 得到最终答案

4.2 迭代查询#

sequenceDiagram participant R as 本地 DNS participant Root as 根 DNS participant TLD as .com TLD participant Auth as 权威 DNS R->>Root: 查询 www.example.com Root->>R: 我不知道，去问 .com TLD (返回 .com NS 列表) R->>TLD: 查询 www.example.com TLD->>R: 我不知道，去问 example.com 权威 DNS (返回权威 NS 列表) R->>Auth: 查询 www.example.com Auth->>R: 找到了! 93.184.216.34

4.3 查询对比#

特征	递归查询	迭代查询
谁做工作	被查询者	查询发起者
返回内容	最终答案	下一步该问谁
客户端负担	轻	重（通常不直接使用）
典型场景	客户端 → 本地 DNS	本地 DNS → 各级 DNS
服务器压力	递归解析器压力大	根/TLD 服务器压力小

五、DNS 缓存与 TTL#

5.1 多级缓存架构#

flowchart LR A[浏览器缓存] --> B[OS 缓存] B --> C[路由器缓存] C --> D[本地 DNS 缓存] D --> E[ISP DNS 缓存] E --> F[TLD DNS 缓存] Note1["缓存层级越高， 命中率越低但覆盖面越广"]

5.2 TTL 的作用#

1
// TTL（Time To Live）决定缓存存活时间
2
// 单位：秒
3

4
// 短 TTL 的利弊
5
const shortTTL = 60; // 1 分钟
6
// 优点: DNS 变更后快速生效
7
// 缺点: 查询量大，增加延迟
8

9
// 长 TTL 的利弊
10
const longTTL = 86400; // 1 天
11
// 优点: 减少查询量，低延迟
12
// 缺点: DNS 变更后生效慢
13

14
// 实际 TTL 处理
15
function getCachedRecord(record) {
16
  const elapsed = Date.now() - record.cachedAt;
17
  if (elapsed > record.ttl * 1000) {
18
    return null; // 缓存过期，需要重新查询
19
  }
20
  return record.value;
21
}

5.3 负面缓存#

1
; 当查询的域名不存在时，SOA 的 Minimum TTL 字段
2
; 控制否定缓存的存活时间
3

4
; example.com 的 SOA 记录
5
example.com.  IN  SOA  ns1.example.com. admin.example.com. (
6
    2026032201  ; Serial
7
    3600        ; Refresh
8
    900         ; Retry
9
    604800      ; Expire
10
    86400       ; Minimum TTL（否定缓存 24 小时）
11
)
12

13
; 查询 nonexistent.example.com 返回 NXDOMAIN
14
; 本地 DNS 会缓存这个否定结果 86400 秒
15
; 期间不再为该域名向上游查询

六、DNS 负载均衡#

6.1 轮询（Round Robin）#

1
# 一个域名对应多个 A 记录
2
$ dig www.example.com
3

4
;; ANSWER SECTION:
5
www.example.com.  300  IN  A  93.184.216.34
6
www.example.com.  300  IN  A  93.184.216.35
7

8
# 第二次查询时顺序可能变化
9
$ dig www.example.com
10

11
;; ANSWER SECTION:
12
www.example.com.  300  IN  A  93.184.216.35
13
www.example.com.  300  IN  A  93.184.216.34

6.2 地理定位（GeoDNS）#

flowchart TB A[用户请求 example.com] --> B{GeoDNS 判断来源} B -->|亚洲| C[返回亚洲节点 IP 103.1xx.xx.xx] B -->|欧洲| D[返回欧洲节点 IP 185.1xx.xx.xx] B -->|北美| E[返回北美节点 IP 93.1xx.xx.xx] B -->|其他| F[返回默认节点 IP]

6.3 Anycast#

flowchart TB A[用户 A（北京）] --> B[Anycast IP: 1.1.1.1] C[用户 B（上海）] --> B D[用户 C（广州）] --> B B --> E{BGP 路由选择最近节点} E --> F[北京节点] E --> G[上海节点] E --> H[广州节点] A -.-> F C -.-> G D -.-> H

Anycast 原理：多个数据中心广播相同的 IP 地址，BGP 路由协议自动将用户引导到网络拓扑最近的节点。

七、DNSSEC#

7.1 DNSSEC 信任链#

flowchart TB A[根 DNS 的 KSK] -->|签名| B[根 DNS 的 ZSK] B -->|签名| C[.com TLD 的 DS 记录] C -->|验证| D[.com TLD 的 KSK] D -->|签名| E[.com TLD 的 ZSK] E -->|签名| F[example.com 的 DS 记录] F -->|验证| G[example.com 的 KSK] G -->|签名| H[example.com 的 ZSK] H -->|签名| I[example.com 的 A 记录]

7.2 DNSSEC 记录类型#

记录类型	说明
DNSKEY	公钥（KSK 和 ZSK）
RRSIG	资源记录的数字签名
DS	委派签发者（子区域 KSK 的哈希）
NSEC	下一安全记录（证明域名不存在）
NSEC3	NSEC 的哈希版本（防止域名遍历）

7.3 KSK 和 ZSK#

1
DNSSEC 使用两把密钥：
2

3
KSK（Key Signing Key）
4
├── 只用于签名 ZSK
5
├── 较长（2048-bit RSA 或更大）
6
├── 很少轮换（每年 1-2 次）
7
└── 通过 DS 记录建立父子信任链
8

9
ZSK（Zone Signing Key）
10
├── 用于签名区域内所有记录
11
├── 较短（1024-2048-bit RSA）
12
├── 频繁轮换（每月或每季度）
13
└── 由 KSK 签名，不需要父区域参与

7.4 签名验证过程#

1
// DNSSEC 验证 www.example.com 的 A 记录
2

3
// 1. 获取 A 记录及其 RRSIG
4
const aRecord = { name: "www.example.com", type: "A", data: "93.184.216.34" };
5
const rrsig = {
6
  typeCovered: "A",
7
  algorithm: 13, // ECDSA P-256
8
  labels: 3,
9
  originalTTL: 300,
10
  signatureExpiry: 1711159200,
11
  signatureInception: 1711072800,
12
  keyTag: 12345,
13
  signersName: "example.com",
14
  signature: "0xABCDEF...", // 数字签名
15
};
16

17
// 2. 获取 example.com 的 DNSKEY
18
const dnskey = {
19
  flags: 256, // ZSK
20
  protocol: 3,
21
  algorithm: 13,
22
  publicKey: "0x123456...", // 公钥
23
};
24

25
// 3. 验证签名
26
const signedData = buildSignedData(aRecord, rrsig);
27
const isValid = verifyECDSA(dnskey.publicKey, signedData, rrsig.signature);
28

29
if (!isValid) {
30
  throw new Error("DNSSEC 验证失败：记录可能被篡改");
31
}

7.5 NSEC/NSEC3：证明不存在#

1
; NSEC 记录按字母顺序排列域名
2
; 证明两个有序域名之间没有其他域名
3

4
example.com.  IN  NSEC  beta.example.com. A NS SOA
5
; 含义: alpha.example.com 之后是 beta.example.com
6
;       之间没有任何域名
7
;       alpha 只存在 A, NS, SOA 类型的记录
8

9
; NSEC3 对域名做哈希，防止遍历
10
; 2S9EHANOJVULAP7KQBVDMOJ0M1P1RQCH.example.com.
11
;   IN NSEC3 1 0 2 ABCD 2T7B4G4VSA5SMI47K61MV5BV1A22BOJR

八、DNS over HTTPS 与 DNS over TLS#

8.1 传统 DNS 的安全问题#

1
传统 DNS（端口 53）的安全问题：
2

3
1. 明文传输
4
   ┌──────┐     UDP/TCP 明文     ┌──────┐
5
   │ 客户端 │ ────────────────→  │ DNS  │
6
   └──────┘                      └──────┘
7
   攻击者可窃听查询内容和返回结果
8

9
2. 无身份验证
10
   - 任何人都可以伪装 DNS 服务器
11
   - ISP 可以返回篡改的响应
12

13
3. UDP 无序
14
   - 响应可能被伪造
15
   - ID 碰撞攻击（16-bit ID 空间有限）

8.2 DoH (DNS over HTTPS)#

sequenceDiagram participant C as 客户端 participant D as DoH 服务器 Note over C,D: 建立 TLS 连接 C->>D: TLS 握手 D->>C: TLS 握手完成 Note over C,D: HTTPS 请求 C->>D: GET /dns-query?dns=... Accept: application/dns-message D->>C: 200 OK Content-Type: application/dns-message Body: DNS 响应 Note over C,D: 或使用 POST C->>D: POST /dns-query Content-Type: application/dns-message Body: DNS 查询 D->>C: 200 OK + DNS 响应

1
# 使用 curl 测试 DoH
2
curl -s -H "Accept: application/dns-message" \
3
  "https://dns.google/dns-query?dns=AAABAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE" \
4
  --output - | hexdump -C
5

6
# 使用 doh-proxy
7
doh-client --domain example.com --type A --server https://dns.google/dns-query

8.3 DoT (DNS over TLS)#

1
DoT (DNS over TLS):
2
  端口: 853
3
  协议: TLS + DNS
4
  用途: 通常用于路由器到 DNS 服务器的加密
5

6
DoH (DNS over HTTPS):
7
  端口: 443
8
  协议: HTTPS + DNS
9
  用途: 通常用于浏览器到 DNS 服务器的加密
10
  优势: 与普通 HTTPS 流量混合，更难被检测和封锁

8.4 加密 DNS 对比#

特性	传统 DNS	DoT	DoH
端口	53	853	443
加密	无	TLS	HTTPS (TLS)
隐蔽性	无	低	高
性能	最快	较快	中等
防篡改	否	是	是
防窃听	否	是	是
浏览器支持	原生	否	原生

九、常见安全问题#

9.1 DNS 劫持#

sequenceDiagram participant C as 客户端 participant A as 攻击者 participant D as DNS 服务器 C->>A: DNS 查询（被中间人截获） A->>C: 返回伪造的 IP（指向恶意服务器） Note over C: 访问恶意网站 C->>A: 连接到恶意服务器 Note over C,D: 攻击方式 Note over A: 1. 修改本地 DNS 配置 Note over A: 2. 劫持路由器 DNS 设置 Note over A: 3. ISP 级别 DNS 污染

9.2 DNS 缓存污染#

1
// DNS 缓存污染攻击原理
2
// 攻击者抢在合法响应之前发送伪造的 DNS 响应
3

4
// 攻击条件：
5
// 1. 知道查询的事务 ID（16-bit，暴力猜解）
6
// 2. 知道查询的端口号（固定端口更容易猜）
7
// 3. 在合法响应到达之前发送伪造响应
8

9
// Kaminsky 攻击（2008）
10
// 利用源端口随机化不充分的漏洞
11
function kaminskyAttack(targetDomain) {
12
  // 1. 向目标 DNS 服务器查询随机子域名
13
  const randomSubdomain = Math.random().toString(36).slice(2);
14
  const query = `${randomSubdomain}.${targetDomain}`;
15

16
  // 2. 同时泛洪伪造的响应
17
  for (let id = 0; id < 65536; id++) {
18
    for (let port = 1024; port < 2048; port++) {
19
      sendFakeDNSResponse(id, port, query, "evil-ip");
20
    }
21
  }
22
  // 3. 伪造响应包含额外的权威记录
23
  // 将目标域名的 NS 指向攻击者控制的服务器
24
}

9.3 DNS 放大攻击#

1
DNS 放大攻击（DDoS 的一种）
2

3
攻击原理：
4
1. 攻击者伪造源 IP（受害者 IP）
5
2. 向开放 DNS 解析器发送查询（使用 EDNS0 扩大响应）
6
3. DNS 解析器将大量响应发送到受害者 IP
7

8
放大倍数计算：
9
  查询大小: ~60 字节
10
  响应大小: ~4000 字节（使用 ANY 类型查询）
11
  放大倍数: 4000 / 60 ≈ 66 倍
12

13
防御措施：
14
1. DNS 解析器不对外开发（仅服务可信客户端）
15
2. 源地址验证（BCP 38）
16
3. 限制响应大小
17
4. 禁用 ANY 查询

十、实战：使用 dig 命令#

10.1 基本查询#

1
# 基本查询
2
$ dig www.example.com
3

4
; <<>> DiG 9.18.0 <<>> www.example.com
5
;; global options: +cmd
6
;; Got answer:
7
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54321
8
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
9

10
;; QUESTION SECTION:
11
;www.example.com.       IN  A
12

13
;; ANSWER SECTION:
14
www.example.com.    300  IN  A  93.184.216.34
15

16
;; Query time: 28 msec
17
;; SERVER: 8.8.8.8#53(8.8.8.8)
18
;; WHEN: Sat Mar 22 08:00:00 UTC 2026
19
;; MSG SIZE  rcvd: 56

10.2 追踪解析路径#

1
# +trace 参数显示完整解析链路
2
$ dig +trace www.example.com
3

4
; 根服务器
5
.                       518400  IN  NS  a.root-servers.net.
6
.                       518400  IN  NS  b.root-servers.net.
7
;; Received 1097 bytes from 198.41.0.4#53(a.root-servers.net)
8

9
; .com TLD 服务器
10
com.                    172800  IN  NS  a.gtld-servers.net.
11
com.                    172800  IN  NS  b.gtld-servers.net.
12
;; Received 899 bytes from 192.5.6.30#53(a.gtld-servers.net)
13

14
; 权威服务器
15
example.com.            172800  IN  NS  ns1.example.com.
16
example.com.            172800  IN  NS  ns2.example.com.
17
;; Received 200 bytes from 199.43.135.53#53(ns1.example.com)
18

19
; 最终答案
20
www.example.com.    300  IN  A  93.184.216.34

10.3 查询特定记录类型#

1
# 查询 MX 记录
2
$ dig example.com MX
3

4
# 查询 AAAA 记录
5
$ dig www.example.com AAAA
6

7
# 查询 TXT 记录
8
$ dig example.com TXT
9

10
# 查询 NS 记录
11
$ dig example.com NS
12

13
# 查询 SOA 记录
14
$ dig example.com SOA
15

16
# 查询 CNAME 记录
17
$ dig www.example.com CNAME
18

19
# 反向查询（IP → 域名）
20
$ dig -x 93.184.216.34

10.4 DNSSEC 验证#

1
# 启用 DNSSEC 验证
2
$ dig +dnssec www.example.com
3

4
;; ANSWER SECTION:
5
www.example.com.    300  IN  A      93.184.216.34
6
www.example.com.    300  IN  RRSIG  A 13 3 300 ...
7

8
;; flags: qr rd ra ad
9
;; 注意 ad 标志（Authenticated Data）= DNSSEC 验证通过
10

11
# 查询 DNSKEY
12
$ dig example.com DNSKEY
13

14
# 查询 DS 记录（建立信任链）
15
$ dig example.com DS

10.5 使用 nslookup#

1
# 简单查询
2
$ nslookup www.example.com
3

4
# 指定 DNS 服务器
5
$ nslookup www.example.com 8.8.8.8
6

7
# 交互模式
8
$ nslookup
9
> server 8.8.8.8
10
> set type=MX
11
> example.com
12
> set type=ANY
13
> example.com
14
> exit

FAQ#

Q1: 为什么修改了 DNS 记录但还没生效？#

DNS 使用多级缓存，每一级都有 TTL。修改记录后，需要等待所有层级的缓存过期。最坏情况下需要等待整个 TTL 周期（常见的 TTL 为 300 秒到 86400 秒）。如果 TTL 设置为 3600 秒，最多需要 1 小时才能全球生效。

Q2: DNS 使用 UDP 还是 TCP？#

DNS 默认使用 UDP 端口 53。当响应数据超过 512 字节时，会切换到 TCP（设置 TC 标志）。DNS 区域传输（zone transfer）始终使用 TCP。DoH 使用 HTTPS（TCP + TLS），DoT 使用 TLS（TCP）。

Q3: 为什么根域名服务器只有 13 组？#

DNS 报文在 UDP 模式下限制为 512 字节。13 组根服务器（每组包含多个全球分布的实例）的 NS 记录刚好能在 512 字节内放下。虽然现在有了 EDNS0 扩展，这个限制已经不是硬性约束，但 13 组根服务器的约定保留至今。实际通过 Anycast 技术，全球已有超过 1000 个根服务器实例。

Q4: DNS 缓存被污染了怎么办？#

清除各级缓存：浏览器缓存（chrome://net-internals/#dns）、OS 缓存（ipconfig /flushdns 或 resolvectl flush-caches）、路由器缓存（重启路由器）。如果 ISP 级别被污染，可以切换到可信的公共 DNS（如 8.8.8.8、1.1.1.1）或使用 DoH/DoT。