DNS变动，何时、何因及如何应对？

DNS变动

背景介绍

互联网的域名系统（DNS）是当今互联网的重要组成部分，随着IPv4地址的耗尽和IPv6过渡期的延长，网络地址空间出现分裂，DNS名称空间现已成为让互联网成为一个网络的决定性属性，DNS并非一项僵化且一成不变的技术，在互联网的发展过程中，它发生了很大的变化，以下是详细内容：

早期DNS

早期的互联网体系结构使用名称作为IP地址的便捷别名，每台主机都维护一个由名称和地址对组成的本地列表文件，应用程序从该文件中查找主机名称，并在随后的数据包交换过程中使用相对应的地址，在许多方面，该文件都可以直接类比为电话网络中的电话簿，这种简单的框架有一个重大的缺点，即可扩展性，随着网络中连接主机数量的增加，分发该文件更新副本的负担也随之增加，而且在所有这些本地名称文件副本间保持宽松一致性的任务也变得更具挑战性，描述互联网名称服务器的IEN61号文件于1978年发布，它似乎是当今DNS最基本的前身，大约5年后，在1983年，RFC 882使用树形结构名称层次定义了分层名称空间，该文件还将名称服务器定义为一种服务：它拥有关于名称层次结构中某一部分的信息，并可转介到其他名称服务器，后者拥有关于名称层次结构中较低部分的信息，该文件还定义了域名解析器：该解析器能够通过遵循转介信息寻找到要查询的目标名称服务器，然后从服务器获取所需的信息，从而将名称解析为其所存储的属性，RFC 883将DNS查询和响应定义为一个简单的无状态协议，这就是早期DNS规定的基本内容，仅此而已，现今DNS的大部分内容都是在这些早期规范中定义的，而我们在这过去的40年间所做的只是填补其中的细节，在此期间，DNS并没有发生任何实质性的变化。

演进的压力

不过，我认为以上观点忽略了DNS世界已经出现的大量改进，DNS并非完美无缺，DNS的域名解析速度极慢，将变更引入分布式数据框架的速度更慢，DNS查询的解析完全未考虑到用户隐私，任何一方只要能观测到用户的DNS查询数据包，便能轻易拼凑出用户活动的准确信息，用于解析名称的分布式无状态方案很容易受到各种企图窃听DNS解析事务和操纵DNS响应信息的影响，DNS不易抵御破坏性攻击，经常被用于开展高效的拒绝服务攻击（DoS），由于客户端无法验证响应的真实性和时效性，它也并不安全，DNS解析名称的操作可能极其不透明，使用并行服务器和解析器来提高DNS的恢复能力，会导致用于探索分布式数据结构的路径数量的组合“爆炸”，我们不可能事先知道哪些服务器可能被用于查询解析，也不可能知道一个原始查询可能会触发多少个附加查询，由于解析器可以直接从本地缓存对查询做出响应，因此无法预先知道响应来自何处或响应是否真实，对于一项每个用户不仅会使用，而且会暗中依赖的常见基本服务来说，DNS在实践中远非一个可靠运行工程的典范，技术社区已经在积极发展和改进DNS，旨在弥补其中的一些不足，包括加快DNS解析速度、改善DNS解析的隐私性、提升DNS响应的可信度以及抵御破坏DNS名称解析完整性的行为。

DNS隐私

DNS并不是所谓的一个独立的协议，默认情况下，查询是明确的，查询者的IP地址、被查询的服务器和被查询的名称对任何有能力检查DNS流量的实体都是可见的，这不仅包括网络中潜在的窃听者，还包括发起DNS查询的应用程序所在的操作系统平台、接收查询的递归解析器以及递归解析器所使用的任何转发代理，根据本地缓存的状态，递归解析器可能需要在名称服务器层次结构中执行一定程度自上而下的探索，向每一级的权威服务器询问完整的原始查询名称，递归解析器通常会将自己列为这些查询的来源，因此原始用户的身份会被隐去，但查询名称仍然可见，RFC 7858提供了通过传输层安全（Transport Layer Security，TLS）会话进行DNS的规范，简称为DoT，DoT允许客户端和服务器以安全的方式设置共享会话密钥，然后用于加密双方之间的所有后续交互，TLS还可用于验证服务器名称，以确保客户端连接到的是指定服务器的实例，设置TLS会话需要一定的开销，而这种方法最有效的应用是在存根（Stub）解析器到递归（Recursive）解析器的环境中，在这种环境中，单个TLS会话可以保持开放并在后续查询中被重复使用，从而在这些查询中分摊初始设置的开销，DoT标准规范定义其标准端口为TCP端口853，它允许旁观者识别DoT的使用，并通过IP地址识别终端双方，但不包括DNS查询和响应，随后的标准工作定义了基于QUIC（快速UDP互联网连接）协议的DNS，即RFC 9250（DoQ），QUIC提供的加密功能与TLS提供的功能类似，而QUIC传输解决了TCP固有的链路阻塞问题，并提供比UDP（用户数据报协议）更高效的丢包恢复机制，DNS消息还可以通过HTTP（超文本传输协议）传输，即RFC 8484（DoH），DoH使用端口443作为服务接收端口，在HTTP/2下使用TCP，而在基于QUIC的HTTP/3下使用UDP，因此DNS流量在很大程度上与Web流量没有区别，HTTP在传统DNS模型的基础上，增加了对象缓存、重定向、代理、身份验证和压缩的功能，但在DNS环境下如何使用上述功能尚不清楚，HTTP还允许服务器向客户端推送内容，在DoH方案中，可以允许使用无查询DNS，即服务器向客户端推送DNS响应，而无需触发任何初始DNS查询，在这些DNS加密传输方法中，远程服务器会知道客户端的IP地址和客户端正在进行的查询，在存根到递归（stubtorecursive）方案中，即使双方之间的网络路径是安全的，递归解析器也能知道用户的DNS操作，使用基于HTTPS的遗忘式DNS（Oblivious DNS，RFC 9230），可以获得更高的隐私级别，在这种情况下，没有一个DNS服务器能够同时知道客户端的IP地址和DNS查询的内容，双重加密与网络内的两个独立代理结合使用，客户端使用DoH向第一个代理发送加密DNS查询，该代理知道客户的IP身份，但无法解密DNS查询，该代理使用DoH向第二个代理发出自身的查询，隐去客户端的IP地址，第二个代理可以解密查询，使用传统递归解析器的模式进行解析。

常见问题与解答

1. 为什么需要备份DNS记录？

备份DNS记录非常重要，因为一旦DNS服务器发生故障或记录无法及时更新，用户可能无法成功访问网站，定期备份DNS记录并测试其可用性，确保在出现问题时能迅速恢复，减少停机时间和数据丢失的风险。

2. 如何选择合适的DNS服务商？

选择合适的DNS服务商需要考虑多个因素，包括可靠性、速度、安全性和支持的DNS功能，推荐选择信誉良好的DNS服务商，确保其提供的解析服务具有较高的稳定性和安全性，应考虑服务商是否支持如DNSSEC、DoT、DoH等先进的DNS技术和隐私保护措施。