产品知识库–泠茗–移动互联网时代如何优化你的网络–域名解析篇.docx

移动互联网时代，如何优化你的网络 —— 域名解析篇 域名(Domain Name)，是由一串用点分隔的名字组成的互联网上某台计算机或某组计算机的标识，它的目的是为了方便人们更简单便捷地访问互联网上的服务。在实际的系统实现中，域名通过DNS（Domain Name System）系统转化为服务器的IP地址，以方便机器通过IP进行寻址和通信。上述行为，我们称之为域名解析。 作为一次网络通信最前置的环节，域名解析的重要性不言而喻。在传统的基于浏览器的网站访问场景下，域名解析环节由浏览器内核实现，网站开发者无需关心域名解析的细节。But there are always two sides to every coin，一旦域名解析环节发生异常，开发者面对这样的黑盒架构就会显得束手无策，一个很典型的例子即域名劫持问题，关于这一点我们在后文会有更详细的介绍。 进入移动互联网时代，大量的应用基于C/S架构构建。相较于传统的面向浏览器的Web App，C/S架构的应用赋予了我们非常大的软件定制空间，开发者甚至可以渗透到整个应用的底层网络实现当中，域名解析环节的优化因此变为了可能。本篇文章我们就一起来看一看传统域名解析存在的问题，对应的根源，以及可能的优化方案。 关于域名解析，你应该知道的基本概念 在了解传统域名解析的流程之前，有几个专有名词我们需要了解一下： 根域、顶级域、二级域 DNS系统一般采用树状结构进行组织，以为例，org为顶级域名，wikipedia为二级域名，ru为三级域名，域名树状组织结构如下图所示。 权威DNS 权威DNS即最终决定域名解析结果的服务器，开发者可以在权威DNS上配置、变更、删除具体域名的对应解析结果信息。阿里云云解析（? HYPERLINK /domain/dns /domain/dns?）即权威DNS服务提供商。 递归DNS 递归DNS又称为Local DNS，它没有域名解析结果的决定权，但代理了用户向权威DNS获取域名解析结果的过程。递归DNS上有缓存模块，当目标域名存在缓存解析结果并且TTL未过期时（每个域名都有TTL时间，即有效生存时间，若域名解析结果缓存的时间超过TTL，需要重新向权威DNS获取解析结果），递归DNS会返回缓存结果，否则，递归DNS会一级一级地查询各个层级域名的权威DNS直至获取最终完整域名的解析结果。关于域名解析的具体流程下文会举例说明。 公共DNS 公共DNS是递归DNS的一种特例，它是一种全网开放的递归DNS服务，而传统的递归DNS信息一般由运营商分发给用户。一个比较典型的公共DNS即Google的，我们可以通过在操作系统配置文件中配置公共DNS来代替Local DNS完成域名解析流程。 在实际的使用过程中，我们通常不需要手工指定自己的Local DNS地址。运营商会通过DHCP协议在系统网络初始化阶段将Local DNS地址分配给我们的计算机。当我们需要使用公共DNS服务时，我们就必须手工指定这些服务的地址。以Linux为例，我们可以通过在/etc/resolv.conf中添加Local DNS地址项来改变本机Local DNS的地址。 了解了上述域名解析相关的常见术语，我们再来仔细看一看一次域名解析流程具体是如何发生的。 如上图所示，以访问为例，一次完整的域名解析流程包括： 终端向Local DNS发起域名解析请求； Local DNS在获取到域名解析请求后首先从Root hints获取根域名服务器的地址（Root hints包含了互联网DNS根服务器的地址信息）； 获取了根域名服务器地址后Local DNS向根域名服务器发起DNS解析请求，根域名服务器返回com顶级域名服务器地址； 随后Local DNS向com域名服务器发起解析请求，并得到二级域名服务器的地址； Local DNS向二级域名服务器发起解析请求，并最终获得了的IP地址信息； Local DNS将递归查询获得的IP地址信息缓存并返回给客户端； Local DNS服务器包含缓存模块，在实际域名解析过程中Local DNS服务器会首先查询缓存，缓存命中且解析结果TTL未过期的情况下直接返回，否则才启动递归查询的流程。 传统的域名解析面临的问题 了解了域名解析的基本概念和整体流程，我们再一起来探究一下传统域名解析存在的一系列问题。 域名劫持 域名劫持一直是困扰许多开发者的问题之一，其表现即域名A应该返回的DNS解析结果IP1被恶意替换为了IP2，导致A的访问失败或访问了一个不安全的站点。下面我们一起看看几种常见的域名劫持的场景。 一种可能的域名劫持方式即黑客侵入了宽带路由器并对终端用户的Local DNS进行篡改，指向黑客自己伪造的Local DNS，进而通过控制Local DNS的逻辑返回错误的IP信息进行