一文讀懂DNS解析故障常見情況（中科三方）

DNS解析將人們習慣使用的域名翻譯成計算機識別的IP地址，是確保人們正常訪問網站的重要功能。而在實際域名管理過程中，經常會因為種種原因導致DNS解析故障。

DNS解析故障主要表現在人們透過IP地址可以直接訪問web伺服器，但透過域名卻無法觸達站點或者訪問到錯誤的站點，這種情況就是由於DNS解析故障所造成的。

導致DNS解析故障的原因是多種多樣的，大致上可以分為域名解析配置錯誤、域名未續費/未實名、域名狀態異常、修改DNS伺服器、修改域名解析記錄、DNS劫持等幾個方面，接下來中科三方分別做下簡單介紹。

1.解析配置錯誤

檢查域名解析記錄配置各項引數是否正確，包括記錄型別、主機值、記錄值、解析記錄是否被誤刪除等，尤其是手動輸入IP很容易出現配置錯誤的風險。如記錄值為1.1.1.1誤寫作1.1.1.11、IPv6地址選擇記錄型別為A記錄等等。

其中格外需要注意的是，在配置雲解析時，一定要設定預設線路，如果未配置預設線路，就會出現部分使用者無法解析的情況。

因為如果訪客的IP不屬於雲解析已配置的任何一條線路，如果沒有預設線路的話，雲解析系統就不會為其分配任何一個IP，該使用者就會出現解析不生效域名不可達的情況。

2.域名到期沒有及時續費

如果域名過期後沒有及時續費，域名會被暫停解析，一般在30-45天之間，和域名贖回期同步。如果過期後再續費，一般需要等待24-48小時才能恢復使用（SOA記錄快取時間）。

3.域名沒有完成實名認證

按照工信部2017年域名實名認證的要求：2017年9月1日起，未完成實名認證的.com./.net域名，註冊局將暫停解析，網站、郵箱或網路應用將無法訪問，同時也不能進行新增&修改解析、DNS修改及其他相關等操作；待實名認證透過後方可恢復正常。

4.域名狀態異常

如果域名處於clienthold、serverhold、inactive三種狀態，則代表是因為域名狀態異常導致解析異常。導致域名狀態異常的原因包括域名違規、域名存在所有權爭議、註冊資訊不完整、到期未續費、未完成實名認證等。

5.修改DNS伺服器

由於本地DNS快取有DNS伺服器的名稱，所以修改DNS伺服器後，不會立即生效，一般根據域名種類不同，需要等待24-48小時才能生效。

在新的DNS伺服器生效之前，DNS查詢仍會請求舊的DNS伺服器，所以在修改DNS伺服器的48小時內，儘量不要刪除或修改舊DNS伺服器中的解析記錄，否則就很有可能出現請求到舊DNS伺服器卻查不到解析記錄的情況。

6.修改域名解析記錄

由於DNS快取的存在，當修改域名解析記錄後，各地的遞迴伺服器並不會實時同步最新的解析記錄，而是需要等待DNS快取失效（TTL值）後，重新請求最新的記錄。在這段時間內，當使用者發起訪問時，遞迴伺服器就會將修改前的錯誤地址返回給使用者，從而造成解析不生效站點不可達。

7.DNS被劫持

在實際DNS解析過程中，當客戶端訪問網站時，瀏覽器首先會查詢本機中的DNS快取，快取中有記錄，會直接將結果返回給使用者。這種快取機制，縮短了DNS解析查詢的時間，但也存在一定的安全風險。如果攻擊者透過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取，就可以對DNS快取中的域名對映關係進行篡改，將域名解析結果指向一個虛假IP。