一文讀懂DNS解析故障的排查思路，輕鬆解決解析常見問題

DNS解析將人們習慣使用的域名翻譯成計算機識別的IP地址，是確保人們正常訪問網站的重要功能。而在實際域名管理過程中，經常會因為種種原因導致DNS解析故障。DNS解析故障主要表現在透過IP地址可以直接訪問web伺服器，但透過域名卻無法觸達站點或者訪問到錯誤的站點。

導致DNS解析故障的原因有很多，大致上可以分為域名解析配置錯誤、域名狀態異常、修改DNS伺服器、修改域名解析記錄、域名伺服器故障、DNS劫持等幾個方面，下面國科雲分別針對這幾種情況做下簡單介紹。

解析配置錯誤

當發生解析故障時，首先要檢查下域名解析記錄配置的各項引數是否正確，包括記錄型別、主機值、記錄值、解析記錄是否被誤刪除等，尤其是手動輸入IP很容易出現配置錯誤的風險，如記錄值為1.1.1.1誤寫作1.1.1.11、IPv6地址選擇記錄型別為A記錄等等。

其中格外需要注意的是，在使用雲解析配置智慧解析線路時，一定要設定預設線路，未配置預設線路，就會出現部分使用者無法解析的情況。因為如果訪客的IP不屬於雲解析已配置的任何一條線路，在沒有預設線路的情況下，雲解析系統就不會為其分配任何一個IP，該使用者就會出現解析不生效域名不可達的情況。

域名狀態異常

如果解析配置沒有問題，可以透過whois工具查一下域名狀態是否有異常。如果域名狀態處於clienthold、serverhold、inactive這三種狀態，則表示域名狀態出現異常解析被暫停。導致域名狀態異常的原因包括域名違規、域名存在所有權爭議、註冊資訊不完整、到期未續費、未完成實名認證等。如果是因為域名狀態異常導致的解析故障，需要聯絡域名註冊商查明具體原因和解決方法。

修改解析記錄

如果在近期修改了域名解析記錄，也可能導致域名解析故障。由於DNS快取的存在，當修改域名解析記錄後，各地的遞迴伺服器並不會實時同步最新的解析記錄，而是需要等待DNS快取失效（TTL值）後，再向權威伺服器請求最新的記錄。在這段時間裡，當使用者發起訪問時，遞迴伺服器就會將DNS快取中的舊有記錄告知使用者，從而造成解析不生效站點不可達。

這種屬於正常情況，只需要等待遞迴伺服器中的快取失效，重新請求權威伺服器即可。DNS快取失效時間與修改前解析記錄中的TTL值相關，如果想要在更改解析記錄後儘快生效，就需要設定更小的TTL值。

更換DNS伺服器

除了修改解析記錄，更換DNS伺服器也會在一定時間內導致域名解析不生效。同樣因為DNS快取的緣故，遞迴伺服器中快取有域名授權的權威解析伺服器的名稱，在更換DNS伺服器之後，並不會立即生效，根據域名種類不同，一般需要等待24至48小時才能生效。

在新的DNS伺服器生效之前，DNS查詢仍會請求原有的DNS伺服器，所以在修改DNS伺服器的48小時內，儘量不要刪除或修改原DNS伺服器中的解析記錄，否則就很有可能出現請求到原DNS伺服器卻查不到解析記錄的情況。

這種情況導致解析故障也屬於正常現象，DNS快取失效後，遞迴伺服器就會透過全球迭代查詢重新請求到最新的權威伺服器上，從而獲得最新的解析記錄。

域名伺服器故障

提供域名解析的DNS伺服器本身出現問題，也會導致解析故障。如果DNS伺服器因為DDoS攻擊、請求次數頻繁、頻寬資源不足等原因導致線路的擁堵，甚至是伺服器的癱瘓，那麼當遞迴伺服器透過全球迭代查詢請求到DNS伺服器時，DNS伺服器就無法快速響應，提供正常的解析服務，表現出域名解析故障。

這種情況需要聯絡解析服務商查明原因給出對應的解決方案，或者更換更安全穩定的雲解析DNS，雲解析採用高防DNS、彈性頻寬、流量清洗等技術手段，能夠有效應對大流量QPS查詢、DDoS攻擊等情況，確保域名解析的穩定執行。

DNS被劫持

在排除了以上幾種情況之外，如果仍發現域名解析不生效，那麼有可能是DNS發生了劫持。由於DNS快取的緣故，解析流程被大大簡化，解析速度和效率得到提升，但同樣產生了較大的安全風險。攻擊者透過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取，就可以對DNS快取中的對映關係進行篡改，將域名解析結果指向一個受攻擊者控制的IP地址，從而導致站點不可達或者訪問錯誤網站的結果，這就是DNS劫持。

DNS劫持是DNS攻擊最常見的手段之一，應對DNS劫持比較有效的辦法是及時清理DNS快取，或者設定較低的TTL值，減少DNS快取生存時間，讓遞迴伺服器及時請求權威伺服器，獲取最新的解析記錄。

以上這幾種情況，就是導致域名解析故障的常見原因。如果發生DNS解析故障，可根據這個排查思路查明原因並針對性地解決，才能保障DNS解析的安全穩定執行，網站業務的正常開展。

關於國科雲

北京國科雲端計算技術有限公司是中國科學院控股有限公司旗下企業，專注域名相關技術二十餘年，從產品、技術、服務等多方位確保客戶的域名解析安全暢通。國科雲解析採用DNSSEC、高防DNS等技術手段，能夠有效預防快取投毒、DNS劫持等DNS攻擊手段；專業工程師團隊，提供嚴謹的系統診斷服務，快速排錯，準確定位域名相關問題；提供一對一人工專屬服務，7*24小時全天候線上，遇到解析故障問題能夠第一時間得到響應和解決。多年來，國科雲已為眾多省部級國家機關、金融、央企、科研等重點領域頭部客戶提供域名註冊和解析服務，以專業的技術水平和精益求精的服務態度，贏得了客戶一致信賴與好評。