域名解析是網際網路的一項重要基礎作用，主要用於將域名翻譯成計算機可識別的IP地址，完成對網路中其他主機的定址任務。我們日常工作生活中的大部分網路應用，如網站訪問、電子郵件以及其他各種web應用服務，都需要經過域名解析的定址去完成。域名解析依靠分層結構的DNS系統，經過不同域DNS伺服器的共同協作，最終完成域名解析的查詢工作。

當客戶主機對目標域名發起請求時，首先會請求客戶主機所配置的遞迴伺服器，遞迴伺服器代替客戶主機去進行全球的迭代查詢。遞迴伺服器首先請求根域名伺服器，從根域名伺服器獲得頂級域名伺服器的地址；遞迴伺服器請求頂級域名伺服器，獲得域名授權的權威解析伺服器的地址；遞迴伺服器請求權威解析伺服器，並將權威解析伺服器給出的解析值返回給客戶主機；客戶主機根據解析值中的IP地址，對web伺服器發起訪問。

從以上的解析流程中可以看出，根域名伺服器、頂級域名伺服器主要充當“中介”的角色，最終由權威域名伺服器給出最終的解析記錄，權威解析伺服器在整個解析環節中佔據核心地位，但同時也對域名解析的速度和質量形成了制約。

在以往網路規模較小的情況下，傳統的權威解析系統能夠充分滿足使用者查詢所需，但在當前流量劇增、網路環境複雜多變的今天，傳統權威解析模式的諸多問題逐漸暴露出來。

DNS查詢延遲

當前網頁中的內容往往與多個業務系統進行嵌入式對接，因此在開啟某個網頁時可能需要從多個域名中獲取頁面資訊，這就導致短時間內出現大量的DNS請求。傳統權威解析系統一般由單臺伺服器提供解析服務，當客戶主機距離權威伺服器位置較遠時，可能需要多個跳數才能完成解析資料的請求和應答，產生較大的解析時延，一個網頁訪問中出現多個域名解析時延的疊加，就可能產生比較明顯的訪問延遲，影響使用者的上網體驗。

輪詢隨機返回結果

傳統權威解析技術不支援智慧解析，即根據客戶主機的地址匹配就近的web伺服器，而是根據解析控制檯設定的不同線路權重進行輪詢，為客戶主機隨機返回一個地址，這就可能出現北京使用者訪問到上海伺服器的情況，跨域帶來的影響最終體現在網站響應時間的增加上。此外，由於權重輪詢無法對訪客所屬運營商作出判斷，因此可能會導致電信、移動、聯通等不同運營商客戶跨網訪問web伺服器情況的出現，同樣會產生一定的訪問延遲。

面臨DNS攻擊風險

由於權威伺服器在網際網路尤其是域名解析環節中扮演的重要角色，使其成為DNS攻擊的重點目標，而其中DDoS攻擊是比較普遍也是危害比較大的一種攻擊方式。攻擊者透過控制殭屍網路對權威伺服器發起超大流量的解析請求，從而形成DDoS攻擊。傳統解析技術採用單臺伺服器，如果遭受DDoS攻擊發生故障，就會影響其對所有管轄域名提供正常的域名解析服務。有的權威解析可能採用多臺伺服器，但多為相同自治域內域名，屬於相同網段，這導致域名解析服務在DDoS攻擊和網路故障下的應變能力下降。

應用場景受限

自2017年《網際網路協議第六版（IPv6）規模部署行動計劃》印發以來，我國IPv6產業發展迅速，目前IPv6活躍使用者已達到7.6億以上，佔網際網路網民總數的70%以上。為了滿足快速增長的IPv6訪問需要，越來越多的網站開始進行IPv6的升級改造，以實現IPv4和IPv6網路的互聯互通。傳統解析技術在早期沒有考慮到IPv6的迅猛發展，導致相當一部分比例的權威伺服器不支援AAAA記錄或者不具備獨立的IPv6地址，無法支援對IPv4和IPv6雙棧網路的解析，在一定程度上制約了各行業網站向IPv6改造的程式。

綜上來看，傳統權威解析模式存在的種種侷限性，最終影響到域名解析的速度、精度和安全性，成為域名解析和網路安全的一個薄弱環節。而隨著IPv6網路的快速推進，物聯網時代接入裝置的急劇增加，域名解析將面臨越來越複雜多樣的網路場景，傳統解析技術已經無法適應對安全解析、智慧解析的現實需求，基於雲技術的新一代解析系統正逐漸替代傳統解析技術，應用於一些重點領域之中。

基於雲技術的域名解析系統研究：傳統解析技術的侷限性

相關文章