一篇你看了就懂的DNS详解

DNS（Domain Name System，域名系统），万维网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住IP。

通过域名，最终得到该域名对应的IP地址的过程叫做域名解析（或主机名解析）。

为什么需要DNS解析域名为IP地址？

　　首先计算机在网络上通讯时只能识别IP地址（网络通讯大部分是基于TCP/IP协议，而TCP/IP是基于IP地址的），比如我要在浏览器中访问百度的地址，我可以在地址栏直接输入14.215.177.39就能访问到百度的首页。但是我们无法记住更多的IP地址。那么域名就出现了，域名是由一串用”.”分隔的唯一名字。所以现在我们访问网站的时候，就可以在浏览器地址栏中输入域名（www.baidu.com），那么DNS就会把域名翻译成IP，然后访问IP

域名

　　域名按照从右到左的顺序来划分优先等级，最右边的是最高级的根域，根域就是所谓的”.”，其实我们的域名www.baidu.com在配置当中应该是www.baidu.com.（最后有一个点），一般我们在浏览器里输入时会省略后面的点。接下来就是顶级域又称一级域，一级域之后还有二级三级域。如何区分当前域名是几级域，可以参考域名中有几个点来判断（除了根域外），比如baidu.com就是个一级域，而www.baidu.com就是个二级域（它是在baidu.com这个域里面有一个叫做www的主机）

　　每一层域都会有一堆域名（DNS）服务器，DNS服务器是能提供域名解析的服务器，记录类型可以是A（address）记录，NS（name server）记录，MX（mail），CNAME等，这些记录类型后续会一一介绍到。

这里有个知识点，百科中说全世界只有13台根DNS服务器，但其实这是错误的观点，根DNS服务器只有具体的13个IP地址，但机器的数量不止13台。

　　DNS服务器一般分三种，根DNS服务器，顶级DNS服务器，权威DNS服务器

　　接下来会讲到这些DNS服务器和我们今天说的DNS解析有什么关系，在讲述DNS解析流程前先要理解什么是本地DNS

　　本地DNS一般是指你电脑上网时IPv4或者IPv6设置中填写的那个DNS。这个有可能是手工指定的或者是自动分配的。

　　如果你的电脑是直连运营商（ISP）网络，一般默认设置情况下DNS为ISP的服务器地址。

　　如果你的电脑和ISP之间还加了无线或者有线路由（一般的路由器本身还会内置DNS转发器），它的作用是将发往它所有的DNS请求转发到上层DNS，但最终会转发到ISP的DNS。

　　如果手动修改了DNS，比如改成8.8.8.8这样的公用DNS服务器，那么指的就是这个服务器。

　　本地DNS不是权威服务器，相当于一个代理的DNS解析服务器，他会帮你迭代权威服务器返回的回答，然后把最终查到的IP返回给你。

　　如下图所示，就是之后我们讲到的本地DNS服务器。

1. 现在我有一台电脑，在浏览器中输入www.baidu.com域名，浏览器会从浏览器的DNS缓存中检查是否有这个网址的映射关系，如果有，就返回IP，完成域名解析
2. 如果没有，操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系，如果有，就返回IP，完成域名解析。看到这里大家应该都猜到了，有DNS的地方，就有缓存。浏览器、操作系统、本地DNS、根域名服务器，它们都会对DNS结果做一定程度的缓存。
3. 如果还没有，我的电脑就要向本地DNS服务器发起请求查询www.baidu.com这个域名。
4. 本地DNS服务器拿到请求后，先检查一下自己的缓存中有没有这个地址，有的话直接返回。这个时候拿到的IP地址，会被标记为非权威服务器的应答
5. 如果本地DNS服务器的缓存中没有的话，本地DNS服务器会从配置文件中读取13个根DNS服务器的地址，然后向其中一台发起请求
6. 根DNS服务器拿到请求后，知道他是com.这个顶级域名下的，所以会返回com域名中的NS记录（用来表明哪台服务器对该域名进行解析），其实就是一个IP（com对应的服务器IP）
7. 本地DNS服务器根据返回的IP（com DNS服务器）发起请求，com DNS服务器发现你这请求的是baidu.com这个域，查到这个域的NS记录，然后返回IP（baidu.com）
8. 本地DNS服务器在根据IP（baidu.com DNS服务器）访问这些权威服务器，baidu.com服务器在A记录（正向解析记录，域名到IP地址的映射）中查找到www.baidu.com的IP地址，返回IP（www.baidu.com）
9. 最终本地DNS服务器拿到用户想访问的www.baidu.com的IP，返回给客户端，并进行缓存操作，以便下次使用。

看上面的图，再理解一遍：

浏览器：@浏览器缓存，你知道www.baidu.com对应的IP么?

浏览器缓存:知道，是xxxx

浏览器：好的，我去访问啦！

浏览器缓存：不知道

浏览器：@系统缓存，你知道www.baidu.com对应的IP么?

系统缓存：我看下hosts哦，找到了，是xxxx

浏览器：好的，我去访问啦~

系统缓存：我看下hosts哦，哎呀没有找到哎

浏览器：好的，我无能为力了，@客户机想想办法

客户机：我去问问@本地DNS服务器，你知道www.baidu.com对应的IP么?

本地DNS服务器：我去DNS服务器缓存中找找，找到了，是xxxx

客户机：@浏览器，是xxxx，你去访问吧

　　  浏览器：好的，我去访问啦#

本地DNS服务器：我去DNS服务器缓存中找找，哎呀没有找到哎

本地DNS服务器：想个办法，先去找大哥@根DNS服务器，你知道www.baidu.com对应的IP么?

根DNS服务器：我知道com DNS服务器的IP，你叫他给你查

本地DNS服务器：好的，@com DNS服务器，你知道www.baidu.com对应的IP么?

com DNS服务器：我知道baidu.com DNS服务器的IP，你叫他给你查

本地DNS服务器：怎么开始踢皮球了，@baidu.com DNS服务器，你知道www.baidu.com对应的IP么?

baidu.com DNS服务器：我这里查到了，IP是xxxx

本地DNS服务器：太开心了@客户机IP是xxxx。这么麻烦，先记到DNS服务器缓存，免得下次又这么折腾。

客户机：@浏览器 IP是xxxx

浏览器：好的，我去访问啦

　　上面就把正常的DNS解析流程讲解完毕了，其中有提到的迭代查询，在整个DNS解析过程中会存在递归查询过程和迭代查询过程。

　　我的电脑向本地DNS服务器的查询一般都是采用递归查询

　　本地DNS服务器向其他DNS服务器的查询是迭代查询

　　总结下就是发起查询的机器改变了就是递归查询，反之，发起查询的机器不变就是迭代查询。

DNS解析过程中也解释了DNS服务器记录中的NS记录和A记录，那么接下来就看下DNS服务器中的这些记录的作用

　　其实在上面DNS解析www.baidu.com域名的时候，在实际操作中就有遇到CNAME记录。

当我们向baidu.com请求www.baidu.com的时候，返回了一个别名www.a.shifen.com

　　一般解析过程中遇到CNAME，查询会终止，重新向根DNS服务器发起查询别名的请求，最终返回给电脑www.baidu.com 的CNAME以及别名的IP。

以上所有流程可以使用nslookup或dig（linux自带，windows可装）命令查询验证

DNS劫持

　　DNS决定的是我们的域名将解析到哪一个IP地址的记录，是基于UDP协议的一种应用层协议。这种攻击的前提是攻击者掌控了你的本地DNS服务器

攻击者劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致用户对该域名地址进行访问的时候，由原来的IP地址转入到修改后的IP地址。结果就是让正确的网址不能解析或者是被解析到另一个网址的IP，实现获取用户资料或者破坏原有网址正常服务的目的。

　　原理如下图所示：

　　由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的DNS服务器能够返回正常的IP地址，或者修改DNS以及直接IP访问。

　　一般而言，用户上网的DNS服务器都是运营商分配的，所以在这个节点上，运营商可以做一些事情，比如，你去访问www.a.com，正常DNS应该返回10.0.0.1，而运营商劫持后，会返回一个运营商的中间服务器IP，访问该服务器会一致性的返回302（暂时重定向），让用户浏览器跳转到预处理好的带广告的网页，在该网页中再通过iframe打开用户原先访问的地址。

DNS污染

　　又称域名服务器缓存投毒（DNS cache poisoning），它和DNS劫持的不同之处，在于污染针对的是DNS缓存，是在查询信息到达目标DNS服务器前，经过的节点上做手脚，而劫持是DNS服务器中记录的是错误的内容。

总结下就是DNS劫持是修改DNS服务器，DNS污染是修改DNS缓存。

　　看下图举个例子：对于GFW来说，DNS劫持用于国内服务器，因为可以修改服务器中的DNS记录，而对于国外服务器GFW无法更改其内容，故采用DNS污染的方式篡改用户收到的信息。其中的过程是，当你向国外DNS服务器查询DNS记录时，这些流量走到国际出口带宽的时候会遇到GFW的关键字审查，如果上了黑名单，GFW会立即向你返回一个虚假的DNS记录。上面也说到DNS走的是UDP协议，加上DNS查询结果只认最快返回的，所以一定是先收到了GFW给你返回的虚假DNS记录，就算马上你收到了真正的来自国外DNS的回复，也会被你的系统无视掉。这种攻击也被称为中间人攻击。