域名解析是互联网的一项重要基础作用,主要用于将域名翻译成计算机可识别的IP地址,完成对网络中其他主机的寻址任务。我们日常工作生活中的大部分网络应用,如网站访问、电子邮件以及其他各种web应用服务,都需要经过域名解析的寻址去完成。域名解析依靠分层结构的DNS系统,经过不同域DNS服务器的共同协作,最终完成域名解析的查询工作。
当客户主机对目标域名发起请求时,首先会请求客户主机所配置的递归服务器,递归服务器代替客户主机去进行全球的迭代查询。递归服务器首先请求根域名服务器,从根域名服务器获得顶级域名服务器的地址;递归服务器请求顶级域名服务器,获得域名授权的权威解析服务器的地址;递归服务器请求权威解析服务器,并将权威解析服务器给出的解析值返回给客户主机;客户主机根据解析值中的IP地址,对web服务器发起访问。
从以上的解析流程中可以看出,根域名服务器、顶级域名服务器主要充当“中介”的角色,最终由权威域名服务器给出最终的解析记录,权威解析服务器在整个解析环节中占据核心地位,但同时也对域名解析的速度和质量形成了制约。
在以往网络规模较小的情况下,传统的权威解析系统能够充分满足用户查询所需,但在当前流量剧增、网络环境复杂多变的今天,传统权威解析模式的诸多问题逐渐暴露出来。
DNS查询延迟
当前网页中的内容往往与多个业务系统进行嵌入式对接,因此在打开某个网页时可能需要从多个域名中获取页面信息,这就导致短时间内出现大量的DNS请求。传统权威解析系统一般由单台服务器提供解析服务,当客户主机距离权威服务器位置较远时,可能需要多个跳数才能完成解析数据的请求和应答,产生较大的解析时延,一个网页访问中出现多个域名解析时延的叠加,就可能产生比较明显的访问延迟,影响用户的上网体验。
轮询随机返回结果
传统权威解析技术不支持智能解析,即根据客户主机的地址匹配就近的web服务器,而是根据解析控制台设置的不同线路权重进行轮询,为客户主机随机返回一个地址,这就可能出现北京用户访问到上海服务器的情况,跨域带来的影响最终体现在网站响应时间的增加上。此外,由于权重轮询无法对访客所属运营商作出判断,因此可能会导致电信、移动、联通等不同运营商客户跨网访问web服务器情况的出现,同样会产生一定的访问延迟。
面临DNS攻击风险
由于权威服务器在互联网尤其是域名解析环节中扮演的重要角色,使其成为DNS攻击的重点目标,而其中DDoS攻击是比较普遍也是危害比较大的一种攻击方式。攻击者通过控制僵尸网络对权威服务器发起超大流量的解析请求,从而形成DDoS攻击。传统解析技术采用单台服务器,如果遭受DDoS攻击发生故障,就会影响其对所有管辖域名提供正常的域名解析服务。有的权威解析可能采用多台服务器,但多为相同自治域内域名,属于相同网段,这导致域名解析服务在DDoS攻击和网络故障下的应变能力下降。
应用场景受限
自2017年《互联网协议第六版(IPv6)规模部署行动计划》印发以来,我国IPv6产业发展迅速,目前IPv6活跃用户已达到7.6亿以上,占互联网网民总数的70%以上。为了满足快速增长的IPv6访问需要,越来越多的网站开始进行IPv6的升级改造,以实现IPv4和IPv6网络的互联互通。传统解析技术在早期没有考虑到IPv6的迅猛发展,导致相当一部分比例的权威服务器不支持AAAA记录或者不具备独立的IPv6地址,无法支持对IPv4和IPv6双栈网络的解析,在一定程度上制约了各行业网站向IPv6改造的进程。
综上来看,传统权威解析模式存在的种种局限性,最终影响到域名解析的速度、精度和安全性,成为域名解析和网络安全的一个薄弱环节。而随着IPv6网络的快速推进,物联网时代接入设备的急剧增加,域名解析将面临越来越复杂多样的网络场景,传统解析技术已经无法适应对安全解析、智能解析的现实需求,基于云技术的新一代解析系统正逐渐替代传统解析技术,应用于一些重点领域之中。