Paul Mockapetris 与 DNS：互联网如何拥有可记忆的域名

DNS（域名系统）将类似 example.com 这样便于人记忆的名字翻译为像 93.184.216.34 这样的 IP 地址，让你的设备知道要连接到哪里。

没有 DNS，你就得记住每个网站和服务的数字地址。

早期网络依赖一个单一共享文件（HOSTS.TXT）来把名字映射到 IP 地址。

随着网络规模增长，这个方法变得不可管理：更新频繁、名字冲突增多、过时副本导致的中断也越来越常见。DNS 用分布式系统取代了“一个全局文件”的做法。

Paul Mockapetris 在 1980 年代初设计了 DNS，旨在解决网络快速增长时名称管理的可扩展性问题。

他提出的关键思想是“委派（delegation）”：把命名空间划分给多个组织管理，这样就不会出现单一主列表或管理员成为瓶颈的情况。

DNS 名称是分层的，从右向左读取：

• 根（结尾的点，通常省略）：www.example.com.
• 顶级域（TLD）：.com
• 域名：example.com
• 子域/主机：www.example.com

这种层级结构使得委派和管理在全球范围内变得可行。

递归解析器代表你去查找答案并缓存结果（通常由 ISP、单位或公共解析器提供）。

权威 DNS 服务器是域名记录的真实来源；它不会去“搜索”其他地方——它只对自己负责的区域作出回答。

典型的解析流程如下：

1. 你的设备检查本地 DNS 缓存。
2. 它向递归解析器询问。
3. 如果需要，解析器按照指引查询：根 → TLD（例如 .com）→ 该域的权威服务器。
4. 权威服务器返回记录（例如 A/AAAA）。
5. 解析器缓存结果并把答案返回给你的设备。

**TTL（生存时间）**告诉解析器在多长时间内可以缓存 DNS 答案，然后再去重新查询。

• 较低的 TTL：更快看到变更，但增加查询量。
• 较高的 TTL：减少查询、增稳健性，但更新传播更慢。

“传播”主要就是不同缓存按照各自的 TTL 到期的过程。

你通常会管理的常见记录有：

• A / AAAA：将名称指向 IPv4/IPv6 地址（网站、服务器）。
• ：把一个主机名别名到另一个主机名（常用于 ）。

注册商（registrar）是你注册/续费域名的地方（相当于你拥有 example.com 的权利）。

DNS 托管/提供商运行权威名字服务器并保存你的 DNS 记录。你可以在一家注册、在另一家托管 DNS，通过在注册商处修改 NS（名字服务器）来实现这一点。

DNS 失败常见于：

• 缓存污染/伪造（解析器存储了伪造的答案）；
• 注册商/账户接管（攻击者更改名字服务器或记录）；
• 配置错误（错误的 MX、冲突记录、拼写错误）。

实用防护：启用注册商账户的 和域名/转移锁，建立变更审查和回滚流程，考虑启用 以验证 DNS 答案的真实性，并使用 加密设备到解析器的连接以减少窃听与在途篡改的风险。