DNS解析将人们习惯使用的域名翻译成计算机识别的IP地址,是确保人们正常访问网站的重要功能。而在实际域名管理过程中,经常会因为种种原因导致DNS解析故障。DNS解析故障主要表现在通过IP地址可以直接访问web服务器,但通过域名却无法触达站点或者访问到错误的站点。导致DNS解析故障的原因有很多,大致上可以分为域名解析配置错误、域名状态异常、修改DNS服务器、修改域名解析记录、域名服务器故障、DNS劫持等几个方面,下面国科云分别针对这几种情况做下简单介绍。当发生解析故障时,首先要检查下域名解析记录配置的各项参数是否正确,包括记录类型、主机值、记录值、解析记录是否被误删除等,尤其是手动输入IP很容易出现配置错误的风险,如记录值为1.1.1.1误写作1.1.1.11、IPv6地址选择记录类型为A记录等等。其中格外需要注意的是,在使用云解析配置智能解析线路时,一定要设置默认线路,未配置默认线路,就会出现部分用户无法解析的情况。因为如果访客的IP不属于云解析已配置的任何一条线路,在没有默认线路的情况下,云解析系统就不会为其分配任何一个IP,该用户就会出现解析不生效域名不可达的情况。如果解析配置没有问题,可以通过whois工具查一下域名状态是否有异常。如果域名状态处于clienthold、serverhold、inactive这三种状态,则表示域名状态出现异常解析被暂停。导致域名状态异常的原因包括域名违规、域名存在所有权争议、注册信息不完整、到期未续费、未完成实名认证等。如果是因为域名状态异常导致的解析故障,需要联系域名注册商查明具体原因和解决方法。如果在近期修改了域名解析记录,也可能导致域名解析故障。由于DNS缓存的存在,当修改域名解析记录后,各地的递归服务器并不会实时同步最新的解析记录,而是需要等待DNS缓存失效(TTL值)后,再向权威服务器请求最新的记录。在这段时间里,当用户发起访问时,递归服务器就会将DNS缓存中的旧有记录告知用户,从而造成解析不生效站点不可达。这种属于正常情况,只需要等待递归服务器中的缓存失效,重新请求权威服务器即可。DNS缓存失效时间与修改前解析记录中的TTL值相关,如果想要在更改解析记录后尽快生效,就需要设置更小的TTL值。除了修改解析记录,更换DNS服务器也会在一定时间内导致域名解析不生效。同样因为DNS缓存的缘故,递归服务器中缓存有域名授权的权威解析服务器的名称,在更换DNS服务器之后,并不会立即生效,根据域名种类不同,一般需要等待24至48小时才能生效。在新的DNS服务器生效之前,DNS查询仍会请求原有的DNS服务器,所以在修改DNS服务器的48小时内,尽量不要删除或修改原DNS服务器中的解析记录,否则就很有可能出现请求到原DNS服务器却查不到解析记录的情况。这种情况导致解析故障也属于正常现象,DNS缓存失效后,递归服务器就会通过全球迭代查询重新请求到最新的权威服务器上,从而获得最新的解析记录。提供域名解析的DNS服务器本身出现问题,也会导致解析故障。如果DNS服务器因为DDoS攻击、请求次数频繁、带宽资源不足等原因导致线路的拥堵,甚至是服务器的瘫痪,那么当递归服务器通过全球迭代查询请求到DNS服务器时,DNS服务器就无法快速响应,提供正常的解析服务,表现出域名解析故障。这种情况需要联系解析服务商查明原因给出对应的解决方案,或者更换更安全稳定的云解析DNS,云解析采用高防DNS、弹性带宽、流量清洗等技术手段,能够有效应对大流量QPS查询、DDoS攻击等情况,确保域名解析的稳定运行。在排除了以上几种情况之外,如果仍发现域名解析不生效,那么有可能是DNS发生了劫持。由于DNS缓存的缘故,解析流程被大大简化,解析速度和效率得到提升,但同样产生了较大的安全风险。攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存,就可以对DNS缓存中的映射关系进行篡改,将域名解析结果指向一个受攻击者控制的IP地址,从而导致站点不可达或者访问错误网站的结果,这就是DNS劫持。DNS劫持是DNS攻击最常见的手段之一,应对DNS劫持比较有效的办法是及时清理DNS缓存,或者设置较低的TTL值,减少DNS缓存生存时间,让递归服务器及时请求权威服务器,获取最新的解析记录。以上这几种情况,就是导致域名解析故障的常见原因。如果发生DNS解析故障,可根据这个排查思路查明原因并针对性地解决,才能保障DNS解析的安全稳定运行,网站业务的正常开展。 
