一、DNS:互联网世界的地址簿
1.1 域名结构与层级说明
域名相当于网站的「身份证号」,采用层级化设计(从右向左):
顶级域名(TLD):如
.com.cn.net二级域名:如
baidu.com子域名:如
www.baidu.com
❗小知识:日常说的「一级域名」在技术上实际是二级域名,顶级域名是后缀部分
1.2 DNS系统核心角色
整个DNS系统如同 分级图书馆 ,角色分工明确:
1.3 DNS解析全流程(以访问 www.baidu.com 为例)
本地缓存查询:浏览器→系统缓存→路由器缓存
(命中缓存则直接返回IP,耗时 <10ms)递归解析阶段
递归解析器询问根服务器:
".com 的TLD服务器在哪?"根服务器返回
.com TLD服务器地址解析器询问
.com TLD服务器:"baidu.com 的权威服务器在哪?"TLD服务器返回
ns1.baidu.com的IP
权威解析阶段
解析器向
ns1.baidu.com发起查询权威服务器返回
www.baidu.com的IP:220.181.38.150
💡 技术延伸:现代DNS普遍启用 EDNS Client Subnet ,允许CDN根据用户IP返回最近节点
二、监管机制:中国互联网的「门禁系统」
2.1 域名封锁技术手段
(1) HTTP/HTTPS层面拦截
(2) 服务器层面封锁
端口封锁:禁用80/443端口外网访问(AWS中国区的安全组策略)
IP黑名单:若发现未备案域名解析到ECS,触发实例隔离(华为云监管流程)
(3) DNS级拦截
强制污染解析:省级DNS服务器返回错误IP(如上海电信DNS劫持检测)
解析权限阻断:域名注册商限制解析(如阿里云万网暂停未备案域名解析)
2.2 典型封锁场景示例
未备案新站:域名解析到国内服务器→24小时内触发端口封锁
备案信息失效:阿里云检测到备案号注销→SNI阻断HTTPS请求
三、核心总结与技术启示
3.1 DNS与监管的共生关系
3.2 关键结论
技术透明性:DNS采用分布式架构保障效率,但层级设计也便于监管系统介入
HTTPS并非护身符:SNI暴露域名信息使加密流量仍可被精准识别(期待ECH加密技术普及)
合规必要性:国内服务器必须备案,纯技术规避存在法律风险
未来趋势:DoH/DoT等加密DNS协议普及将改变博弈格局(目前国内UDP 853端口普遍被封)
3.3 扩展思考
当你在浏览器看到"该网站未备案"提示时,其实经历了:
DNS解析成功获得真实IP
TCP三次握手完成
HTTP请求头中的Host字段或HTTPS SNI触发云平台规则引擎
旁路设备注入RST包或直接返回阻断响应
这种多层防御机制,既保障了网络基础服务,也为合规治理提供了技术支撑。理解这套体系,对开发者规划架构、运维人员排查问题具有重要意义。
