🔍 DNS中常见问题详解

lin

一、DNS缓存污染（DNS Cache Poisoning）
✅ 问题描述：
DNS缓存污染是指攻击者向DNS缓存中注入伪造的记录，使用户在访问正常网站时被引导到恶意站点。
🧠 原理：
DNS服务器在解析域名后会将结果缓存起来以提高解析速度。攻击者通过伪造DNS响应、抢在合法响应之前返回错误信息，使DNS缓存错误的IP地址。
⚠️ 危害：

• 用户访问正规网站时会被引导至钓鱼网站；
• 可能造成信息泄露、密码被盗；
• 在企业内部可能引发数据被中间人篡改或监听。
  

🔧 解决方案：

• 使用DNSSEC（DNS Security Extensions），确保DNS响应是签名验证的；
• 使用可信DNS服务商；
• 设置合理的TTL，避免缓存长时间保存错误信息；
• 及时更新DNS服务器软件，修复漏洞。
  

二、CNAME引发的HSTS冲突
✅ 问题描述：
当根域使用CNAME记录进行跳转时，可能会与**HSTS（HTTP Strict Transport Security）**政策冲突，导致网站加载失败。
🧠 原理：
HSTS 要求浏览器强制使用 HTTPS 访问，但当根域被配置为 CNAME 指向另一个域时，如果目标域未支持 HTTPS 或中间存在重定向，就可能违反HSTS政策，导致连接被拒绝。
⚠️ 危害：

• 网站无法加载；
• 用户体验差；
• SEO权重丢失。
  

🔧 解决方案：

• 避免根域设置 CNAME（因为这在标准 DNS 中其实是违规的）；
• 使用 DNS 服务商支持的 CNAME Flattening 或 ANAME 记录；
• 确保目标域支持 HTTPS 且有有效证书；
• 配合CDN服务一起使用（如Cloudflare的根域CNAME支持）。
  

三、DNS劫持（DNS Hijacking）
✅ 问题描述：
用户的DNS请求被篡改，返回的是攻击者控制的IP地址，常见于公共WiFi、被感染的路由器或恶意ISP行为。
🧠 原理：
攻击者在DNS查询路径中拦截请求，并返回伪造的DNS响应，实现流量重定向或广告注入。
⚠️ 危害：

• 用户被迫访问不想访问的网站（比如广告页面）；
• 可能导致个人隐私泄露或设备中毒；
• 安全连接（如HTTPS）可能被中间人攻击。
  

🔧 解决方案：

• 使用DNS over HTTPS（DoH）或DNS over TLS（DoT）；
• 更换为加密DNS服务（如Cloudflare 1.1.1.1，Google DNS）；
• 在公司或家庭路由器中禁用ISP提供的默认DNS；
• 使用VPN进一步加密全链路流量。
  

四、DNS服务器不可用
✅ 问题描述：
当DNS服务器宕机或配置错误时，用户将无法访问任何通过该DNS解析的网站。
🧠 原因：

• DNS服务本身宕机或维护；
• 解析配置错误（如A记录丢失）；
• TTL设定过短导致频繁请求失败。
  

⚠️ 危害：

• 网站全站无法访问；
• 邮件发送失败；
• API服务异常，造成业务中断。
  

🔧 解决方案：

• 设置主/备DNS服务器（至少2个）；
• 使用高可用DNS提供商，如Cloudflare、阿里云DNS、DNSPod；
• 启用DNS健康监测，发现问题自动切换；
• 设定合理TTL，避免频繁查询导致依赖单点失败。
  

五、DNS记录配置错误
✅ 问题描述：
DNS记录填写错误或遗漏，导致服务无法访问或邮件无法投递。
🧠 常见错误：

• A记录IP填写错误；
• CNAME 指向的目标未生效；
• MX记录缺失，导致邮件丢失；
• SPF记录错误，造成邮件被标记为垃圾邮件。
  

⚠️ 危害：

• 网站或子域无法访问；
• 邮件投递失败或被误判为垃圾邮件；
• 子域之间冲突导致系统混乱。
  

🔧 解决方案：

• 使用DNS配置模板；
• 检查DNS记录的正确性（通过 dig、nslookup 等工具）；
• 在上线前使用在线验证工具检测DNS配置（如 MXToolbox）；
• 定期审核DNS配置文件或控制面板。
  

六、TTL设置不当
✅ 问题描述：
DNS记录的TTL（Time to Live）设置不合理，可能导致变更无法快速生效，或造成过多查询。
🧠 典型错误：

• TTL太长，更新记录需要等待数小时或更久；
• TTL太短，增加DNS查询压力，影响性能。
  

🔧 解决方案：

• 常规业务使用 300~600 秒较为合适；
• 大规模变更前，先将TTL调低，再变更；
• 变更完成后可恢复较长TTL（如 3600 秒）以减轻负担。
  

✅ 总结

问题	危害	解决建议
缓存污染	访问钓鱼站、信息泄露	启用DNSSEC、使用可信DNS
HSTS与CNAME冲突	网站无法加载	使用CNAME Flattening、目标域支持HTTPS
DNS劫持	被引导到恶意网站	启用DoH/DoT、使用加密DNS、VPN
服务器不可用	网站访问失败、业务中断	多DNS节点、高可用方案
配置错误	访问失败、邮件出错	使用验证工具、定期审查配置
TTL设置不当	更新延迟或压力大	设置合理TTL，动态调整