打开网易新闻 查看精彩图片

你每天输入网址后,浏览器平均要在300毫秒内完成4次跨洋查询。这不是什么黑科技,是1983年诞生的DNS解析系统——互联网最老的基础设施之一,至今仍在以每秒超过4000万次的频率被全球调用

但多数人直到网站打不开时,才会想起它的存在。

你以为的"直接访问",其实是场接力赛

你以为的"直接访问",其实是场接力赛

输入google.com的瞬间,浏览器的第一反应不是连接,而是翻账本。它先查自己的缓存记忆,再翻系统的地址簿——如果最近访问过,IP地址就躺在那里,直接取用。

这个本地缓存机制,让重复访问的响应时间从数百毫秒压缩到个位数。

没命中?真正的接力才开始。你的请求被抛给DNS解析器,通常是运营商提供的默认服务。这个"中间人"并不掌握答案,它只是问题的转述者,带着你的域名一路追问下去。

第一层是根服务器。全球只有13组逻辑根服务器(由字母A到M命名),它们不告诉你IP在哪,只指向下一个路口:".com去找那台,.org去问那边"。

第二层是顶级域服务器(TLD)。你输入的.com、.net、.cn在这里被认领,它继续甩锅:去找管这个具体域名的权威服务器。

第三层,权威名称服务器终于掏出底牌——google.com对应的IP地址。解析器揣着答案返程,沿途各层都把这条记录暂存一份,下次有人问起,直接抄近道。

打开网易新闻 查看精彩图片

35年没换架构,为什么还没崩

35年没换架构,为什么还没崩

DNS的设计者Paul Mockapetris在1983年提交RFC 882时,大概没料到这套三级查询机制要扛住2024年的流量。但核心架构至今未变,靠的是两个土办法:

缓存无处不在。从浏览器到系统到解析器到各级服务器,每层都存一份答案。TTL(生存时间)机制让旧数据自动过期,平衡了速度与准确性。

分布式拒绝单点故障。根服务器用任播(Anycast)技术在全球部署了上千个物理节点,你查询的"根"其实是离你最近的那台镜像。2016年针对根服务器的DDoS攻击峰值达1Tbps,服务没瘫——攻击流量被稀释到各地节点,像拳头打进棉花。

但这套系统有个原生漏洞:查询过程是明文的。

你的ISP、中途任何网络节点,都能看到你在访问什么网站。2018年Cloudflare推出1.1.1.1时,主打卖点不是速度,是"我们承诺不记录查询日志"——这反向证明了传统DNS的隐私裸奔。

DoH和DoT:给老系统打补丁

DoH和DoT:给老系统打补丁

HTTPS(超文本传输安全协议)普及后,网页内容加密了,但域名查询仍裸奔。这好比信封里的信纸加密了,信封上的收件人地址却人人可见。

DNS over HTTPS(DoH)和DNS over TLS(DoT)是两种修补方案。DoH把查询包进HTTPS流量里,和你的网页请求混在一起,中间人无从分辨;DoT单独建立加密通道,专门护送域名查询。

打开网易新闻 查看精彩图片

Firefox 2019年默认启用DoH时,英国互联网服务提供商协会直接抗议,称这会"绕过家长控制和内容过滤"。争议暴露了本质:加密DNS动了谁的蛋糕——那些靠分析用户查询来投放广告或实施审查的中间商。

Chrome的应对更圆滑。它不强制默认,而是检测当前DNS是否支持DoH,支持就自动升级,不支持就维持原状。用户无感知,争议最小化,典型的Google式妥协。

1.1.1.1和8.8.8.8的军备竞赛

1.1.1.1和8.8.8.8的军备竞赛

公共DNS解析器的竞争,本质是信任投票。Google的8.8.8.8 2009年上线,凭借全球任播节点和免费策略,迅速成为事实标准。Cloudflare的1.1.1.1 2018年入局,用"隐私优先"差异化切割市场。

国内用户更熟悉的是阿里223.5.5.5或腾讯119.29.29.29。选择公共DNS的动机通常是:运营商DNS劫持广告、解析速度慢、或者某些网站被"污染"指向错误IP。

但换DNS不是万能药。它解决的是"域名→IP"的映射问题,不是网络连通性问题。 网站打不开时,先ping IP再ping域名,能快速定位是DNS故障还是路由故障——这个排查动作,很多运维工程师至今仍在用。

Cloudflare 2023年推出1.1.1.1 for Families,在解析层过滤恶意软件和成人内容。这功能本该由操作系统或浏览器提供,但DNS层拦截更彻底:所有应用、所有设备、所有流量,无一漏网。

技术圈有个冷笑话:DNS是互联网唯一真正去中心化的服务——根服务器由不同机构托管,顶级域由各国管理,权威服务器归属千万域名持有者。但讽刺的是,普通用户的解析请求,却高度集中在少数几家公共服务商手里。

2024年3月,ICANN批准了DNS over QUIC(DoQ)的新标准草案。QUIC协议比TCP更快,比UDP更可靠,Google已经在Chrome实验性支持。这场给35岁老系统打补丁的工程,还远没到终局。

你的浏览器现在用的是哪家DNS?在地址栏输入chrome://net-internals/#dns(Chrome)或about:networking#dns(Firefox),能看到实时查询记录——这个隐藏面板,多数人从未打开过。