DNS 如何工作：互联网的电话簿

想象你想拨打一个朋友的电话，但你只记得他的名字。你需要查一本电话簿来找到他的号码。互联网上每天发生数十亿次类似的事情——但这里的"名字"是你输入的网址，比如 example.com，而"号码"是一个被称为 IP 地址的数字标识符。DNS（域名系统）就是这本电话簿。当你在浏览器中输入一个网址时，DNS 在幕后工作，将人类可读的域名翻译成计算机可以理解的数字地址。这个看似简单的过程实际上涉及多个服务器之间的精心协调，而且——这很重要——在你可能没有意识到的情况下，你的 ISP（互联网服务提供商）可能在监听这个过程中的每一步。 IP 地址、域名和解析器 首先，我们需要理解几个基础概念。IP 地址是互联网上每台计算机的唯一标识符。想象它就像你家的邮政地址——没有它，邮差无法送信。一个 IPv4 地址看起来像 192.0.2.1（四个用点分隔的数字，每个数字在 0 到 255 之间）。域名是我们给这些地址起的人类友好的名字。example.com 比 93.184.216.34 更容易记住。 DNS 解析的过程始于你的设备上称为"存根解析器"的小程序。当你在浏览器中输入 example.com 时，存根解析器会说："我需要找到 example.com 的 IP 地址"，然后询问一个更大的服务器——通常是你的 ISP 提供的递归解析器。这里有个重要的区别：存根解析器是被动的。它只知道一个地方可以问。递归解析器才是做实际工作的。 DNS 查询的四步舞蹈 当递归解析器收到你的查询时，它必须找到答案。它不能直接知道 example.com 的 IP 地址，所以它开始了一个我们称为"递归查询"的过程。首先，它联系一个根名称服务器。互联网上只有 13 套根名称服务器（分布在全球各地）。根服务器不知道 example.com 的地址，但它知道谁管理 .com 顶级域。它会回复："我不知道，但去问 .com 的 TLD（顶级域）服务器"。 递归解析器接着询问 TLD 服务器。TLD 服务器管理所有以 .com 结尾的域名。它同样不知道 example.com 的具体地址，但它知道 example.com 的域名持有者使用哪个权威名称服务器。它回复："去问 example.com 的权威名称服务器"。 最后，递归解析器询问权威名称服务器。这个服务器由 example.com 的管理员维护，它有真正的答案：example.com 的 IP 地址是 93.184.216.34。答案沿着链条返回：权威服务器告诉递归解析器，递归解析器告诉你的存根解析器，存根解析器告诉你的浏览器。你的浏览器现在可以连接到 93.184.216.34，网页就加载了。 这整个过程通常只需要几百毫秒。 DNS 的隐私问题：谁在监听 这里是问题所在：默认情况下，DNS 查询是完全不加密的。当你的设备询问"example.com 的 IP 地址是什么？"时，任何在网络中间的人都能看到这个问题。这意味着你的 ISP 可以看到你查询的每一个域名。他们可以构建一个档案，记录你访问过哪些网站。这不仅涉及你实际访问的主要网站，还包括那些网站加载的所有隐藏的第三方域名——追踪器、广告网络、分析服务。ISP 不仅知道你访问了 news.example.com，还知道那个网站加载的每个追踪像素和广告服务。 其他人也可以看到这一点。在一个共享的公网 WiFi 上，同一网络中的任何人都可以看到你的 DNS 查询（尽管现在大多数操作系统默认使用更安全的方法）。你的政府、你的雇主（如果你在他们的网络上）或任何在你和 ISP 的递归解析器之间进行网络嗅探的人，都可以看到你正在查询的每个域名。 加密 DNS：DoH 和 DoT DNS 社区意识到了这个问题，并创建了两种主要的加密方法。DoH（DNS over HTTPS）通过加密的 HTTPS 连接发送 DNS 查询，这意味着你的查询看起来像是普通的网络流量。DoT（DNS over TLS）在一个加密的 TLS 隧道中发送 DNS 查询。这两种方法都隐藏了你查询内容的细节，但各有权衡：你的 ISP 仍然可以看到你在与哪个 DNS 服务器通信（使用流量分析），而且你开始信任该 DNS 提供商而不是你的 ISP。这不一定更坏，但这是一个不同的权力平衡。 DNS 过滤和审查 DNS 的另一个重要现实是：它是最常见的互联网审查方法，因为它很便宜，而且很容易部署。而不是阻止访问一个网站（这需要在许多地方进行技术工作），一个政府或网络管理员只需告诉 DNS 解析器："当有人询问 blocked-site.com 时，返回一个不存在的地址"或根本不回应。用户得到一个错误，认为网站已关闭。这种方法的有效性取决于用户是否可以改变他们使用的 DNS 提供商。在许多国家，改变 DNS 是可能的。在其他地方，网络过滤更复杂，可能涉及深度包检查或其他方法。 关键要点 DNS 是互联网基础设施的一个基本部分，但它的设计没有考虑隐私。默认情况下，它是透明的、可观察的，这使得 ISP 和任何有网络访问权限的人都可以看到你在查询什么。DoH 和 DoT 提供了改进，但引入了新的权力动态。理解 DNS 如何工作对于理解互联网审查、隐私和网络监控至关重要。当你接下来学习 VPN、代理或网络加密如何工作时，记住 DNS 查询经常被忽视但很容易被观察——这就是为什么完整的网络隐私涉及多个层面的保护。