DNS的作用

DNS域名系统 (Domain Name System)，它的的作用为，将域名解析为IP 地址，域名和IP地址联系在一起进行服务，这样可不必不用输入IP地址，而是通过输入网址访问网站。

每个IP地址都可以有一个主机名，主机名由一个或多个字符串组成，字符串之间用小数点隔开。有了主机名，就不要死记硬背每台IP设备的IP地址，只要记住相对直观有意义的主机名就行了。这就是DNS协议的功能。

扩展资料

DNS功能映射

1、静态映射，每台设备上都配置主机到IP地址的映射，各设备独立维护自己的映射表，而且只供本设备使用。

2、动态映射，建立一套域名解析系统（DNS），只在专门的DNS服务器上配置主机到IP地址的映射，网络上需要使用主机名通信的设备，首先需要到DNS服务器查询主机所对应的IP地址。

通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。在解析域名时，可以首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

DNS重要性

1、技术角度看

DNS解析是互联网绝大多数应用的实际寻址方式； 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。

2、资源角度看

域名是互联网上的身份标识，是不可重复的唯一标识资源； 互联网的全球化使得域名成为标识一国主权的国家战略资源。

DNS查询类型

1、查询方式上分

递归查询：要么做出查询成功的响应，要么做出查询失败的响应。一般客户机和服务器之间属于递归查询，即当客户机向DNS 服务器发出请求后，若DNS服务器本身不能解析，则会向另外的DNS 服务器发出查询的请求，得到结果后转交给客户机。

迭代查询：服务器受到一次迭代查询回复一次结果，这个结果不一定是目标IP 与域名的映射关系，也可以时其他DNS服务器的地址（为了更进一步的获取目标IP）。

2、从查询内容上分

正向查询由域名查询IP 地址。

反向查询由IP 地址查询域名。

参考资料来源：百度百科-dns

出品 | 大鲸项目组

作者 | 雨林下

头图 | 视觉中国

如今，国家间的数据之争，也意味着资源之争。

当互联网大部分的标识规则主导权都掌握在欧美手中时，中国如何在网络标识空间中维护数据主权和信息安全？

工业互联网标识体系的出现，带来了答案。

它通过条形码、二维码、无线射频识别标签等方式，承载着每一个实体或虚拟对象的相关数据，又被称做“数字世界的身份证”。在微观上便于企业快速整合内部资源，高效管控生产模式，降低数字化成本，宏观层面可极大利好我国信息化建设的自主可控。

本文为“ 2022大鲸榜·产业数字化 ”系列专题报道，虎嗅访谈多位专家评委，呈现关键行业故事和趋势，这一期，我们和大鲸导师陈剑聊了聊工业互联网标识体系的安全防护功能。

陈剑是中国信息通信研究院工业互联网与物联网研究所主任工程师，域名、工业互联网标识领域技术专家，牵头建设多项域名、工业互联网标识相关国家级工程，对域名、DNS基础设施及其安全技术体系、工业互联网标识技术体系有多年深入研究。

以下为虎嗅对话实录，经编辑整理：

虎嗅调研：传统互联网的DNS域名系统已经发展了很多年，是很成熟的网络基础设施了，为什么还要发展工业互联网标识体系？

陈剑：一方面是安全问题。最早DNS设计协议的时候初衷较简单，就是建立站点和IP地址的映射，主要是满足域名解析的高效性和部署的低成本，并没有考虑太多安全因素，以至于不断出现有网络攻击的威胁。

第二点是交互能力不足。在DNS系统中，点对点的端点交互较为困难，单个域名和域名之间没有任何交互，对身份识别、权限控制也没有优势。

但工业互联网的标识体系，它具备相对高的安全性，不仅数据和传输通道可以加密，另外它依托的上下游服务也可以建立一个可信链。同时，它的协议设计更具扩展性，携带内容和属性更丰富，加之数据对象实现了编码统一，可以互联互通，打破信息孤岛。

还有很重要的一点，就是架构设计导致数据隐私可控性不同。

传统的互联网的DNS架构下，根和.COM等境外顶级域的解析数据都会跨境，基于该海量数据分析可对当地经济情况和 社会 生态进行一定的分析，这并不利于隐私数据保护。

而现在这套工业互联网标识架构设计，既能做到国际互联互通，又能尊重各国需求，达成半开放性的共识机制。架构中设计有一层国家顶级节点，我们所有工业互联网标识解析访问的第一跳都会首先到这个节点，保护关键数据不出境或少出境。面对复杂的国际形势，这其实也是保护国家数据隐私的手段。

虎嗅调研：中国为什么会缺失互联网标识制度的国际话语权？

陈剑：我国的标识体系起步较晚，管理滞后，商业模式封闭，没有形成产业力量和统一的标准体系，导致错失了行业发展的战略机遇。而且中国加入全球互联网进程的时间也比较晚，整体在网络空间的规则主导权和话语权都相对欠缺，像早期DNS体系标准制定时，基本是由国外机构进行主导，我国能参与的空间非常有限。

虎嗅调研：工业互联网标识体系能为我国在国际网络空间的基础资源领域带来哪些机遇？

陈剑：其实在国际网络中也存在发展不平衡和两极分化，这其中会面临很多的风险。最近的俄乌冲突就可以看到，俄罗斯受到的众多制裁中，就有网络相关制裁，导致本地基础网络服务受到影响。

所以，作为比DNS域名体系更先进的标识解析体系，工业互联网标识解析体系在保护我国工业数据的同时，也是我国新的机遇，一个在网络标识体系建设上弯道超车的机遇。

除了做国家顶级节点，我们中国信息通信研究院还在做一个“星火·链网”的基础设施建设项目。

“星火·链网”的底层是基础存证平台，能为主链上的所有数据提供存证服务。

星火可信存证“星火·链网”提供的一项公共服务，通过将骨干节点用户及可信企业用户的信息上链存证共享，并作为纠纷发生时无法篡改的电子证据，实现全流程留痕，全链路可信，公信力强、法律效力高；星火可信时间认证是基于高精度时钟和国家授时中心的授权，签发的电子证书文件，用于证明电子数据产生的时间权威性。

我们的愿景是通过一个共荣生态，建立全球平等互治并且可以高效参与数据安全的大标识体系。

虎嗅调研：工业互联网标识体系在国内的推进如何，实践中会遇到哪些阻力？

陈剑：国内工业互联网标识解析体系经过近四年时间的发展，已经在多个行业开展了规模性的应用实践，取得了初步成果。

遇到比较常见的一种阻力是，企业已建设了自己的信息化系统，而且也已能满足大部分的需求，如果再切换、对接到工业互联网标识体系，在整体运营效率没有质变的情况下，企业不太愿意投入成本去做改造。

产业发展本来就是一个过程，只有越来越多的企业介入，大家才能形成体系和生态，而且随着数据的深度挖掘，它的价值也会越来越凸显。

虎嗅调研：可否列举一下标识解析技术在具体工业场景中的运用？

陈剑：我们之前做过北汽福田的 汽车 全产业链案例，标识解析的作用体现得很典型。

前期物料采购、生产打刻环节，零部件企业根据行业规范对产品本体进行激光标识，多级箱码关联，在标识编码分配时，由 汽车 行业工业互联网标识解析体系统一授码，一物一码。

到了物流运输、到货质检、仓库管理的供应链环节，企业通过扫码出入库以保证零部件的信息采集及数据交换。

在车辆运营环节，通过扫描产品标识，用户可以查看型号参数、文字视频等公开资料，工作人员可以参看图纸、装车清单、质检情况、维修 历史 等内部信息，实现销售车辆在主机厂、经销商、终端客户间的信息共享。

汽车 后市场中，通过车辆标识及时跟踪车辆状态，可以随时掌握车辆运行状态，及时感知车辆损坏部位，为车主提醒故障、指导驾驶行为指导和报修等服务，为 汽车 建立全生命周期档案。售后维修过程中，也可以通过标识服务对索赔件进行验证，确保该索赔件是原车件或质保范围内的配件，防止骗保，一年估算能帮企业减少索赔金额上亿元。

虎嗅调研：未来的技术应用趋势是什么？

陈剑：在技术方面，工业互联网标识标准化程度还远远不够，需要继续加强，同时也要重视安全防护能力。未来，一种可能的标识应用趋势，是在工业园区建立数字化赋能的中枢，包括标识、算力、数据服务等各种基础设施，为所覆盖区域的工业企业形成低成本、高协作的运营模式。

「大鲸榜」，是由虎嗅智库发起的产业研究性榜单评选，旨在用前瞻性的眼光持续寻找数字化领域有远见、有持续创新动力的成长型企业，通过深度报告、多维洞察、案例解读、定制咨询等新型研究服务，来推动中国产业数字化发展。

精彩预告：「502线上同行」

RPA（机器人流程自动化），是指利用机器人技术，完成企业经营中标准化程度较高的工作，以此代替人工。火热过后，近两年来面临着项目运维成本高、部署“烂尾”的问题，它是否真的能帮助企业降本增效？

5月26日，虎嗅将举办2 3小时的「RPA实施经验谈」线上交流会，围绕RPA技术迭代趋势、企业部署案例分析，未来超自动化方向等问题，邀请金智维、达观数据、弘玑Cyclone、来也 科技 等数位头部RPA厂商负责人及部署企业负责人深入探讨RPA应用的利与弊。

本内容为作者独立观点，不代表虎嗅立场。未经允许不得转载，授权事宜请联系 hezuo@huxiu.com

正在改变与想要改变世界的人，都在 虎嗅APP

刚被设计出来的 DNS 就会同时使用 UDP 和 TCP 协议，对于绝大多数的 DNS 查询来说都会使用 UDP 数据报进行传输，TCP 协议只会在区域传输（它的作用就是在多个命名服务器之间快速迁移记录，由于查询返回的响应比较大，所以会使用 TCP 协议来传输数据包）的场景中使用，其中 UDP 数据包只会传输最大 512 字节的数据，多余的会被截断；DNS 记录中存储的数据会越来越多，同时显示的指出了发现 UDP 包被截断时应该通过 TCP 协议重试。

使用 UDP 进行传输的 DNS 查询和响应最大不能超过 512 字节，不能支持大量 IPv6 地址或者 DNS 安全签名等记录的传输；

EDNS 为 DNS 提供了扩展功能，让 DNS 通过 UDP 协议携带最多 4096 字节的数据；能够帮助我们在一定程度上解决大数据包被截断的问题，减少了使用 TCP 协议进行重试的需要，但是由于最大传输单元的限制，这并不能解决所有问题。所以提出了使用 TCP 协议作为主要协议来解决 UDP 无法解决的问题，TCP 协议也不再只是一种重试时使用的机制

现在的网路状况使我们不仅遇到了 IPv4 即将无法分配的状况，而且还需要引入 DNSSEC 等机制来保证 DNS 查询和请求的完整性以及传输安全，总而言之，DNS 协议需要处理的数据包越来越大、数据也越来越多，但是『为什么当需要传输的数据较多时我们就必须使用 TCP 协议呢？』，如果继续使用 UDP 协议就不能完成 DNS 解析么。

从理论上来说，一个 UDP 数据包的大小最多可以达到 64KB，这对于一个常见的 DNS 查询其实是一个非常大的数值；但是在实际生产中，一旦数据包中的数据超过了传送链路的最大传输单元（MTU，也就是单个数据包大小的上限，一般为 1500 字节），当前数据包就可能会被分片传输、丢弃，部分的网络设备甚至会直接拒绝处理包含 EDNS 选项的请求，这就会导致使用 UDP 协议的 DNS 不稳定。

TCP 作为可靠的传输协议，可以非常好的解决这个问题，通过序列号、重传等机制能够保证消息的不重不漏，消息接受方的 TCP 栈会对分片的数据重新进行拼装，DNS 等应用层协议可以直接使用处理好的完整数据。同时，当数据包足够大的时候，TCP 三次握手带来的额外开销比例就会越来越小，与整个包的大小相比就会趋近于 0

所以，我们在 DNS 中存储较多的内容时，TCP 三次握手以及协议头带来的额外开销就不是关键因素了，不过我们 TCP 三次握手带来的三次网络传输耗时还是没有办法避免的，这也是我们在目前的场景下不得不接受的问题。

很多人认为 DNS 使用了 UDP 协议来获取域名对应的 IP 地址，这个观点虽然没错，但是还是有一些片面，更加准确的说法其实是 DNS 查询在刚设计时主要使用 UDP 协议进行通信，而 TCP 协议也是在 DNS 的演进和发展中被加入到规范的：

DNS 查询选择 UDP 或者 TCP 两种不同协议时的主要原因：

无论是选择 UDP 还是 TCP，最核心的矛盾就在于需要传输的数据包大小，如果数据包小到一定程度，UDP 协议绝对最佳的选择，但是当数据包逐渐增大直到突破 512 字节以及 MTU 1500 字节的限制时，我们也只能选择使用更可靠的 TCP 协议来传输 DNS 查询和相应。

为什么 DNS 会使用 UDP 协议，假如使用 TCP 协议又会发生什么呢？

---