說起域名解析失敗,小編平時工作中經常遇到。一旦失敗可不得了,基本代表着對應的業務無法通路了。不過一部分“失敗”指的是請求源向遞歸DNS查詢時候無法解析出結果的情況,并不是真正意義上的失敗。是以小編今天向大家科普下域名解析失敗的幾種情況。
關于DNS-Rcode(DNS傳回碼)
小編首先要介紹一下DNS-Rcode,DNS-Rcode作為DNS應答封包中有效的字段,主要用來說明DNS應答狀态,這可是小編排查域名解析失敗的重要名額。通常常見的Rcode值如下:
- Rcode值為0,對應的DNS應答狀态為NOERROR,意思是成功的響應,即這個域名解析是成功;
- Rcode值為2,對應的DNS應答狀态為SERVFAIL,意思是伺服器失敗,也就是這個域名的權威伺服器拒絕響應或者響應REFUSE,遞歸伺服器傳回Rcode值為2給CLIENT;
- Rcode值為3,對應的DNS應答狀态為NXDOMAIN,意思是不存在的記錄,也就是這個具體的域名在權威伺服器中并不存在;
- Rcode值為5,對應的DNS應答狀态為REFUSE,意思是拒絕,也就是這個請求源IP不在服務的範圍内。
DNS請求失敗的具體分析
綜上,小編可以知道,常見的請求失敗包括:
1、域名記錄不存在,即Rcode值為3(NXDOMAIN)的情況,這種情況下域名權威伺服器及托管的主域名均正常,但是權威并不存在這條具體的域名記錄,于是權威傳回了NXDOMAIN,值的注意的是這個NXDOMAIN的封包中會包含一個AUTHORITY SECTION,内容為改主域名的SOA記錄,這個應答結果會在遞歸伺服器中被緩存,緩存時間周期為域名的SOA記錄的TTL。
2、權威解析失敗,即Rcode值為2(SERVFAIL)的情況,遞歸伺服器會給請求源這個結果的原因是向權威解釋請求異常,包括且不限于權威不響應/或者權威傳回refuse/或者權威傳回servfail,這個SERVFAIL的應答結果當然是一個空結果,不過BIND會強制給這個結果增加一個1S的TTL,是以SERVFAIL的應答會在遞歸伺服器中被緩存,緩存時間周期為1S。
2.1)權威不響應。包括遞歸伺服器至權威伺服器中間的網絡異常在内,遞歸伺服器在發出遞歸請求并完成重試逾時後,給請求源一個SERVFAIL的應答,并緩存1S 。
2.2)權威向遞歸伺服器應答REFUSE。當權威伺服器不存在主域名及對應的SOA記錄時,權威會向遞歸伺服器傳回REFUSE,即不在我服務的範圍内拒絕,遞歸伺服器在收到這個REFUSE應答後,給請求源一個SERVFAIL的應答,并緩存1S。
2.3)權威向遞歸伺服器應答SERVFAIL。當權威伺服器存在主域名但是由于zonefile被破壞導緻權威伺服器上域名的NS記錄異常時,權威會向遞歸伺服器傳回SERVFAIL,即解析失敗,遞歸伺服器在收到這個SERVFAIL應答後,給請求源一個SERVFAIL的應答,并緩存1S 。
2.4)權威向遞歸伺服器應答其他的錯誤Rcode。由于不常見本文就不展開了,遞歸伺服器在收到其他錯誤應答後,給請求源一個SERVFAIL的應答,并緩存1S。
3、拒絕服務,即Rcode值為5(REFUSE)的情況。除了記錄不存在(NXDOMAIN)和解析失敗(SERVFAIL)以外,如果請求源不在遞歸伺服器的服務範圍内,這種情況下遞歸伺服器會直接給請求源一個REFUSE的應答,本地直接應答無緩存。
4、響應成功,但是沒有解析結果,這是一種比較特殊的情況,這種情況是Rcode值為0(NOERROR)的情況。這種情況下域名權威伺服器及托管的主域名均正常,權威本身也存在這條具體的域名記錄,但是沒有對應的記錄類型(不包含CNAME,CNAME是特殊情況,可以響應任意類型的請求),這是權威傳回了NOERROR,值的注意的是這個NOERROR的封包中沒有ANSWER SECTION。但是會包含一個AUTHORITY SECTION,内容為改主域名的SOA記錄,這個應答結果會在遞歸伺服器中被緩存,緩存時間周期為域名的SOA記錄的TTL。
5、還有最後的一種情況,就是遞歸伺服器本身不響應了,這個比較容易了解,如果遞歸伺服器不響應,那麼請求段收不到任何應答,這個時候請求端終端如果有逾時機制則會跑出一個dns請求 timeout的結果。
結論
總體上小編看到,遞歸DNS解析失敗有着多種可能的因素。有了這張神圖,老闆再也不怕小編域名解析失敗了。