dns域名查询的两种方式_大多数DNS流量只通过几个NS服务器

域名系统的设计是去中心化的，任何组织都可以运行自己的 DNS 服务器来处理 DNS 查询。实际上，世界上大多数 DNS 流量都通过由不到 10 个组织运营的权威 DNS 服务器进行传输。

DNS 的作用是将域名转换为 IP 地址，相当于互联网的地址簿。当用户输入网站域名时，查询通常会转到递归 DNS，查找对应的计算机地址。如果递归 DNS 没有找到地址，则会查询权威 DNS，权威 DNS 会将域名映射到本地 IP 地址。最后本地服务器将获取到的 IP 返回给用户，并访问网站。

DNS 观测站

根据收集到的统计数据，域名系统可以容纳任意数量的递归服务器和 NS 服务器，但实际上，60% 的 DNS 解析请求仅由 1,000 台 NS 服务器处理。DNS 充当全球 DNS 流量的“望远镜”，因为它允许研究人员查看查询在流经递归 DNS 服务器和权威服务器时的详细信息。

DNS 项目在 2019 年 1 月至 3 月的三个月内处理了超过 1 万亿个 DNS 事务，平均每分钟处理超过 250 万个唯一 DNS 事务。运行自己的递归 DNS 服务器的合作伙伴组织（包括 ISPS、大学和递归 DNS 提供商）为该项目提供数据。

DNS 的研究结果于 3 月份在 MAPRG 会议上公布。研究人员查看了排名前 10,000 的 DNS 服务器（即交易数据中最受欢迎的权威服务器 IP 地址），发现 DNS 流量高度集中在一组相对较小的 IP 上。“真正受欢迎的 NS 服务器”，例如根和 TLD NS 服务器，更有可能是针对随机名称或其他错误名称的查询。

DNS 还调查了 DNS 性能，我们在图 2 中展示了 NS 服务器响应延迟。虽然大多数 NS 服务器的响应时间不到 30 毫秒，但五分之一的名称仍需要超过 100 毫秒。这表明，通过更靠近解析器进行复制，有很大的改进空间。

互联网依赖于 DNS 的完整性和弹性，这就是系统应该去中心化的原因。即使一个递归服务器离线，其他递归服务器也可以承担负载，直到递归服务器恢复。如果递归服务器的目标信息不正确，它只会影响依赖该名称服务器的用户，解析器将在初始记录过期后获取正确的目标。然而，大多数流量都经过相同的服务器，这意味着 DNS 上的错误或攻击可能会影响更多用户和更多机器。

Paul Vixie 的观点

互联网先驱、安全创始人保罗·维克西 (Paul Vixie) 一直在警告 DNS 服务器的日益整合。太多用户依赖 和其他少数组织运营的 DNS 服务器，而不是运行自己的服务器或使用其 ISP 运营的服务器。当维克西最初设计 DNS 时（他设计并部署了许多 DNS 协议扩展和应用程序，包括动态更新、网络信誉和 BIND 开源软件），他预计名称解析器将在地理位置上靠近用户，从而缩短查询时间。

Vixie 解释说，主服务器数量有限，加上哪些服务器将尝试响应不存在的域的查询或涉及 IPv4 和 IPv6 地址的查询的服务器行为，意味着域名解析时间随着时间的推移逐渐增加。

其他组织（例如 、IBM 等）承诺提高性能和安全性，以换取了解人们上网行为的权限。随着时间的推移，用户失去了对其 DNS 数据的控制权。

Vixie 表示：“我们不能让大型科技公司决定人类的未来。”