dns面试题,手机vps,vps还能干啥,马来西亚原生vps,免备案vps云主机

🗣 Wd提问: dns面试题

🤖 Ai回答:
以下是一些常见的 DNS 面试题，适用于网络工程师、系统管理员、DevOps 工程师或网络安全相关岗位的面试准备。问题从基础到进阶，涵盖 DNS 原理、配置、安全与故障排查等方面。

一、基础概念类

1、什么是 DNS？它的作用是什么？
DNS（Domain Name System）是域名系统，用于将人类可读的域名（如 `www.google.com`）解析为机器可识别的 IP 地址（如 `8.8.8.8`）。它相当于互联网的“电话簿”。

2、DNS 使用的是 TCP 还是 UDP？为什么？
DNS 查询通常使用 UDP，因为查询小、速度快，适合无连接传输。但当响应数据超过 512 字节时，会使用 TCP（通过设置截断标志 TC=1 后重试 TCP）。区域传输（Zone Transfer）必须使用 TCP。

3、DNS 的工作流程是怎样的？请描述一次完整的递归查询过程。
示例：用户访问 `www.65.hk`
1、客户端向本地 DNS 服务器（如 ISP DNS）发起查询；
2、若本地 DNS 缓存无记录，则向根域名服务器查询 `.com` 的权威服务器；
3、根服务器返回 `.com` TLD 服务器地址；
4、本地 DNS 向 `.com` TLD 服务器查询 `65.hk` 的权威服务器；
5、TLD 返回权威服务器地址；
6、本地 DNS 向权威服务器查询 `www.65.hk` 的 A 记录；
7、权威服务器返回 IP 地址；
8、本地 DNS 将结果返回客户端并缓存。

4、递归查询和迭代查询的区别是什么？
递归查询：客户端请求 DNS 服务器必须给出最终答案（无论是否需要自己去查）。
迭代查询：DNS 服务器若不知道答案，会返回一个可能知道的服务器地址，由请求方继续查询。

5、常见的 DNS 记录类型有哪些？分别有什么作用？
`A`：IPv4 地址记录
`AAAA`：IPv6 地址记录
`CNAME`：别名记录，指向另一个域名
`MX`：邮件交换记录，指定邮件服务器
`NS`：域名服务器记录，指定该域的权威 DNS 服务器
`TXT`：文本记录，用于 SPF、DKIM、验证等
`PTR`：反向解析记录，IP 到域名
`SOA`：起始授权记录，包含区域信息（主 DNS、序列号等）
`SRV`：服务定位记录，如 `_sip._tcp.65.hk`

二、配置与管理类

6、如何在 Linux 中手动测试 DNS 解析？列举常用命令。
`nslookup www.65.hk`
`dig www.65.hk A +short`
`host www.65.hk`
`ping`（间接测试）

7、dig 命令中 @ 符号的作用是什么？例如 `dig @8.8.8.8 google.com`
指定使用哪个 DNS 服务器进行查询，这里表示向 `8.8.8.8` 发起查询，绕过本地默认 DNS。

8、什么是 DNS 缓存？缓存在哪些层级？
DNS 缓存是为了提高解析速度，减少查询延迟。
层级包括：
浏览器缓存
操作系统缓存（如 Windows DNS Client 服务）
路由器/本地 DNS 服务器缓存
ISP DNS 缓存

9、如何清除本地 DNS 缓存？（Windows/Linux/macOS）
Windows: `ipconfig /flushdns`
Linux (systemd-resolved): `sudo systemd-resolve flush-caches`
macOS: `sudo dscacheutil -flushcache` 或 `sudo killall -HUP mDNSResponder`

10、什么是 DNS 劫持？如何防范？
DNS 劫持是指攻击者篡改 DNS 解析结果，将用户导向恶意网站。
防范措施：
使用可信 DNS 服务商（如 8.8.8.8、1.1.1.1）
启用 DNSSEC
使用加密 DNS（如 DoH、DoT）
定期检查路由器 DNS 设置

三、高级与安全类

11、什么是 DNSSEC？它解决了什么问题？
DNSSEC（DNS Security Extensions）通过数字签名验证 DNS 数据的真实性，防止 DNS 欺骗和缓存投毒。它确保响应来自合法的权威服务器，但不提供加密（仅完整性与认证）。

12、DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 有什么区别？
| 特性 | DoH | DoT |
|
| 协议 | HTTP/HTTPS | TLS |
| 端口 | 443 | 853 |
| 加密 | 是 | 是 |
| 隐蔽性 | 更好（混在 HTTPS 流量中） | 易被防火墙识别 |
| 配置复杂度 | 较高 | 相对简单 |

13、什么是 DNS 泛解析（Wildcard DNS）？有何风险？
泛解析是指配置 `*.domain.com` 指向某个 IP，使得所有未定义的子域名都能解析。
风险：可能导致信息泄露、钓鱼攻击、扫描暴露内网服务。

14、如何排查 DNS 解析失败的问题？列出排查步骤。
1、检查网络连通性（ping 网关）
2、检查本机 DNS 配置（`/etc/resolv.conf` 或网络设置）
3、使用 `nslookup/dig` 测试不同 DNS 服务器
4、检查是否被防火墙拦截 DNS 请求（53 端口）
5、查看缓存是否污染
6、检查域名是否过期或 DNS 记录配置错误
7、使用 `traceroute` 或 `mtr` 分析路径

15、什么是 DNS 缓存投毒（Cache Poisoning）？如何防御？
攻击者伪造 DNS 响应，使 DNS 服务器缓存错误的 IP 映射。
防御方法：
使用随机化查询 ID 和源端口
启用 DNSSEC
限制递归查询范围（只允许内网用户）
更新 DNS 软件（如 BIND 最新版）

四、实战与场景题

16、你的网站 `app.mycompany.com` 无法访问，怀疑是 DNS 问题，如何快速诊断？
bash
dig app.mycompany.com +trace 查看完整解析路径
dig app.mycompany.com @8.8.8.8 使用公共 DNS 测试
nslookup app.mycompany.com 1.1.1.1
host app.mycompany.com

检查返回的 IP 是否正确，是否有 NXDOMAIN、SERVFAIL 等错误。

17、如何实现 DNS 负载均衡？
通过在权威 DNS 中为同一个域名配置多个 A 记录（相同优先级），DNS 服务器会轮询返回不同 IP，实现简单的负载均衡（称为 DNS Round Robin）。

18、CDN 是如何利用 DNS 实现就近访问的？
CDN 提供商使用 GSLB（全局服务器负载均衡），通过智能 DNS：
根据用户 DNS 查询的来源 IP，判断其地理位置；
返回离用户最近的 CDN 节点 IP；
实现低延迟访问。

19、BIND 是什么？简述其主要配置文件。
BIND（Berkeley Internet Name Domain）是最流行的开源 DNS 服务器软件。
主要配置文件：
`named.conf`：主配置文件
`named.conf.options`：选项配置
`named.conf.local`：本地区域配置
区域文件（zone files）：存放具体记录（如 `db.65.hk`）

20、如果公司内部需要搭建私有 DNS，你会如何设计？
设计要点：
内部域名规划（如 `internal.company.com`）
部署主从 DNS（Master-Slave）保证高可用
配置条件转发（Conditional Forwarding）
开启日志与监控（如 Prometheus + Grafana）
限制递归查询范围，防止滥用
使用 TSIG 或 IP

Ai作答

📣 商家广告：