為什么 DNS 協(xié)議使用 UDP？只使用了 UDP 嗎？

為什么 DNS 協(xié)議使用 UDP 呢？這個(gè)問題可能大部分同學(xué)在各種博客或者面試過程中都或多或少遇見過，張口就來，UDP 快啊，DNS 使用 UDP 使得打開網(wǎng)頁速度更快。

那各位有沒有想過，既然 UDP 更快，為什么 HTTP 不使用 UDP 呢？

另外，為什么 DNS 協(xié)議使用 UDP 這個(gè)問題本身其實(shí)并不完全正確，DNS 并非只使用 UDP 協(xié)議，它同時(shí)占用了 UDP 和 TCP 的 53 端口，作為單個(gè)應(yīng)用層的協(xié)議，DNS 同時(shí)使用兩種傳輸協(xié)議也屬實(shí)是個(gè)另類了。

DNS 為什么同時(shí)使用 TCP 和 UDP

我們從 TCP 與 UDP 的比較說起，老生常談的話題，不過相信大部分同學(xué)都會(huì)忽略掉一個(gè)點(diǎn)，等下會(huì)指出來。

OK，輕松環(huán)節(jié)，閉著眼睛背：

1）TCP 需要三次握手建立連接，四次揮手釋放連接；UDP 不需要，面向無連接

2）TCP 首部需要 20 個(gè)字節(jié)；而 UDP 首部只有 8 個(gè)字節(jié)

3）TCP 具有一系列保證可靠傳輸?shù)臋C(jī)制；而 UDP 盡最大努力交付，不提供可靠傳輸?shù)臋C(jī)制，如果在數(shù)據(jù)傳輸?shù)倪^程中出現(xiàn)部分?jǐn)?shù)據(jù)的丟失，UDP 協(xié)議本身并不能做出任何檢測或補(bǔ)救措施

4）正是由于 UDP 沒有了可靠傳輸機(jī)制，所以速度遠(yuǎn)遠(yuǎn)快于 TCP，在某些情況下 UDP 是一種最有效的工作方式，一般用于即時(shí)通信，比如：語音電話、 直播等等；而 TCP 一般用于文件傳輸、發(fā)送和接收郵件、遠(yuǎn)程登錄等準(zhǔn)確性要求比較高的場景

上面這些是最基本的吧。

接下來講的這個(gè)點(diǎn)，也就是很多人容易忽略的點(diǎn)，和 DNS 為什么需要同時(shí)使用 UDP 和 TCP 這個(gè)問題息息相關(guān)：

• 那就是 TCP 是面向字節(jié)流的，而 UDP 是面向報(bào)文的

解釋一下這句話，我們知道，TCP 具有序列號(hào)機(jī)制，發(fā)送方會(huì)把一個(gè)大的 HTTP 報(bào)文按序號(hào)分割成若干報(bào)文段并加上 TCP 首部，也就是封裝成 TCP 報(bào)文段。那么接收方在收到這些 TCP 報(bào)文段后，就會(huì)按照序號(hào)以原來的順序重組 HTTP 報(bào)文。這就是面向字節(jié)流的 TCP。

而所謂 UDP 面向報(bào)文，發(fā)送方的 UDP 對(duì)應(yīng)用層交付下來的 HTTP 報(bào)文， 在添加 UDP 首部后也就是封裝成 UDP 報(bào)文，就向下交付給網(wǎng)絡(luò)層 IP 協(xié)議。不做任何的拆分與合并，主要就是因?yàn)?UDP 沒有像 TCP 一樣的序列號(hào)機(jī)制來標(biāo)識(shí)報(bào)文，所以默認(rèn)只有一個(gè) UDP 報(bào)文。

UDP 這么做就會(huì)導(dǎo)致一個(gè)問題。

互聯(lián)網(wǎng)上物理鏈路的最大傳輸單元 = 576 字節(jié)，為了在物理鏈路上順利傳輸，UDP 報(bào)文不能超過 576 字節(jié)，為此，UDP 報(bào)文被限制在 512 字節(jié)以內(nèi)。

而 DNS 由于大面積使用了 UDP，這樣一旦 DNS 報(bào)文超過 512 字節(jié)，基于 UDP 的 DNS 報(bào)文就只有拋棄多出來的 64 字節(jié)，截短為 512 字節(jié)，那么用戶得到的 DNS 報(bào)文就是不完整的。

如何解決這個(gè)問題呢？

沒錯(cuò)，最簡單的方式就是使用 TCP。盡管速度可能相之 UDP 較慢，但對(duì)于得到完整的 DNS 報(bào)文，速度慢一點(diǎn)也可以忍受。

DNS 分別在什么情況下使用 UDP 和 TCP

了解了 TCP 面向字節(jié)流而 UDP 面向報(bào)文的這個(gè)特性之后，在域名解析的時(shí)候，也就是客戶端向 DNS 服務(wù)器查詢域名獲取 IP 地址的時(shí)候，DNS 協(xié)議關(guān)于 UDP 和 TCP 的選擇通?？梢苑譃橐韵聝煞N情況：

1）若客戶端事先知道 DNS 響應(yīng)報(bào)文的長度會(huì)大于 512 字節(jié)，則應(yīng)當(dāng)直接使用 TCP 建立連接

2）若客戶端事先不知道 DNS 響應(yīng)報(bào)文的長度，一般會(huì)先使用 UDP 協(xié)議發(fā)送 DNS 查詢報(bào)文，若 DNS 服務(wù)器發(fā)現(xiàn) DNS 響應(yīng)報(bào)文的長度大于 512 字節(jié)，則多出來的部分會(huì)被 UDP 拋棄（截?cái)?TrunCation），那么服務(wù)器會(huì)把這個(gè)部分被拋棄的 DNS 報(bào)文首部中的 TC 標(biāo)志位置為 1，以通知客戶端該 DNS 報(bào)文已經(jīng)被截?cái)唷？蛻舳耸盏街髸?huì)重新發(fā)起一次 TCP 請(qǐng)求，從而使得它將來能夠從 DNS 服務(wù)器收到完整的響應(yīng)報(bào)文。

當(dāng)然了，在域名解析的時(shí)候，一般返回的 DNS 響應(yīng)報(bào)文都不會(huì)超過 512 字節(jié)，用 UDP 傳輸即可。事實(shí)上，很多 DNS 服務(wù)器進(jìn)行配置的時(shí)候，也僅支持 UDP 查詢包。

不過，DNS 不僅存在域名解析的過程，還有區(qū)域傳輸的過程，而在進(jìn)行區(qū)域傳輸?shù)臅r(shí)候 DNS 會(huì)強(qiáng)制使用 TCP 協(xié)議。

什么是區(qū)域傳輸？

這就不得不提一下主域名服務(wù)器和輔助域名服務(wù)器。

設(shè)置域名服務(wù)器時(shí)，服務(wù)器管理員可以選擇將域名服務(wù)器指定為主服務(wù)器還是輔助服務(wù)器（也稱為從服務(wù)器）。

主域名服務(wù)器負(fù)責(zé)維護(hù)一個(gè)區(qū)域的所有域名信息，是特定的所有信息的權(quán)威信息源，數(shù)據(jù)可以修改。主服務(wù)器直接從本地文件獲取此信息。只能在主服務(wù)器上更改區(qū)域的 DNS 記錄，然后主服務(wù)器才能更新輔助服務(wù)器。

當(dāng)主域名服務(wù)器出現(xiàn)故障、關(guān)閉或負(fù)載過重時(shí)，輔助域名服務(wù)器作為主域名服務(wù)器的備份提供域名解析服務(wù)。輔助域名服務(wù)器中的區(qū)域文件中的數(shù)據(jù)是從主域名服務(wù)器中復(fù)制過來的，無法自行修改。

其實(shí)就是主從的概念，各位應(yīng)該也都比較熟悉了。主域名服務(wù)器用來寫，輔助域名服務(wù)器用來讀，提供負(fù)載均衡的能力，緩解主域名服務(wù)器的壓力。

那么所謂區(qū)域傳輸（zone transfer）呢，就是輔助域名服務(wù)器與主域名服務(wù)器通信，并同步數(shù)據(jù)信息的過程。

輔域名服務(wù)器會(huì)定時(shí)向主域名服務(wù)器進(jìn)行查詢以便了解數(shù)據(jù)是否有變動(dòng)。如有變動(dòng)，則會(huì)執(zhí)行一次區(qū)域傳輸。區(qū)域傳輸使用 TCP 而不是 UDP，因?yàn)?strong style="color: rgb(53, 179, 120);">數(shù)據(jù)同步傳送的數(shù)據(jù)量比一個(gè) DNS 請(qǐng)求和響應(yīng)報(bào)文的數(shù)據(jù)量要多得多。

文章開頭提到的既然 UDP 更快，為什么 HTTP 不使用 UDP 呢？這個(gè)問題的答案也大抵如此。

由于互聯(lián)網(wǎng)的不安全性，我們需要數(shù)字證書并攜帶數(shù)字簽名來保證數(shù)據(jù)的安全性，為此，整個(gè) HTTP 報(bào)文的大小已經(jīng)遠(yuǎn)遠(yuǎn)超過 512 字節(jié)，無法使用 UDP 傳輸。

小結(jié)

綜上，總結(jié)下，雖然 UDP 速度更快，DNS 協(xié)議也確實(shí)大面積使用了 UDP，但是由于 UDP 面向報(bào)文、只能傳輸小于 512 字節(jié)的特性，DNS 并非只使用了 UDP，具體的 TCP 和 UDP 使用場景如下：

• DNS 在域名解析的過程中，會(huì)根據(jù) DNS 響應(yīng)報(bào)文的大小選擇使用 TCP 還是 UDP。但是一般情況下，返回的 DNS 響應(yīng)報(bào)文都不會(huì)超過 512 字節(jié)，所以事實(shí)上，很多 DNS 服務(wù)器進(jìn)行配置的時(shí)候，也僅支持 UDP 查詢包；
• DNS 在進(jìn)行區(qū)域傳輸?shù)臅r(shí)候使用 TCP 協(xié)議。