2025年6月26日，以“网络根基 中国贡献”为主题的第四届下一代DNS发展论坛在京举行。在同期活动“筑牢网络根基 赋能金融科技”——金融网络基础设施工作会上，互联网域名系统国家地方联合工程研究中心（ZDNS）金融行业首席专家陈政以《打造韧性服务能力——金融行业DNS演进方向探索》为题分享，以下为演讲实录：

　　互联网（外网）和内网，对于金融行业的使用者而言有所差异：在互联网，我们更多的角色是参与者，只是其中一环；在内网，我们是建设者。DNS作为基础服务，随着其使用程度越来越深，更加需要韧性服务能力，以支撑业务侧的韧性建设。

　　DNS是互联网的入口，我们每一次生活中与网络的交互都伴随着DNS的使用，它是整个信息系统冰山下的一部分——虽然看不见但发挥着关键作用，一旦出现问题，造成的影响范围大、程度深。

　　互联网韧性服务能力建设

　　一、DNS协议演进与两大体系性风险

　　DNS历经30余年发展，已从替代HOST文件的基础协议演变为包含200余项RFC标准、90种资源类型的复杂体系。DNS协议发展至今，成为分布式的DNS体系在运行，其风险也存在于多个环节。要剖析DNS体系所面临的风险，需要从域名注册管理和域名解析服务两方面来看：

　　域名注册管理体系包括顶级域名分配机构（ICANN）、域名注册管理机构（注册局）、域名注册服务机构（注册商）。

　　域名解析服务体系包括根、顶级域名、二级域名、运营商递归解析，以及操作系统解析器。

　　域名注册管理机构可能出现的风险，主要原因是域名管理权缺失。没有顶级域名的企业需要将自己的域名注册在域名注册管理机构（顶级域名拥有者）之下，可通过域名注册服务机构获得此项服务。阿里云“停服”事件反映出：域名注册管理机构可以依据当地法律法规，在不通知用户的情况下关停或修改互联网域名相关信息，造成域名停用风险，从而导致域名解析中断或更改到其他制定服务器，进而导致依赖于域名的各类数字业务被停用。

　　类似事件还发生在2021年，某国政府以“发布虚假信息”为由关闭了在Verisign管理的.com顶级域名之下的36家与伊朗相关的新闻网站。试想，如果该顶级域名的注册管理机构对中国地区停止服务，会导致所有注册于该顶级域名下的互联网域名运行体系崩塌，域名体系链式特点，使链条上任何一个环节崩塌都会引发巨大的网络事故。

　　域名注册服务机构存在的风险可能是系统升级或者操作上的失误导致域名的权威记录被篡改，致使依赖于域名的互联网在线业务出现失联，而且恢复的时比较长，几乎每年都有发生。

　　域名解析服务体系存在的风险分为递归解析和权威解析两个方面。递归解析风险，2019年曾出现南方六省断网事件，原因是运营商DNS出现问题；2023年4月，广东、广西两个省运营商的DNS也曾经把COM.CN的域名全部劫持了，这种事件也会导致互联网业务受到影响。

　　在权威解析方面，本地权威解析即使二级域名，可能会犹豫缓存投毒、隧道攻击等风险，导致业务中断。

　　从我们接触的金融机构来看，大家再基于互联网的外部风险，对DNS的关注从技术系统本身，已经到服务连续性以外的风险控制。大家普遍关心的问题是：风险怎么消除？怎么控制？

　　二、五层建设韧性服务能力，提升服务连续性和风险控制能力

　　在互联网（外网）侧，金融行业用户都是作为参与者的角色出现，首先要做好自己，从五个方面出发建立完备的架构体系。

　　第一，保障服务连续性。打造本地为主、云端为辅的天地互备架构，保障服务连续性最高；

　　第二，满足业务需求。在保障服务连续性的基础上，打造多活调度、智能解析能力；在业务体验优化、差异化服务上，从互联网行业开始向金融行业的使用上做一些蔓延。

　　第三，建立安全防护体系。满足连续性和业务需求的同时，要建立包括数据安全、服务安全、运行安全、供应链安全在内的安全防护体系。

　　第四，具备风险处置能力。能够第一时间发现风险并快速处置，将业务影响范围和影响程度控制在最低。

　　第五，把握新技术方向。要关注未来发展方向，例如申请顶级域名，让网络数据不再受制于人，增强域名使用的稳定性；采用互联网行业较多的HTTPDNS技术、DSO服务发现机制，通过这些技术强化DNS体系，也是未来演进或探索的方向。

　　三、探索新技术，支撑金融行业业务场景

　　一是基于HTTP协议实现的域名解析技术，通过绕过传统DNS的LocalDNS 服务器，直接向权威DNS服务器发起请求，从而解决域名劫持、跨运营商访问延迟等问题。例如，让用户手机APP客户端可以直接和服务器进行交互，绕开了整个互联网DNS体系，如果出现域名劫持、篡改事件，对于APP端的渠道业务影响范围是相对来说比较小。

　　二是在业务体验提升的场景下，使用SVCB/HTTPS 。RFC 9460和RFC 9461，定义和规范DNS中两种新的资源记录类型——SVCB（Service Binding）和HTTPS，记录内含有的SvcParamKeys （服务参数键）可用于指定协议、端口、IP地址提示等附加信息，使客户端在建立连接之前，可通过一次

　　使用上目前没有那么广泛。这两个记录是在DNS记录的基础上增加了一些更多的字段，比如说解析的域名除了IP以外，可能会携带它的端口，加密使用的域名和相关的信息，这样它可以降低用户在访问加密网站时候交互的次数，节省带宽和增加使用体验。

　　三是有状态DNS（DSO）。有状态DNS（DNS Stateful Operations）可将DNS查询变成一种面向连接的主动推送机制，减少DNS查询时延和网络负载，实现了DNS解析服务的“可订阅”，为业务系统提供更实时的可控的寻址服务。

　　内网DNS韧性服务能力建设

　　一、内网DNS演进路径

　　从ZDNS服务金融行业十余年的经验来看，内网DNS演进路径分为三个阶段：

　　域名化1.0时代，支撑分支接入、主备中心切换的场景。需要DNS解析服务基础可用性、域名规范。在这个阶段，域名开始初步应用，DNS单层架构，多角色与功能集合一身，承载数据中心内外网业务。同时在尝试基于DNS的多活应用，逐

　　域名化2.0阶段，主要是多地、多中心、业务多活，的DNS要具备抗毁能力，具备可观测运维能力，具备智能调度的能力。在这个阶段，域名广泛且深度应用

　　受多地多中心、多云的发展，域名服务已成为重要的基础支撑系统，需对域名服务进行体系化的治理。这也是目前大多数金融机构所处的阶段。

　　域名化3.0阶段，随着域名使用程度越来越深，依赖度越来越高，会进入域名化3.0阶段。对传统DNS的技术革新，引入编排理念、芯片技术；实现对DNS流量的精细控制、毫秒级“无感自愈”；以及面向业务的自动化配置。

　　二、内网DNS面临的潜在挑战

　　服务连续性高要求：内网DNS在大多数使用场景上没问题，但是随着DNS使用程度的日益加深，对服务连续性提出了更高要求。例如以前主备DNS切换超时的时间是2秒或者5秒，随着快捷支付的深入，高敏感的业务无法接受DNS超时带来的影响。

　　高并发快速增加：随着域名化程度的加深和微服务的使用，并发也快速增加，在集中部署模式下，查询量超过20万QPS，触发安全设备防护策略导致限速丢包。

　　运维的压力和效率也会随着配置量的增加出现问题，配置变更、切换演练等运维工作高度依赖管理员，每增加20%的配置量，运维风险上升10%。

　　系统性风险，因为DNS是一个体系，单一故障域因解析链条中的环节崩溃导致服务中断，影响100%的业务交易智能解析脆弱性显现，基于健康检测结果和调度策略的触发式解析在大配置量下，故障概率增加50%。

　　事故倒推故障，因子域DNS设备网络中断，导致生产DNS并发递归队列打满，不能快速定位故障处置。

　　智能解析脆弱性，随着配置量、对DNS依赖度增加后，使用上会产生问题，故障的概率也会持续增加。

　　三、内网域名系统演进方向探索

　　基于这些挑战，ZDNS在内网的DNS方向做一些演进方向的探索。

　　第一，增强面向业务的服务能力：基于业务语言的自动化配置管理能力、基于业务属性的快速容灾切换能力。

　　第二，探索自定义DNS：内网使用时，对DNS有各种各样的要求，比如要求对某些域名做限速，对某些IP的某些请求做处理，对某个协议栈的某些域名不做应答，这都是现网里面存在的使用场景。所以新的DNS，它要具备自定义的能力，根据业务需求，DNS进行解析。

　　第三，满足韧性服务要求：如节点损害具备毫秒级自愈能力，不让系统解析出现秒级超时，这也是金融机构追求的方向。

　　第四，扁平化架构：当前DNS不仅权威递归分离、动态静态分离；结构越多、链条越长、风险越高。新的DNS实现扁平化架构，运维者也是管理者，可以掌握最稳定的架构。

　　第五，模块化部署：每个数据中心应该具备独立运行的能力，不能某个中心的故障牵连其他中心，这可能对业务的韧性或者连续性支撑可能会造成一些影响，这也是我们在行业里面的一些探索的方向。

　　第六，软件定义：把RFC上面规定的DNS一些控制层面的内容抽离出来，让它向云化或者网络递进的方向演进，让DNS服务器变成真正的服务单元。DNS本质上是数据的检索格式，让DNS回归其本来价值。

　　四、内网DNS体系化建设支撑韧性服务能力建

　　打造内网韧性DNS，从运行体系和管理体系两个方面着手：从运行体系上，整体架构规划、服务连续性的设计、流量调度的设计、安全防护的设计等。

　　从管理体系上，在内网里面，作为DNS的维护或者建设人员，不仅仅是参与者，更是建设者。作为建设者，需要DNS管理相关的能力，如域名规范制度的优化、 面向业务运维、应急管理、合规与审计等。

　　现在的DNS运维就像老中医，望闻问切凭经验，大部分的运维都是基于经验，亟待建立一套标准化、行之有效的体系。每一次故障都是微小隐患的累积，要在运维层面实现精细化的监测指标或者可观测化运维。基于这些数据，结合我们历史上出现的一些生产事故，去建立这种应急管理的体系，建立应急预案，提升运维管理能力。同时，要在合规和审计方面要加强，以实现管理体系的整体建设，以两个体系去支撑整个韧性服务能力的建设。（记者 孔繁鑫 刘昊 赵鹏超）