云DNS工程師考試試卷與答案一、單項(xiàng)選擇題（每題2分，共20題，40分）1.以下哪項(xiàng)不是DNS查詢的基本類型？A.遞歸查詢B.迭代查詢C.反向查詢D.泛解析查詢答案：D2.DNS協(xié)議默認(rèn)使用的傳輸層端口是？A.TCP53B.UDP53C.TCP80D.UDP443答案：B3.關(guān)于CNAME記錄的描述，正確的是？A.可指向多個(gè)不同域名B.不能與其他記錄類型共存于同一域名C.允許形成循環(huán)指向（如A→B→A）D.常用于將多個(gè)域名指向同一目標(biāo)域名答案：D4.DNSSEC的主要作用是？A.加密DNS查詢內(nèi)容B.驗(yàn)證DNS響應(yīng)的完整性和來源真實(shí)性C.提升DNS解析速度D.擴(kuò)展DNS消息長度答案：B5.EDNS0（擴(kuò)展DNS）的主要目的是？A.支持更大的DNS消息（超過512字節(jié)）B.實(shí)現(xiàn)DNS負(fù)載均衡C.替代傳統(tǒng)DNS協(xié)議D.提供DNS查詢加密答案：A6.TTL（生存時(shí)間）的主要作用是？A.限制DNS服務(wù)器的遞歸次數(shù)B.控制客戶端緩存DNS記錄的時(shí)長C.標(biāo)識(shí)DNS區(qū)域的版本號(hào)D.定義MX記錄的優(yōu)先級(jí)答案：B7.以下哪種DNS記錄類型用于郵件服務(wù)器定位？A.AAAAB.MXC.TXTD.SRV答案：B8.云DNS實(shí)現(xiàn)全局負(fù)載均衡（GSLB）時(shí)，通常不基于以下哪個(gè)維度？A.用戶地理位置B.目標(biāo)服務(wù)器的健康狀態(tài)C.用戶終端操作系統(tǒng)D.網(wǎng)絡(luò)運(yùn)營商（ISP）答案：C9.DNSoverHTTPS（DoH）的核心優(yōu)勢是？A.提升解析速度B.防止DNS查詢被中間人劫持C.支持更大的消息負(fù)載D.兼容所有傳統(tǒng)DNS客戶端答案：B10.關(guān)于主從DNS同步的描述，錯(cuò)誤的是？A.使用AXFR（全量區(qū)域傳輸）或IXFR（增量區(qū)域傳輸）協(xié)議B.主服務(wù)器需配置允許從服務(wù)器的IP白名單C.同步基于SOA記錄中的序列號(hào)判斷是否需要更新D.同步過程必須使用TCP協(xié)議答案：D（注：區(qū)域傳輸默認(rèn)使用TCP，但I(xiàn)XFR也可基于UDP）11.以下哪種場景最適合使用泛解析（WildcardDNS）？A.為多個(gè)子域名（如、）指向同一IPB.為郵件服務(wù)器配置MX記錄C.實(shí)現(xiàn)跨域負(fù)載均衡D.啟用DNSSEC簽名答案：A12.DNS查詢過程中，本地遞歸服務(wù)器未命中緩存時(shí)，首先會(huì)查詢？A.根域名服務(wù)器B.頂級(jí)域名服務(wù)器（如.com）C.權(quán)威域名服務(wù)器D.父域名服務(wù)器答案：A13.關(guān)于ANY查詢（查詢所有記錄類型）的描述，正確的是？A.是標(biāo)準(zhǔn)DNS查詢類型，推薦使用B.可能導(dǎo)致權(quán)威服務(wù)器負(fù)載過高C.僅返回A、AAAA、CNAME三種記錄D.可用于快速獲取域名所有配置信息答案：B14.云DNS服務(wù)中，“智能解析”通常指基于以下哪項(xiàng)動(dòng)態(tài)調(diào)整解析結(jié)果？A.用戶請(qǐng)求的DNS服務(wù)器IPB.用戶的網(wǎng)絡(luò)位置（如地域、運(yùn)營商）C.域名注冊(cè)時(shí)間D.DNS服務(wù)器的硬件配置答案：B15.以下哪項(xiàng)不是DNS緩存投毒攻擊的防范措施？A.啟用DNSSECB.隨機(jī)化DNS查詢的ID和源端口C.限制遞歸服務(wù)器的緩存時(shí)間（降低TTL）D.使用TCP協(xié)議替代UDP傳輸答案：C（注：降低TTL會(huì)增加解析次數(shù)，與防范投毒無關(guān)）16.某域名的SOA記錄中，“refresh”字段的作用是？A.定義從服務(wù)器嘗試重新傳輸區(qū)域的時(shí)間間隔B.定義主服務(wù)器不可達(dá)時(shí)，從服務(wù)器等待重試的時(shí)間C.定義區(qū)域數(shù)據(jù)過期前的最長時(shí)間D.定義錯(cuò)誤情況下的最小重試時(shí)間答案：A17.關(guān)于IPv6的DNS記錄，正確的是？A.使用A記錄指向IPv6地址B.使用AAAA記錄指向IPv6地址C.IPv6不支持反向解析（PTR記錄）D.IPv6DNS解析必須使用TCP協(xié)議答案：B18.云DNS服務(wù)中，“解析量”指標(biāo)通常指？A.域名的注冊(cè)數(shù)量B.單位時(shí)間內(nèi)處理的DNS查詢次數(shù)C.服務(wù)器的帶寬占用D.緩存命中率答案：B19.以下哪種情況會(huì)導(dǎo)致DNS解析失?。緼.權(quán)威服務(wù)器的NS記錄未在父域正確配置B.域名的TTL設(shè)置為0C.啟用了DNSSEC但未正確簽名D.遞歸服務(wù)器的緩存未過期答案：A20.關(guān)于DNS負(fù)載均衡的描述，錯(cuò)誤的是？A.輪詢（RoundRobin）方式可能導(dǎo)致連接失?。ㄈ绶?wù)器宕機(jī)未被檢測）B.基于權(quán)重的負(fù)載均衡可根據(jù)服務(wù)器性能分配流量C.健康檢查（HealthCheck）可實(shí)時(shí)監(jiān)控目標(biāo)服務(wù)器狀態(tài)D.DNS負(fù)載均衡的粒度為“用戶”，無法做到連接級(jí)負(fù)載答案：無（注：所有選項(xiàng)均正確，本題無錯(cuò)誤選項(xiàng)，可能為命題漏洞）二、填空題（每題2分，共10題，20分）1.DNS查詢分為遞歸查詢和迭代查詢兩種基本模式，其中客戶端通常發(fā)起的是______請(qǐng)求。答案：遞歸2.根域名服務(wù)器全球共有______組（邏輯上），通過Anycast技術(shù)部署在多個(gè)物理節(jié)點(diǎn)。答案：133.DNSSEC的核心組件包括密鑰簽名密鑰（KSK）和區(qū)域簽名密鑰（ZSK），其中______用于簽署ZSK的公鑰。答案：KSK4.EDNS0擴(kuò)展中，“UDPPayloadSize”字段的常見推薦值為______字節(jié)（用于兼容大多數(shù)網(wǎng)絡(luò)設(shè)備）。答案：12325.云DNS服務(wù)中，為實(shí)現(xiàn)跨地域高可用，通常采用______架構(gòu)（如多可用區(qū)部署、Anycast網(wǎng)絡(luò)）。答案：分布式6.主從DNS同步時(shí)，從服務(wù)器通過比較區(qū)域的______（SOA記錄字段）判斷是否需要更新。答案：序列號(hào)（Serial）7.DNSoverTLS（DoT）默認(rèn)使用的TCP端口是______。答案：8538.當(dāng)域名需要指向多個(gè)IP地址實(shí)現(xiàn)負(fù)載均衡時(shí)，可直接配置多個(gè)______記錄。答案：A（或AAAA）9.反向DNS解析（PTR記錄）的作用是通過______查詢對(duì)應(yīng)的域名。答案：IP地址10.云DNS的“解析延遲”指標(biāo)通常指從用戶發(fā)起查詢到收到響應(yīng)的______時(shí)間。答案：端到端三、判斷題（每題1分，共10題，10分）1.遞歸查詢中，客戶端需要自行迭代訪問多個(gè)DNS服務(wù)器。（）答案：×（遞歸查詢由遞歸服務(wù)器完成迭代過程）2.A記錄可以配置多個(gè)值，實(shí)現(xiàn)簡單的負(fù)載均衡。（）答案：√3.DNSSEC可以完全防止DNS查詢被中間人篡改。（）答案：×（DNSSEC驗(yàn)證的是響應(yīng)的完整性和來源，但無法加密傳輸內(nèi)容）4.EDNS是可選擴(kuò)展，客戶端和服務(wù)器可選擇是否支持。（）答案：√5.TTL設(shè)置過短會(huì)導(dǎo)致客戶端頻繁查詢，增加遞歸服務(wù)器負(fù)載。（）答案：√6.CNAME記錄可以指向自身，形成循環(huán)解析。（）答案：×（循環(huán)會(huì)導(dǎo)致解析失?。?.MX記錄的優(yōu)先級(jí)數(shù)值越大，代表郵件服務(wù)器的優(yōu)先級(jí)越高。（）答案：×（數(shù)值越小優(yōu)先級(jí)越高）8.DoH（DNSoverHTTPS）可以完全解決DNS隱私泄露問題。（）答案：×（仍可能通過IP地址或HTTPS會(huì)話特征暴露用戶信息）9.云DNS的全局負(fù)載均衡（GSLB）必須基于用戶的地理位置信息。（）答案：×（也可基于運(yùn)營商、服務(wù)器健康狀態(tài)等）10.主從DNS同步必須使用AXFR全量傳輸，無法增量更新。（）答案：×（IXFR支持增量傳輸）四、簡答題（每題5分，共6題，30分）1.簡述遞歸查詢與迭代查詢的區(qū)別，并說明云DNS服務(wù)中遞歸服務(wù)器的作用。答案：遞歸查詢中，客戶端向遞歸服務(wù)器發(fā)起請(qǐng)求，遞歸服務(wù)器負(fù)責(zé)完成所有迭代查詢（訪問根→頂級(jí)→權(quán)威服務(wù)器），并將最終結(jié)果返回客戶端；迭代查詢中，客戶端需自行根據(jù)上一級(jí)服務(wù)器的提示（如“請(qǐng)嘗試查詢XX服務(wù)器”）繼續(xù)發(fā)起查詢。云DNS服務(wù)中的遞歸服務(wù)器通常指用戶本地運(yùn)營商的遞歸服務(wù)器（如14），而云DNS廠商主要提供權(quán)威服務(wù)器（存儲(chǔ)域名解析記錄）。2.解釋DNSSEC的工作原理，并列出其核心組件。答案：DNSSEC通過數(shù)字簽名驗(yàn)證DNS響應(yīng)的真實(shí)性和完整性。權(quán)威服務(wù)器使用私鑰對(duì)區(qū)域記錄（如A、CNAME）和DNSKEY記錄（公鑰）進(jìn)行簽名，生成RRSIG記錄；遞歸服務(wù)器通過父域的DS記錄（包含子域KSK的哈希值）驗(yàn)證子域DNSKEY的合法性，最終驗(yàn)證查詢記錄的簽名。核心組件包括：KSK（密鑰簽名密鑰）、ZSK（區(qū)域簽名密鑰）、RRSIG（簽名記錄）、DNSKEY（公鑰記錄）、DS（父域的KSK哈希記錄）。3.云DNS實(shí)現(xiàn)高可用的關(guān)鍵技術(shù)點(diǎn)有哪些？請(qǐng)列舉至少4項(xiàng)。答案：①分布式架構(gòu)：通過Anycast技術(shù)將解析請(qǐng)求路由到最近的可用節(jié)點(diǎn)；②多活冗余：在多個(gè)可用區(qū)（AZ）或地域部署權(quán)威服務(wù)器，避免單點(diǎn)故障；③健康檢查：實(shí)時(shí)監(jiān)控節(jié)點(diǎn)狀態(tài)，自動(dòng)隔離故障節(jié)點(diǎn)；④快速容災(zāi)：通過區(qū)域傳輸或?qū)崟r(shí)復(fù)制同步主備節(jié)點(diǎn)數(shù)據(jù)，故障時(shí)自動(dòng)切換；⑤流量調(diào)度：結(jié)合GSLB動(dòng)態(tài)調(diào)整解析結(jié)果，引導(dǎo)用戶訪問健康節(jié)點(diǎn)。4.TTL的作用是什么？如何合理設(shè)置TTL值？答案：TTL（生存時(shí)間）定義了客戶端（包括遞歸服務(wù)器）緩存DNS記錄的時(shí)長。作用：減少重復(fù)查詢，降低網(wǎng)絡(luò)和服務(wù)器負(fù)載；但過長的TTL會(huì)導(dǎo)致記錄變更后生效緩慢。合理設(shè)置原則：①靜態(tài)內(nèi)容（如官網(wǎng)IP）可設(shè)置較長TTL（如3600秒）；②動(dòng)態(tài)內(nèi)容（如負(fù)載均衡的后端IP）建議短TTL（如60300秒）；③故障切換場景（如主備IP切換）需臨時(shí)降低TTL，變更后恢復(fù)；④避免設(shè)置0秒（可能導(dǎo)致遞歸服務(wù)器拒絕緩存）。5.簡述DNS負(fù)載均衡的常見實(shí)現(xiàn)方式及各自優(yōu)缺點(diǎn)。答案：①輪詢（RoundRobin）：為同一域名配置多個(gè)A記錄，按順序返回。優(yōu)點(diǎn)：簡單、無額外成本；缺點(diǎn)：無法感知服務(wù)器狀態(tài)，可能返回宕機(jī)節(jié)點(diǎn)。②權(quán)重負(fù)載均衡：為每個(gè)IP設(shè)置權(quán)重，按比例分配流量。優(yōu)點(diǎn)：可根據(jù)服務(wù)器性能調(diào)整流量；缺點(diǎn)：仍依賴客戶端緩存，實(shí)時(shí)性差。③基于地理位置（GSLB）：根據(jù)用戶位置返回最近的服務(wù)器IP。優(yōu)點(diǎn)：降低延遲；缺點(diǎn)：需準(zhǔn)確的地理位置數(shù)據(jù)庫。④健康檢查負(fù)載均衡：結(jié)合服務(wù)器存活狀態(tài)（如HTTP/ICMP探測）動(dòng)態(tài)排除故障節(jié)點(diǎn)。優(yōu)點(diǎn)：高可靠性；缺點(diǎn)：需額外監(jiān)控成本。6.列舉DNS故障排查的基本步驟及常用工具。答案：排查步驟：①確認(rèn)域名狀態(tài)（是否過期、是否被封禁）；②檢查權(quán)威服務(wù)器的NS記錄是否在父域正確配置；③驗(yàn)證解析過程（遞歸→根→頂級(jí)→權(quán)威）是否正常；④檢查具體記錄配置（如A記錄IP是否正確、MX優(yōu)先級(jí)是否沖突）；⑤排查網(wǎng)絡(luò)問題（如UDP53端口是否被攔截、DNS服務(wù)器是否可達(dá)）。常用工具：dig（詳細(xì)解析過程）、nslookup（基礎(chǔ)查詢）、tcpdump（抓包分析DNS流量）、dnstracer（追蹤解析路徑）、drill（支持DNSSEC驗(yàn)證）。五、綜合題（每題10分，共2題，20分）1.某企業(yè)計(jì)劃將全球官網(wǎng)遷移至云服務(wù)器，需設(shè)計(jì)云DNS方案，要求支持多地域部署、高可用、負(fù)載均衡及安全防護(hù)。請(qǐng)?jiān)敿?xì)說明設(shè)計(jì)要點(diǎn)。答案：設(shè)計(jì)要點(diǎn)如下：（1）多地域部署：在全球主要區(qū)域（如亞太、歐美、中東）部署云服務(wù)器，每個(gè)區(qū)域至少2個(gè)可用區(qū)（AZ）。（2）高可用：①云DNS采用Anycast架構(gòu)，權(quán)威服務(wù)器分布在多個(gè)地域，通過BGP路由將用戶請(qǐng)求引導(dǎo)至最近節(jié)點(diǎn)；②主備NS服務(wù)器跨地域部署，通過IXFR實(shí)時(shí)同步區(qū)域數(shù)據(jù)；③配置健康檢查（HTTP/HTTPS探測），自動(dòng)排除宕機(jī)的服務(wù)器IP。（3）負(fù)載均衡：①基于地理位置（GSLB）：用戶查詢時(shí)返回最近區(qū)域的服務(wù)器IP；②基于權(quán)重：同一區(qū)域內(nèi)多個(gè)可用區(qū)的IP按權(quán)重分配流量；③故障切換：當(dāng)某區(qū)域服務(wù)器不可達(dá)時(shí)，GSLB自動(dòng)將流量導(dǎo)向其他區(qū)域。（4）安全防護(hù)：①啟用DNSSEC，防止解析結(jié)果被篡改；②開啟DoH/DoT支持，加密用戶查詢流量；③配置DDoS防護(hù)（如流量清洗、速率限制），抵御DNS洪水攻擊；④限制遞歸查詢（僅允許授權(quán)IP使用遞歸服務(wù)），防止被用于反射攻擊。2.某電商網(wǎng)站突發(fā)用戶反饋“無法訪問”，經(jīng)排查HTTP服務(wù)器運(yùn)行正常，但DNS解析失敗。請(qǐng)分析可能的DNS相關(guān)原因及排查過程。答案：可能的DNS原因：（1）權(quán)威服務(wù)器故障：NS服務(wù)器宕機(jī)、網(wǎng)絡(luò)中斷或被攻擊，導(dǎo)致遞歸服務(wù)器無法獲取解析記錄。（2）記錄配置錯(cuò)誤：如A記錄IP錯(cuò)誤、CNAME鏈循環(huán)、MX記錄優(yōu)先級(jí)沖突。（3）父域NS記錄未生效：域名的NS記錄未在父域（如.com）正確配置或緩存未刷新。（4）網(wǎng)絡(luò)問題：用戶本地網(wǎng)絡(luò)攔截UDP53端口，或遞歸服務(wù)器與權(quán)威服務(wù)器間路由異常。（5）DNS緩存問題：遞歸服務(wù)器緩存了錯(cuò)誤記錄（如舊IP），且TTL未過期。排查過程：（1）驗(yàn)證權(quán)威服務(wù)器可達(dá)性：使用dig@NS_IP域名+trace檢查權(quán)威服務(wù)器是否響應(yīng)。（2）檢查記