云DNS工程师考试试卷与答案

云DNS工程师考试试卷与答案一、单项选择题（每题2分，共20题，40分）1.以下哪项不是DNS查询的基本类型？A.递归查询B.迭代查询C.反向查询D.泛解析查询答案：D2.DNS协议默认使用的传输层端口是？A.TCP53B.UDP53C.TCP80D.UDP443答案：B3.关于CNAME记录的描述，正确的是？A.可指向多个不同域名B.不能与其他记录类型共存于同一域名C.允许形成循环指向（如A→B→A）D.常用于将多个域名指向同一目标域名答案：D4.DNSSEC的主要作用是？A.加密DNS查询内容B.验证DNS响应的完整性和来源真实性C.提升DNS解析速度D.扩展DNS消息长度答案：B5.EDNS0（扩展DNS）的主要目的是？A.支持更大的DNS消息（超过512字节）B.实现DNS负载均衡C.替代传统DNS协议D.提供DNS查询加密答案：A6.TTL（生存时间）的主要作用是？A.限制DNS服务器的递归次数B.控制客户端缓存DNS记录的时长C.标识DNS区域的版本号D.定义MX记录的优先级答案：B7.以下哪种DNS记录类型用于邮件服务器定位？A.AAAAB.MXC.TXTD.SRV答案：B8.云DNS实现全局负载均衡（GSLB）时，通常不基于以下哪个维度？A.用户地理位置B.目标服务器的健康状态C.用户终端操作系统D.网络运营商（ISP）答案：C9.DNSoverHTTPS（DoH）的核心优势是？A.提升解析速度B.防止DNS查询被中间人劫持C.支持更大的消息负载D.兼容所有传统DNS客户端答案：B10.关于主从DNS同步的描述，错误的是？A.使用AXFR（全量区域传输）或IXFR（增量区域传输）协议B.主服务器需配置允许从服务器的IP白名单C.同步基于SOA记录中的序列号判断是否需要更新D.同步过程必须使用TCP协议答案：D（注：区域传输默认使用TCP，但IXFR也可基于UDP）11.以下哪种场景最适合使用泛解析（WildcardDNS）？A.为多个子域名（如、）指向同一IPB.为邮件服务器配置MX记录C.实现跨域负载均衡D.启用DNSSEC签名答案：A12.DNS查询过程中，本地递归服务器未命中缓存时，首先会查询？A.根域名服务器B.顶级域名服务器（如.com）C.权威域名服务器D.父域名服务器答案：A13.关于ANY查询（查询所有记录类型）的描述，正确的是？A.是标准DNS查询类型，推荐使用B.可能导致权威服务器负载过高C.仅返回A、AAAA、CNAME三种记录D.可用于快速获取域名所有配置信息答案：B14.云DNS服务中，“智能解析”通常指基于以下哪项动态调整解析结果？A.用户请求的DNS服务器IPB.用户的网络位置（如地域、运营商）C.域名注册时间D.DNS服务器的硬件配置答案：B15.以下哪项不是DNS缓存投毒攻击的防范措施？A.启用DNSSECB.随机化DNS查询的ID和源端口C.限制递归服务器的缓存时间（降低TTL）D.使用TCP协议替代UDP传输答案：C（注：降低TTL会增加解析次数，与防范投毒无关）16.某域名的SOA记录中，“refresh”字段的作用是？A.定义从服务器尝试重新传输区域的时间间隔B.定义主服务器不可达时，从服务器等待重试的时间C.定义区域数据过期前的最长时间D.定义错误情况下的最小重试时间答案：A17.关于IPv6的DNS记录，正确的是？A.使用A记录指向IPv6地址B.使用AAAA记录指向IPv6地址C.IPv6不支持反向解析（PTR记录）D.IPv6DNS解析必须使用TCP协议答案：B18.云DNS服务中，“解析量”指标通常指？A.域名的注册数量B.单位时间内处理的DNS查询次数C.服务器的带宽占用D.缓存命中率答案：B19.以下哪种情况会导致DNS解析失败？A.权威服务器的NS记录未在父域正确配置B.域名的TTL设置为0C.启用了DNSSEC但未正确签名D.递归服务器的缓存未过期答案：A20.关于DNS负载均衡的描述，错误的是？A.轮询（RoundRobin）方式可能导致连接失败（如服务器宕机未被检测）B.基于权重的负载均衡可根据服务器性能分配流量C.健康检查（HealthCheck）可实时监控目标服务器状态D.DNS负载均衡的粒度为“用户”，无法做到连接级负载答案：无（注：所有选项均正确，本题无错误选项，可能为命题漏洞）二、填空题（每题2分，共10题，20分）1.DNS查询分为递归查询和迭代查询两种基本模式，其中客户端通常发起的是______请求。答案：递归2.根域名服务器全球共有______组（逻辑上），通过Anycast技术部署在多个物理节点。答案：133.DNSSEC的核心组件包括密钥签名密钥（KSK）和区域签名密钥（ZSK），其中______用于签署ZSK的公钥。答案：KSK4.EDNS0扩展中，“UDPPayloadSize”字段的常见推荐值为______字节（用于兼容大多数网络设备）。答案：12325.云DNS服务中，为实现跨地域高可用，通常采用______架构（如多可用区部署、Anycast网络）。答案：分布式6.主从DNS同步时，从服务器通过比较区域的______（SOA记录字段）判断是否需要更新。答案：序列号（Serial）7.DNSoverTLS（DoT）默认使用的TCP端口是______。答案：8538.当域名需要指向多个IP地址实现负载均衡时，可直接配置多个______记录。答案：A（或AAAA）9.反向DNS解析（PTR记录）的作用是通过______查询对应的域名。答案：IP地址10.云DNS的“解析延迟”指标通常指从用户发起查询到收到响应的______时间。答案：端到端三、判断题（每题1分，共10题，10分）1.递归查询中，客户端需要自行迭代访问多个DNS服务器。（）答案：×（递归查询由递归服务器完成迭代过程）2.A记录可以配置多个值，实现简单的负载均衡。（）答案：√3.DNSSEC可以完全防止DNS查询被中间人篡改。（）答案：×（DNSSEC验证的是响应的完整性和来源，但无法加密传输内容）4.EDNS是可选扩展，客户端和服务器可选择是否支持。（）答案：√5.TTL设置过短会导致客户端频繁查询，增加递归服务器负载。（）答案：√6.CNAME记录可以指向自身，形成循环解析。（）答案：×（循环会导致解析失败）7.MX记录的优先级数值越大，代表邮件服务器的优先级越高。（）答案：×（数值越小优先级越高）8.DoH（DNSoverHTTPS）可以完全解决DNS隐私泄露问题。（）答案：×（仍可能通过IP地址或HTTPS会话特征暴露用户信息）9.云DNS的全局负载均衡（GSLB）必须基于用户的地理位置信息。（）答案：×（也可基于运营商、服务器健康状态等）10.主从DNS同步必须使用AXFR全量传输，无法增量更新。（）答案：×（IXFR支持增量传输）四、简答题（每题5分，共6题，30分）1.简述递归查询与迭代查询的区别，并说明云DNS服务中递归服务器的作用。答案：递归查询中，客户端向递归服务器发起请求，递归服务器负责完成所有迭代查询（访问根→顶级→权威服务器），并将最终结果返回客户端；迭代查询中，客户端需自行根据上一级服务器的提示（如“请尝试查询XX服务器”）继续发起查询。云DNS服务中的递归服务器通常指用户本地运营商的递归服务器（如14），而云DNS厂商主要提供权威服务器（存储域名解析记录）。2.解释DNSSEC的工作原理，并列出其核心组件。答案：DNSSEC通过数字签名验证DNS响应的真实性和完整性。权威服务器使用私钥对区域记录（如A、CNAME）和DNSKEY记录（公钥）进行签名，生成RRSIG记录；递归服务器通过父域的DS记录（包含子域KSK的哈希值）验证子域DNSKEY的合法性，最终验证查询记录的签名。核心组件包括：KSK（密钥签名密钥）、ZSK（区域签名密钥）、RRSIG（签名记录）、DNSKEY（公钥记录）、DS（父域的KSK哈希记录）。3.云DNS实现高可用的关键技术点有哪些？请列举至少4项。答案：①分布式架构：通过Anycast技术将解析请求路由到最近的可用节点；②多活冗余：在多个可用区（AZ）或地域部署权威服务器，避免单点故障；③健康检查：实时监控节点状态，自动隔离故障节点；④快速容灾：通过区域传输或实时复制同步主备节点数据，故障时自动切换；⑤流量调度：结合GSLB动态调整解析结果，引导用户访问健康节点。4.TTL的作用是什么？如何合理设置TTL值？答案：TTL（生存时间）定义了客户端（包括递归服务器）缓存DNS记录的时长。作用：减少重复查询，降低网络和服务器负载；但过长的TTL会导致记录变更后生效缓慢。合理设置原则：①静态内容（如官网IP）可设置较长TTL（如3600秒）；②动态内容（如负载均衡的后端IP）建议短TTL（如60300秒）；③故障切换场景（如主备IP切换）需临时降低TTL，变更后恢复；④避免设置0秒（可能导致递归服务器拒绝缓存）。5.简述DNS负载均衡的常见实现方式及各自优缺点。答案：①轮询（RoundRobin）：为同一域名配置多个A记录，按顺序返回。优点：简单、无额外成本；缺点：无法感知服务器状态，可能返回宕机节点。②权重负载均衡：为每个IP设置权重，按比例分配流量。优点：可根据服务器性能调整流量；缺点：仍依赖客户端缓存，实时性差。③基于地理位置（GSLB）：根据用户位置返回最近的服务器IP。优点：降低延迟；缺点：需准确的地理位置数据库。④健康检查负载均衡：结合服务器存活状态（如HTTP/ICMP探测）动态排除故障节点。优点：高可靠性；缺点：需额外监控成本。6.列举DNS故障排查的基本步骤及常用工具。答案：排查步骤：①确认域名状态（是否过期、是否被封禁）；②检查权威服务器的NS记录是否在父域正确配置；③验证解析过程（递归→根→顶级→权威）是否正常；④检查具体记录配置（如A记录IP是否正确、MX优先级是否冲突）；⑤排查网络问题（如UDP53端口是否被拦截、DNS服务器是否可达）。常用工具：dig（详细解析过程）、nslookup（基础查询）、tcpdump（抓包分析DNS流量）、dnstracer（追踪解析路径）、drill（支持DNSSEC验证）。五、综合题（每题10分，共2题，20分）1.某企业计划将全球官网迁移至云服务器，需设计云DNS方案，要求支持多地域部署、高可用、负载均衡及安全防护。请详细说明设计要点。答案：设计要点如下：（1）多地域部署：在全球主要区域（如亚太、欧美、中东）部署云服务器，每个区域至少2个可用区（AZ）。（2）高可用：①云DNS采用Anycast架构，权威服务器分布在多个地域，通过BGP路由将用户请求引导至最近节点；②主备NS服务器跨地域部署，通过IXFR实时同步区域数据；③配置健康检查（HTTP/HTTPS探测），自动排除宕机的服务器IP。（3）负载均衡：①基于地理位置（GSLB）：用户查询时返回最近区域的服务器IP；②基于权重：同一区域内多个可用区的IP按权重分配流量；③故障切换：当某区域服务器不可达时，GSLB自动将流量导向其他区域。（4）安全防护：①启用DNSSEC，防止解析结果被篡改；②开启DoH/DoT支持，加密用户查询流量；③配置DDoS防护（如流量清洗、速率限制），抵御DNS洪水攻击；④限制递归查询（仅允许授权IP使用递归服务），防止被用于反射攻击。2.某电商网站突发用户反馈“无法访问”，经排查HTTP服务器运行正常，但DNS解析失败。请分析可能的DNS相关原因及排查过程。答案：可能的DNS原因：（1）权威服务器故障：NS服务器宕机、网络中断或被攻击，导致递归服务器无法获取解析记录。（2）记录配置错误：如A记录IP错误、CNAME链循环、MX记录优先级冲突。（3）父域NS记录未生效：域名的NS记录未在父域（如.com）正确配置或缓存未刷新。（4）网络问题：用户本地网络拦截UDP53端口，或递归服务器与权威服务器间路由异常。（5）DNS缓存问题：递归服务器缓存了错误记录（如旧IP），且TTL未过期。排查过程：（1）验证权威服务器可达性：使用dig@NS_IP域名+trace检查权威服务器是否响应。（2）检查记