邢志杰：下一代DNS前沿趋势洞察

万物互联时代，海量终端接入网络，人-物互联、物-物互联的连接场景走进日常工作和生活。预计到2025年IoT设备数量将达到173.4亿台，物联网时代带来网络连接方式发生多种变化，而物联网终端上网离不开DNS，有连接的地方就有DNS解析。

以5G、IPv6升级、卫星互联网为代表的网络基础设施升级，网络连接类型更丰富、数量愈发庞大，截至2022年底，我国IPv6活跃用户已超7亿，无论是承载网还是骨干网，百亿级别连接的背后是每秒万亿的DNS查询，对DNS新技术支撑能力也提出更高的要求。

千行百业的数字化转型催生海量应用，业务云化、海量数据发布，预计2026年全球数据量将增长到221.2ZB，中国占比四分之一。AI大数据模型的应用进一步推动了算力规模化发展，中国算力总规模近五年均增速超过了25%。海量数据发布的背后离不开DNS对海量算力的快速调度。

终端连接方式变化、网络基础设施升级、业务云化要求等，使DNS由传统的基础解析转变为承载万物互联的智能网络中枢，成为支撑“人人互联、人物互联、物物互联、机机互联”的关键技术。

在技术升级驱动下，互联网域名系统国家工程研究中心（ZDNS）提出，“发展下一代DNS，筑牢数字经济重要网络根基”既是技术发展的内生体现，也是时代选择的必然路径。“下一代DNS”体系涵盖了网络空间治理、互联网关键基础资源和网络核心技术。在网络核心技术层面，下一代DNS技术系统正在向更安全、更智能、更高效、自主可控全面升级。

据IDC《2022 年全球DNS威胁报告》，88%的组织遭到DNS相关的网络安全威胁攻击，平均每年7次。攻击事件包括网络钓鱼、DDoS攻击、恶意软件和DNS劫持等。由于设计之初的缺陷，针对DNS的安全风险手段繁多，其安全防御体系亟需加强。下一代DNS技术在更安全方面体现为：各种安全技术与DNS技术相结合。例如：

与加密技术结合，实现DNS的安全传输、分发同步，通过HTTPDNS、DOH、DOT、DNSSEC等技术，突破UDP传输协议限制，提升传统DNS系统传输安全可控能力；

与威胁情报技术结合，构建安全威胁“预测、防御、检测、溯源”的能力闭环，将恶意程序、钓鱼网站等威胁在“入口层”进行拦截，并可溯源到失陷终端。通过威胁检测、安全基线、威胁阻断、事件回溯等技术，实现态势可视、主动处置、快速溯源，实现主动识别防护；

基于深度学习和大数据技术，对攻击特征发现检测，防范DNS隧道，阻止数据泄露风险；识别和防范DDoS攻击，保证服务可靠。通过DNS隧道、DGA、域名窥探防护等技术，阻断利用DNS进行的安全渗透，助力补齐安全短板，解决数据泄露等安全事件。

更安全的下一代DNS，构建传输可信、威胁阻断、服务可靠的安全体系。

在数据中心和云上，DNS在应用发布和访问中承担着应用调度、容灾备份等关键职能。传统DNS应用检测维度单一、机制被动，一旦结果不准确、不实时将导致应用调度滞后、进而影响业务连续性。同时，应用从传统数据中心双活到全面上云，在云原生技术架构中应用的服务发现、服务注册、服务发布只能基于域名，一旦业务云化，域名条目将指数级增长。DNS智能调度的结果和实时性直接决定了应用的可靠性和体验提升，例如：金融类交易业务场景中，DNS每抖动1秒，将导致上万笔交易失败。下一代DNS在更智能方面体现为：智能调度能力向网络、云上云下延伸成为新的发展趋势。

应用健康检测与”上下游”打通：通过与网络分析器、控制平台联动，实现应用健康的主动评估预测，未拥塞先调度，提前规避业务风险；

智能调度以“应用”为中心：与现有各类云原生架构或管理系统集成，提供端到端智能调度能力，实现跨云、跨数据中心的统一调度、管控；

从“尽力而为”向“主动推送”演进：有别于传统DNS的“尽力而为”，新一代基于有状态DNS订阅关键应用域名，例如金融交易、算力调度等实时性要求高的业务，避免反复查询，服务变化即时推送，保障业务交易的可靠。

更智能的下一代DNS，建立保障应用多活，实现云化调度，提升应用体验新的能力体系。

传统DNS已无法应对网络架构及应用架构的快速变化。解析性能低、部署繁琐、很难统一管理，故障迁移更是难上加难。相较于此，下一代DNS在更高效方面体现为：性能更高、迁移部署更快、系统管理更简单。

第一，下一代DNS首先是要全新设计解析引擎，实现更高的处理性能，同时达到更低时延的要求和海量配置加载，百万级配置加载秒级生效，可以支持万亿级设备寻址；

第二，其次是用虚拟化容器技术与云平台融合，以及DNS系统自身的云化，实现弹性扩、缩容，部署和迁移的成本极大降低；

第三，DNS可通过开放性可编程接口和模块设计，增加多种场景的运维能力，如企业数据中心做灾备演练时，管理员可自己基于接口编排将某一类业务域名按照固定顺序完成IP地址的切换，并在演练结束后执行回切操作。

更高效的下一代DNS，同时具备满足业务峰值更高、应用发布更快、纪录变更更频繁的服务能力。

传统DNS技术以国外为主导，在下一代DNS技术上，中国有机会、有能力实现弯道超车。国产化替代不仅是替代，下一代DNS系统基于自主研发核心技术，与国产操作系统、芯片等多样化软硬件信创平台实现生态融合，在数据赋能、全面感知、可靠传输、智能分析、精准决策等方面实现了创新能力升级，实现了更安全、更高效、更智能，已经建立起完全自主可控的技术生态体系。

我国深入推进数字化转型，金融、政府、教育、运营商等百业千行在数字化转型和技术升级方面均走在全球前列。只有把产品做得更深，技术做得更透，更能结合应用场景创新的市场空间，才能以需求牵引技术进步，首先去解决中国的网络问题、满足中国客户的市场需求，再迈向进军全球领先目标，为国际互联网大家庭做出中国贡献。