什么是无效授权？

在域名系统 (DNS) 中，“无效授权”或“无效响应”是指已委派一个或多个名称服务器为某个域提供权威 DNS 信息，但这些服务器未能提供这些信息。无效授权可能会导致以下问题：DNS 查找时间变长、糟糕的用户体验、对 SEO 性能产生负面影响、潜在的解析失败、容易受到 DNS 攻击以及域的 DNS 性能下降。

域名系统负责将 Web 域名等名称转换为 IP 地址。为了方便用户浏览网络，Web 域名由易于阅读和记忆的名称组成，例如“example.com”。但是，为了连接到网站，计算机需要知道实际的 IP 地址，这通常是一长串字母数字字符（例如：2600:1401:4000:5b1::b63）。DNS 的功能类似于电话簿，它可以快速提供用户在网络浏览器中输入的任何 Web 域名的 IP 地址。此外，当用户点击链接，或者设备或应用程序需要访问网络上的其他类似资源时，DNS 也会提供相应的 IP 地址。

当用户或设备尝试连接到网站、设备或联网资源时，他们的设备会向 DNS 服务器网络发送 DNS 请求或查询，以试图发现所选网站的 IP 地址。权威 DNS 名称服务器 (NS) 负责保存官方 DNS 记录，这些记录用于识别每个网站、设备或资源的正确 IP 地址。递归 DNS 服务器充当用户设备与权威 DNS 服务器之间的中介。递归服务器（也称为递归解析器）距离用户更近，它会在缓存存储器中存储大量 DNS 记录，使其能够快速生成用户频繁或反复请求的 Web 域名的 IP 地址。如果递归服务器没有存储所需的 DNS 记录，它会向其他名称服务器进行查询，或者最终从已委派为保存该域的 NS 记录的权威名称服务器处获取数据。递归服务器将 IP 地址传回用户的设备，后者会在浏览器等应用程序中加载正确的网站，或者与应用程序或服务建立正确连接。

当负责为某个域提供权威答案的名称服务器未能对 DNS 查询作出响应或以某种方式作出错误响应时，就会发生无效授权。造成无效授权的原因可能是：

• 不可用。当名称服务器无法访问、未正常运行或名称服务器的 IP 地址无法路由时，可能会出现无效授权。
• 配置错误。当名称服务器配置错误或其 DNS 软件未正常工作时，它们将无法对查询作出响应。
• 无法连接。网络连接问题或防火墙限制可能导致名称服务器无法访问。
• 不一致。如果多个所委派的名称服务器的 DNS 配置不一致，则可能会导致无效授权。当 DNS 区域数据不一致或区域传输不正确时，可能会导致配置不一致。
• 不存在。如果某个域的指定名称服务器不存在，或者在未更新委派记录的情况下被停用，那么该名称服务器将无法正确地响应 DNS 查询。
• 缺少更新。在进行新的委派后，如果特定的名称服务器尚未进行配置或更新，它将无法对 DNS 查询返回正确的响应。

无效授权可能会产生各种不利影响。

• DNS 查找时间变长。在发生无效授权时，DNS 请求可能需要更长的时间来解析，这可能会导致网页加载和 Web 资源访问出现延迟。
• 解析失败。当授权无效时，对域名的 DNS 解析可能会失败，导致用户和设备无法访问该域。这可能会引发功能缺失和停机。
• 用户体验降级。查找时间变长和解析失败将不可避免地导致用户体验不佳，因为用户可能会遇到延迟、超时或错误等问题。
• 安全威胁。攻击者可能会利用无响应或配置错误的名称服务器发起一系列 DNS 攻击，如 DNS 劫持、缓存中毒或放大攻击。
• 自然搜索效果不佳。如果一个域名频繁出现无效授权，那么它在搜索引擎结果页面 (SERP) 中的排名可能会降低，因为搜索引擎将难以对该域名进行访问、抓取和建立索引。
• 损害在线声誉。当无效授权频繁发生时，网站或域名的在线声誉可能会受到损害，从而导致用户和客户的信任度降低。

IT 和安全团队可以遵循一些最佳实践，以防止发生无效授权并确保 DNS 服务能够继续高效运行。

• 定期验证名称服务器的配置可确保名称服务器设置正确并能够正确地响应 DNS 查询。
• 将 DNS 委派分发给位于不同位置和网络中的多个名称服务器有助于提高冗余性，并确保系统在某个服务器无响应时仍然可以继续处理查询。
• 通过主动监控名称服务器的运行状况和响应速度，可以及早发现并解决问题。
• 定期执行 DNS 审计有助于验证所有权威 DNS 服务器上的委派信息是否是最新、准确且一致。
• 启用 DNS 安全扩展 (DNSSEC) 可以提高 DNS 解析的安全性和完整性，确保 DNS 响应的真实性并降低发生 DNS 欺骗的风险。
• 选择优秀的 DNS 托管提供商将确保获得强大的基础架构、DNS 专业知识和工具，从而防止发生无效授权。