国内环境的用户访问域名的交互流程

国内访问域名（如 baidu.com）的完整解析流程涉及 DNS 查询、运营商网络层级及安全设备的交互，以下是详细步骤：

1. 本地DNS查询阶段

1. 浏览器缓存检查
   浏览器首先检查自身缓存是否有该域名的 IP 记录，若有则直接使用，否则进入下一步。

2. 操作系统缓存与 Hosts 文件
   系统检查本地缓存（如 Windows 的hosts文件），若未命中则向本地 DNS 服务器（如运营商提供的114.114.114.114）发送查询请求。

3. 本地 DNS 服务器查询

   • 运营商 DNS 服务器先检查自身缓存，若存在记录则返回结果。

   • 若缓存未命中，进入递归查询流程：

     • 根域名服务器：返回.com顶级域服务器的地址。

     • 顶级域名服务器（.cn）：返回baidu.com的权威 DNS 服务器地址。

     • 权威 DNS 服务器：最终返回baidu.com的 IP 地址，本地 DNS 服务器缓存结果并返回给用户。

2. 运营商网络层级传输

1. 城域网内路由

   • 用户请求从终端经光猫（ONU）接入运营商城域网，通过 OLT（光线路终端）汇聚至业务控制层设备（如 SR/BNG）。

   • 城域网核心路由器（CR）根据目标 IP 选择路径，若为跨省流量则通过省网 BR 设备转发至骨干网。

2. 运营商防火墙检测

   • 流量过滤：运营商防火墙（如部署在 SR/CR 节点）会检测流量特征，拦截已知恶意 IP 或端口（如未备案的 HTTP 服务）。

   • DPI（深度包检测）：分析数据包内容，过滤非法协议或敏感关键词（如色情、政治敏感内容）。

3. GFW（国家防火墙）干预

1. DNS 污染（如触发黑名单）

   • 若域名（如baidu.com）被 GFW 列入黑名单，在递归查询阶段，GFW 会伪造虚假 DNS 响应（UDP 53 端口），返回错误 IP 或直接阻断。

2. IP 封锁与连接重置

   • IP 黑名单：GFW 维护被禁 IP 列表，若目标 IP 匹配，直接丢弃数据包或发送 TCP RST 重置连接。

   • 加密流量干扰：对 HTTPS 流量可能实施中间人攻击（MITM），伪造证书拦截内容（如境外敏感网站）。

3. 应用层协议阻断

   • 检测特定协议（如 VPN、Tor）的特征流量，通过 DPI 识别并阻断。

4. 最终访问与响应

1. 合法请求的放行

   • 若域名和内容未触发过滤规则，请求通过骨干网到达目标服务器（如baidu.com的 Web 服务器），服务器返回网页数据。

2. 反向路径与缓存

   • 响应数据沿原路径返回，经运营商网络缓存（如 CDN 节点）加速后续访问。

关键技术与设备总结

异常情况处理

• DNS 污染：用户可能收到虚假 IP，导致访问失败或跳转至无关页面。

• 连接重置：触发敏感关键词时，GFW 发送 RST 包强制断开连接。

• 延迟增加：GFW 的深度检测可能导致加密流量（如 HTTPS）延迟升高。