终端如何获得 DNS
在蜂窝数据连接建立后,终端通常从核心网或网关下发的参数中获得 DNS 服务器地址。LTE 场景常见通过协议配置选项(PCO)在会话建立流程中携带 IPv4/IPv6 DNS;IPv6 亦可借助 DHCPv6 或路由器通告(RA)获取递归解析器地址。若终端固件未正确解析 PCO,可能出现“已获 IP 但 DNS 为空”,应用层所有域名访问失败,而直连 IP 仍通,这类问题在物联网定制固件中并不罕见。
私网与专网场景
企业物联网常将终端置于私网地址空间,DNS 可能指向内网递归服务器,用于解析仅在内网可见的域名。若终端误用公网 DNS,将无法解析私网域名,表现为间歇性“服务不可用”。反之,若业务需要访问公网 SaaS,而运营商侧 DNS 对特定域名做了劫持或过滤,也会引发疑难故障。调试时应先用 `nslookup` 或模组 AT 指令对比指定 DNS 与默认 DNS 的解析结果。
安全与性能
DNS 是常见的攻击入口,物联网终端若未校验响应完整性,可能遭受缓存投毒或中间人劫持,导致连接到错误服务器。DoH/DoT 在资源受限模组上部署成本较高,更现实的做法是固化可信 DNS、启用 TLS 校验业务连接、并结合设备证书。性能方面,解析超时重试策略应退避,避免在弱网下因 DNS 风暴拖垮模组;可缓存常用解析结果并设合理 TTL,但需注意证书轮换与 CDN 切换时的域名变更。
与 MTU、分片的关联
大型 DNS 响应若走 UDP,可能在某些路径上因分片被丢弃(与 MTU 相关)。若出现“偶发解析失败”,可结合 MTU 探测与 TCP DNS 回退策略排查。IPv6 双栈环境下,错误的全局 DNS 配置可能导致 AAAA 记录优先而实际 IPv6 路径不通,需要在应用层或系统层做 Happy Eyeballs 类策略。