网络安全

Cloudflare ECH:加密SNI如何终结域名握手阻断?

2026年5月5日17时30分
Technical Analysis, Web Security, Network Protocols
ECH, 安全传输层协议, SNI, 网络安全, Domain Redirection, DPI

在当前数字化浪潮席卷全球的背景下,互联网已经渗透到我们日常生活的方方面面。无论是企业运营、数字娱乐还是个人通信,稳定的网络连通性都显得至关重要。然而,即使我们已经广泛部署了HTTPS,保障了数据传输内容的加密,但表面的安全之下,仍存在着一些根深蒂固的问题,影响着网站的全球可达性与用户体验。

问题的背景与困境

随着网络安全的意识日益增强,TLS(传输层安全协议)与HTTPS的普及率达到了前所未有的高度。我们普遍认为,一旦网站启用了HTTPS,其通信内容就得到了端到端的加密保护,中间的监听者无法窥探传输的实际数据。这在很大程度上是正确的,它有效阻止了中间人窃听敏感信息,如登录凭据、交易数据等。

然而,网络通信并非仅仅是数据的传输,它首先需要建立连接。在这个连接建立的过程中,即使是HTTPS,也存在着一些“元数据”的泄露,这些元数据虽然不是实际的业务内容,但却能透露出客户端试图访问的具体域名信息。其中最典型的就是SNI(Server Name Indication)字段。

正是这种SNI明文泄露,在某些“局部局域网环境”或“特定网络区域”中,被一些“中间设备”或“流量网关”所利用。它们能够识别出用户试图访问的特定域名,并基于此信息对连接进行干预,导致所谓的“域名握手阻断”或“连接阻断”。对于网站管理员、运维人员和开发者而言,这无疑是一个巨大的困境。网站明明部署了HTTPS,服务器运行正常,但在某些区域用户却无法访问,表现为浏览器显示“无法连接到服务器”、“连接被重置”等错误,业务因此受损,用户体验大打折扣,而问题的根源却难以准确定位。

在这样的背景下,我们不禁要问:有没有一种技术,能够从根本上解决这种基于元数据泄露的连接阻断问题,真正实现端到端的隐私保护,即便是域名本身也无法被窥探?答案是肯定的,这就是我们今天要深入探讨的——Cloudflare ECH(Encrypted Client Hello)。

SNI:透明的信封与脆弱性 #

要理解ECH的价值,我们首先需要回顾一下传统HTTPS通信中的SNI(Server Name Indication)是如何工作的,以及它为何成为被利用的突破口。

SNI的工作原理

在HTTP/1.1时代,一个IP地址通常只对应一个域名。但随着虚拟主机技术的发展,一台服务器能够托管成百上千个域名,它们共享同一个IP地址。当客户端发起TLS握手请求时,服务器需要知道客户端想要访问哪个域名,才能为其提供正确的TLS证书。如果服务器上有多个域名(例如example.comanothersite.com),而客户端不告知目标域名,服务器就无法知道应该返回哪个域名的证书。

为了解决这个问题,TLS协议在2003年引入了SNI扩展。SNI允许客户端在TLS握手的第一条消息,即Client Hello消息中,以明文形式包含其要连接的域名。这就好比你去一家大型酒店办理入住手续。前台(服务器)有很多房间(虚拟主机上的网站),你要告诉前台你的预订信息(SNI),比如你预订的是“A房间”(example.com),前台才能找到对应的房间钥匙(TLS证书)给你。虽然你拿到钥匙后会用它打开一个加密的门(建立加密连接),但你预订的房间号,在办理手续时是公开透明的。

SNI带来的脆弱性

SNI解决了虚拟主机环境下证书选择的问题,极大地提高了服务器资源的利用率。然而,它的“明文传输”特性也留下了一个安全与隐私的隐患。在TLS握手过程中,Client Hello消息是未加密的,因此其中的SNI字段可以被网络路径上的任何“中间设备”或“流量网关”轻易读取。

这些设备,如“DPI(深度包检测)设备”,能够对流经其网络的数据包进行深入分析。当它们检测到特定SNI字段时,就可以识别出用户正在尝试访问的具体域名。这种识别能力,在某些“局部局域网环境”或“特定网络区域”中,被用于实施精确的网络干预。

域名握手阻断的原理与影响 #

基于SNI的域名握手阻断是一种常见的网络干预手段。它的原理相对直观,但对网站的可用性却有着灾难性的影响。

阻断机制解析

当客户端向服务器发起TLS连接时,首先发送Client Hello消息。这个消息包含了SNI字段,明确指出了客户端期望访问的域名。如果网络路径上的“中间设备”或“流量网关”(例如“某地区运营商”部署的DPI设备)被配置为监控并阻止对特定域名的访问,一旦它们在Client Hello消息中检测到匹配的SNI,便会立即采取行动。

常见的阻断方式包括:

  1. 发送TCP RST(Reset)包: 这是最常见也是最直接的阻断方式。DPI设备在检测到目标SNI后,会立即伪造一个TCP RST包,发送给客户端和服务器。客户端和服务器接收到这个RST包后,会认为连接被对方强制关闭,从而中断TLS握手过程。用户在浏览器中看到的是“连接被重置”或“无法连接到服务器”的错误。
  2. 直接丢弃数据包: DPI设备也可以选择静默地丢弃包含特定SNI的Client Hello消息,或者后续的TLS握手数据包。这会导致客户端一直等待服务器响应,最终因超时而失败。用户体验可能是页面加载缓慢,最终显示“连接超时”或“无法访问此网站”。
  3. 流量重定向/劫持: 在更复杂的情况下,DPI设备可能将流量重定向到另一个地址,或者注入虚假信息,虽然这更接近于DNS劫持或HTTP劫持,但核心仍是利用了明文SNI对流量路径的控制。

案例植入:韩国等区域的SNI阻断事件

我们曾观察到,在一些“特定网络区域”,特别是像韩国这样的局部局域网环境,一些“某地区运营商”为了实施网络管理策略,曾利用SNI明文传输的特性,对访问某些“高并发商业站点”或“数字娱乐平台”的流量进行连接阻断。

技术细节分析: 在这一案例中,“某地区运营商”的网络中部署的“DPI设备”扮演了关键角色。当用户尝试访问特定的“高并发商业站点”时,其浏览器发出的Client Hello消息中包含了这些站点的明文域名(SNI)。这些“DPI设备”在识别到这些预设的SNI模式后,会立刻向用户的设备和目标服务器发送伪造的TCP RST包。这些伪造的RST包会使得正常的TCP连接在TLS握手阶段就被强制中断,从而阻止用户与目标网站建立起安全的通信通道。

造成的影响: 这种技术性的阻断行为直接导致了:

  • 用户无法访问: 终端用户无法正常加载这些“高并发商业站点”或“数字娱乐平台”,浏览器通常会显示“连接已重置”或“无法访问此站点”等错误信息。
  • 业务中断与流失: 对于依赖这些平台提供服务的企业而言,这意味着大量用户无法触达其服务,导致用户流失、广告收入下降、交易中断等一系列严重的业务损失。
  • 用户体验受损: 用户在尝试访问合法网站时,反复遇到连接失败,严重损害了用户的网络体验和对互联网服务的信任度。

值得注意的是,这一事件纯粹是技术层面的操作,即利用了网络协议本身的特性(SNI明文)来实现流量控制。我们聚焦于“怎么封的”(基于SNI明文)以及“后果是什么”(网站无法访问,业务受影响),而不涉及任何监管政策或其正当性评价。这清晰地展现了SNI明文在网络连通性上带来的脆弱性,并促使行业思考更深层次的隐私保护技术。

ECH登场:加密的信封 #

正是为了解决SNI明文泄露带来的问题,IETF(互联网工程任务组)在TLS 1.3的基础上,提出了一个关键的扩展:ECH(Encrypted Client Hello),即加密客户端Hello。这项技术旨在从根本上消除SNI泄露的风险,为用户提供更强大的隐私保护和网络连通性。

ECH的核心原理

ECH的核心思想非常直接:将TLS握手阶段的Client Hello消息中的敏感信息,包括SNI以及其他可能被用于指纹识别的数据,在发送前就进行加密。这就好比你给酒店前台递交入住申请,但这次,你的预订房间号(域名)不是写在明信片上,而是写在一个加密的信封里。前台(中间设备)只能看到这个信封是发给他们酒店的,但无法得知信封里的具体内容(你预订的是哪个具体房间)。只有酒店的后台系统(目标服务器)才能解开这个信封,获取真正的预订信息。

双层Client Hello结构

...

DPI逃逸战:流量特征混淆与填充字节

2026年5月4日00时20分
Network Protocol Analysis, Cybersecurity, Traffic Management
DPI Evasion, Traffic Obfuscation, TLS Handshake, Padding Bytes, 网络安全

在当今复杂多变的互联网环境中,数据传输的安全性与连通性日益成为网站管理员和运维工程师关注的焦点。随着网络技术的不断演进,各式各样的“中间设备”被部署在网络的各个环节,它们在维护网络秩序、保障网络安全方面发挥着重要作用。然而,这些设备在执行其既定功能的同时,有时也会对正常的网络通信造成意想不到的影响,尤其对于那些需要面向全球用户提供服务、处理“高并发商业站点”或“数字娱乐平台”等内容密集型业务的网站而言,这种影响可能表现为访问速度的下降、局部区域的连接中断,甚至流量的莫名其妙地流失。

这些困境的核心往往在于,当合法流量经过这些“中间设备”时,它们可能会被误判或被特定规则所限制。其后果是显而易见的:用户体验直线下降,业务营收遭受损失,品牌声誉也可能受损。对于网站运营者而言,如何确保全球用户都能稳定、高效地访问其网站,成为一个亟待解决的痛点。很多时候,我们认为只要对数据进行了加密,就能高枕无忧,例如普遍使用的HTTPS协议。然而,实际情况远比我们想象的要复杂。

今天,我们将深入探讨一种特定的“中间设备”——深度包检测(DPI)设备的工作原理,以及它是如何通过流量特征而非仅仅内容本身来识别和影响网络通信的。我们将聚焦于一个关键的技术层面:如何通过“流量特征混淆”技术,特别是“填充字节”的应用,来应对这种挑战,从而实现更稳定、更隐蔽的网络连通性优化。这不仅仅是一场技术上的博弈,更是对网络协议深层理解与精妙运用。

DPI:网络中的“交通警”与“安检员” #

要理解流量特征混淆的必要性,我们首先需要了解DPI设备的工作原理。DPI,全称Deep Packet Inspection,深度包检测,正如其名,它不仅仅满足于检查数据包的头部信息(如源IP、目的IP、端口号等),而是会深入到数据包的载荷(payload)部分进行分析。我们可以将其类比为网络世界中的一位既负责交通疏导又兼任安检员的“交通警”。普通的流量过滤设备可能只检查车辆的车牌号(IP地址和端口),而DPI则会进一步查看车厢内部的货物(数据载荷),甚至分析货物包装的特征(协议特征)。

DPI设备能够识别各种网络协议、应用程序,甚至具体的应用行为。它的工作机制通常包括以下几个方面:

  1. 协议识别: 通过分析数据包的结构、特定字段的值和交互模式,DPI可以判断出这是HTTP、FTP、SMTP、TLS等哪种应用层协议的流量。例如,TLS流量在握手阶段有非常明确的字节序列和交互流程。
  2. 载荷分析: 对于非加密流量,DPI可以直接读取数据载荷中的内容,匹配预设的关键词、正则表达式或特定模式,以识别敏感信息或特定应用程序数据。
  3. 行为模式分析: DPI还会结合时间序列分析、流量大小、连接数、传输频率等多种维度,来判断某个连接是否符合某种已知的异常模式或特定应用行为模式。
  4. 指纹识别: 这是DPI最核心且最具挑战性的功能之一。即使是加密流量,DPI也无法直接解密其内容,但它可以根据加密握手过程中的元数据字节特征来识别流量类型或应用指纹。例如,不同的TLS客户端(浏览器、应用程序)在发起TLS握手时,其ClientHello消息的结构、支持的密码套件顺序、扩展字段等都可能存在细微但独特的差异,这些差异就构成了其“指纹”。

DPI设备的部署目的多种多样,包括但不限于网络安全防护(识别恶意流量)、流量管理(QoS、带宽控制)、内容过滤以及合规性监控等。它在企业网络、ISP骨干网,乃至“特定网络区域”的“流量网关”中都可能发挥作用。

TLS的挑战:加密并非万能盾牌 #

在当前互联网环境下,TLS(传输层安全协议)已经成为保障数据传输安全性的基石。我们访问的绝大多数网站都使用HTTPS,这意味着客户端与服务器之间的通信内容都是经过加密的。普遍的认知是,一旦流量被加密,其内容对于DPI设备而言就变得不可见了。从内容本身来看,这是正确的。DPI设备无法解密一个设计完善的TLS连接的实际应用数据。

然而,DPI设备并非束手无策。正如我们前面提到的,DPI可以通过分析流量的特征来“猜测”或“识别”其类型,即使内容被加密。TLS握手过程,作为建立加密连接的初始阶段,是DPI进行特征识别的“金矿”。

TLS握手过程中的DPI指纹点:

  1. ClientHello消息: 这是客户端发起TLS握手的第一个消息。它包含了客户端支持的TLS版本、随机数、会话ID、支持的密码套件列表、支持的压缩方法以及一系列TLS扩展。DPI设备可以分析这些字段:

    • 支持的TLS版本: 特定应用可能只支持特定范围的TLS版本。
    • 密码套件列表: 客户端支持的密码套件的顺序组合,对于DPI来说,是区分不同客户端(浏览器、特定应用客户端)的强大指纹。
    • TLS扩展: ClientHello消息中携带的扩展列表及其内部的值(例如server_name扩展中的SNI信息、supported_groupssignature_algorithms等),其种类、顺序和具体数值都可以构成非常精细的指纹。例如,一些应用程序会以非标准的方式使用或省略某些扩展。
    • 消息长度: ClientHello消息整体的大小,尤其是在某些特定场景下,如果一个特定应用总是发送一个固定大小的ClientHello包,这就会成为一个强烈的识别特征。

  2. Record Layer大小和时序: TLS协议将应用数据封装在记录(Record)中。即使数据被加密,记录的大小、传输的频率时序模式依然可能泄露信息。例如,某些VoIP应用在通话时会持续发送小而频繁的TLS记录,而文件下载则可能发送大而连续的记录。

  3. 证书信息: 虽然服务器证书是加密的,但在TLS握手过程中,服务器会向客户端发送其数字证书。DPI设备可以分析证书链、证书颁发者、有效期等公开信息,甚至通过分析证书的序列号、公钥指纹等,来关联和识别特定的服务器或服务。

因此,即使数据是加密的,DPI设备也能通过分析这些“外围特征”和“行为模式”来识别流量,并根据预设的规则进行拦截、限速或重定向。对于追求稳定连通性的业务而言,这无疑是一个巨大的挑战。

案例剖析:DPI逃逸战——流量特征混淆与填充字节 #

为了更好地理解DPI如何利用流量特征进行识别,并探索如何对抗,我们来深入分析一个具体的历史互联网案例——“分析如何通过增加无意义的填充字节(Padding)来混淆数据包,绕过特定DPI”的事件。这个案例生动地展示了DPI设备如何利用TLS握手包的“体型”和“内部结构”来作为识别指纹,以及我们如何通过巧妙的“伪装”来“隐身”。

DPI指纹识别的微观视角:TLS ClientHello的大小与特征

在这个事件中,技术研究者们观察到,“特定网络区域”中的一些“DPI设备”在识别和阻断某些TLS流量时,并非依赖于其内容,而是高度依赖于TLS握手阶段,特别是ClientHello消息的特定大小内部字节特征

想象一下,DPI设备就像一个训练有素的安检员,它被告知要寻找“某种特定尺寸和形状的包裹”。如果所有来自某个“可疑来源”的包裹,其ClientHello消息总是精确地呈现出512字节、612字节或其他固定长度,并且内部的某些字段(如TLS扩展的顺序、密码套件列表的排列)也总是以某种固定的、可识别的模式出现,那么DPI设备就可以很容易地将其标记出来。它不需要打开包裹看内容,只需通过“目测”其外部特征,就能做出判断。

这种指纹识别的机制,利用的是协议实现中的“惯性”或“标准化”。许多应用或浏览器在实现TLS客户端时,其ClientHello消息的构造往往是固定或具有高度可预测性的。例如,特定的应用程序可能总是选择一套特定的密码套件,并且以相同的顺序排列它们;或者它可能总是启用相同的TLS扩展,导致其ClientHello消息的总长度始终保持一致。这些“一致性”就成了DPI设备眼中最明显的“特征”。

突破口:无意义的填充字节(Padding)

面对这种基于特征的指纹识别,简单的加密已经无法提供足够的隐蔽性。因为DPI并没有试图解密内容,它只是在比对“外形”。那么,解决方案就呼之欲出了:如果能改变包裹的“外形”,使其不再符合DPI已知的指纹,不就能成功“蒙混过关”了吗?

这就是“增加无意义的填充字节(Padding)”技术的原理。在TLS协议中,尤其是在一些特定的字段或整个记录层中,是允许插入填充字节的。这些填充字节对协议本身的功能没有任何意义,它们不会改变数据的实际含义,但会改变数据包的物理大小和内部布局。

具体到ClientHello消息,可以通过以下方式进行填充:

  1. 利用TLS扩展机制: TLS协议允许客户端在ClientHello消息中包含各种扩展。一些扩展,如padding扩展(尽管并非所有TLS版本都普遍支持或广泛使用),或通过滥用其他扩展的方式,可以在不影响实际功能的前提下,增加消息的字节数。
  2. 随机化TLS字段: 即使不直接使用“padding”扩展,也可以通过随机调整ClientHello中某些字段的长度,例如:
    • 随机数(Random): 虽然标准规定是32字节,但在某些特定的协议修改或实现中,可能会有调整的空间。
    • Session ID: 如果客户端不希望恢复会话,通常Session ID字段为空。但理论上可以填充随机数据使其变长,当然这需要协议级的支持。
    • 密码套件和压缩方法列表: 可以通过添加支持但不实际使用的冗余项,或者调整列表的顺序,来改变其二进制表示,从而影响整体长度和特征。
  3. 记录层填充: 更通用的做法是在TLS的记录层进行填充。TLS协议(尤其是TLS 1.3)明确允许在加密记录的末尾添加填充字节。通过在每个TLS记录中添加随机长度的填充,可以使得每个记录的大小变得不规则,从而打破DPI对固定大小记录的识别能力。

当DPI设备接收到一个经过填充的ClientHello消息时,它发现这个“包裹”的尺寸和内部字节排列已经与它数据库中存储的“指纹”不符了。原本512字节的ClientHello可能变成了540字节,原本固定的扩展顺序也可能被打乱或被额外的数据所间隔。DPI的指纹匹配机制因此失效,它无法再准确地判断这个流量是否属于它想要阻断的特定类型。

...

TTL值伪装:通过欺骗缓存延长域名寿命

2026年5月1日19时45分
Technical Analysis
域名解析, TTL, Cache, 网络安全, Traffic Management

引言:网络连接的隐形挑战 #

在数字时代,一个网站的在线可用性是其生命线。然而,连接并非总是一帆风顺。在特定网络区域,我们常常会遭遇一些隐形的障碍,比如由“中间设备”造成的连接不稳定性、“ISP劫持”导致的流量错乱,以及“域名污染”引发的解析错误。这些问题对于需要持续高可用性的“高并发商业站点”、“数字娱乐平台”和“内容密集型业务”而言,无异于致命打击。用户无法访问,意味着业务中断,损失难以估量。

作为一名在网络安全领域深耕十五年的工程师,我深知这些挑战的复杂性。它们不仅仅是简单的网络故障,更是网络协议设计、实施与实际运行环境之间相互作用的产物。面对这些困境,传统的网络运维手段往往捉襟见肘。如何确保在充满不确定性的网络环境中,网站仍能保持稳定、可靠的连通性?这正是我们需要深思并提供解决方案的核心痛点。

今天,我们将深入探讨一个在应对这类挑战中至关重要的技术点:DNS TTL(Time To Live,生存时间值)。我们将剖析TTL在域名解析中的基础作用,以及在某些特定场景下,如何通过对部分网络缓存设备行为的精确理解和策略性利用,实现所谓的“TTL值伪装”,从而延长域名在特定连接受阻情况下的实际有效生命周期。我们将结合一个具体的案例,详细分析其技术原理和应用潜力,为网站管理员和运维人员提供一套新的思考框架和应对策略。

理解DNS与TTL:时间生存周期的奥秘 #

在深入探讨“TTL值伪装”之前,我们首先需要扎实地理解DNS(Domain Name System,域名系统)以及其中一个核心参数——TTL。

DNS解析的基石 #

想象一下,互联网就像一个巨大的电话簿。当你想要给一个人打电话时,你不会记住他的电话号码,而是记住他的名字。DNS的作用正是如此:它将人类可读的域名(如feige301.com)翻译成机器可读的IP地址(如192.0.2.1),从而让你的浏览器能够找到并连接到正确的服务器。这个翻译过程被称为DNS解析。

一个典型的DNS解析过程包括以下几个步骤:

  1. 用户发起查询: 你在浏览器中输入一个域名。
  2. 本地DNS缓存: 你的操作系统或浏览器会首先检查本地是否有该域名的IP地址缓存。
  3. 本地递归DNS服务器: 如果本地没有,请求会发送到你配置的本地递归DNS服务器(通常是你的ISP提供的或你自己设置的)。
  4. 递归查询: 本地递归DNS服务器会代表你,从根DNS服务器开始,逐级查询顶级域(TLD)服务器、再到权威DNS服务器,最终获取到域名的IP地址。
  5. 返回结果并缓存: 权威DNS服务器返回包含IP地址的记录给递归DNS服务器,递归DNS服务器将此结果缓存起来,并转发给你的设备。你的设备也会缓存这个结果。

TTL的定义与作用 #

在DNS记录中,TTL是一个非常重要的参数。它是一个以秒为单位的数值,指示了DNS记录在缓存中可以被“信任”并重复使用多长时间。

  • 缓存寿命: 当一个DNS解析器(无论是你的设备、本地递归服务器还是ISP的服务器)接收到一条DNS记录时,它会查看该记录附带的TTL值。在TTL时间内,解析器会将这条记录存储在自己的缓存中。下次有相同的查询请求时,它可以直接从缓存中返回结果,而无需再次进行完整的递归查询,从而大大提高了解析效率,减轻了上游DNS服务器的负载。
  • 记录新鲜度: TTL还决定了DNS记录的“新鲜度”。当TTL过期后,缓存中的记录将被标记为无效,下次查询时,解析器必须重新向权威DNS服务器发起查询,以获取最新的IP地址。

低TTL与高TTL的策略考量 #

网站管理员在配置DNS记录时,通常会根据业务需求和网络环境来设置TTL值:

  • 低TTL(例如,60秒到300秒):
    • 优势: 允许IP地址或DNS记录快速更新。在需要进行快速故障切换(Failover)、负载均衡调整、或应对“域名污染”、“ISP劫持”等突发网络事件时,低TTL能够确保新的配置迅速生效,缩短服务中断的时间窗口。
    • 劣势: 增加了DNS查询的频率,可能对DNS服务器造成更大的负载,并略微增加DNS解析的平均延迟。
  • 高TTL(例如,3600秒到86400秒,即1小时到24小时):
    • 优势: 减少了DNS查询的频率,降低了DNS服务器的负载,提高了DNS解析的速度(因为更多请求可以直接从缓存返回)。适用于IP地址稳定、不常变动的服务。
    • 劣势: 一旦IP地址需要变更(例如,服务器迁移、应对攻击),旧的IP地址会在缓存中存活更长时间,导致用户仍旧访问到旧的、可能已经失效的服务器,从而延长了服务中断的时间。

在面临“区域性网络封锁”和“ISP劫持”等问题时,网站通常倾向于设置极低的TTL值。其核心思想是,一旦现有IP被识别并被“中间设备”阻断,可以通过快速更新DNS记录将其指向新的、尚未被阻断的IP地址。理论上,一个60秒的TTL意味着在最坏情况下,所有缓存最多在60秒内就会过期并获取到新的有效IP。然而,网络的现实往往比理论复杂得多。

网络的复杂性:缓存层级与行为不一 #

DNS TTL的理想工作状态,是所有遵循RFC(Request for Comments)标准的DNS解析器都能严格按照权威DNS服务器设定的TTL值来管理缓存。然而,真实的网络环境远比这复杂。在从用户发起请求到最终到达目标服务器的路径上,存在着多个层级的缓存,并且它们对TTL的遵循程度可能大相径庭。

不同层级的DNS缓存 #

  1. 客户端缓存(Client-side Cache):

    • 浏览器缓存: 现代浏览器通常会有自己的DNS缓存,以加速网页加载。
    • 操作系统(OS)缓存: 操作系统(如Windows的DNS Client服务,macOS的mDNSResponder)也会维护一份DNS缓存。
    • 这些缓存通常会尊重权威DNS服务器设定的TTL,但有时也会有自己的最小或最大缓存时间。

  2. 本地递归DNS服务器缓存:

    ...